l*******o
发帖数: 620 | 1 dropbox太小了,能换到百度云盘吗?不是https有安全问题吗?谢谢! |
c****7
发帖数: 838 | 2 不能。
他家不光是登陆没有加密,所有的文件就是一个http连接。
下载时根本不需要认证,所以只要知道这个连接,任何人都可以下载。
我原来准备用来备份照片,没想到国内云服务这么不靠谱。 |
l**p
发帖数: 6080 | 3 放照片不给别人share
【在 c****7 的大作中提到】
: 不能。
: 他家不光是登陆没有加密,所有的文件就是一个http连接。
: 下载时根本不需要认证,所以只要知道这个连接,任何人都可以下载。
: 我原来准备用来备份照片,没想到国内云服务这么不靠谱。
|
c****7
发帖数: 838 | 4 不需要share,只要能猜到连接地址,任何人都可以下载,到时候估计不止一个陈冠希。
【在 l**p 的大作中提到】
: 放照片不给别人share
|
v****e
发帖数: 10715 | 5 一块钱的玩意啊
【在 c****7 的大作中提到】
: 不能。
: 他家不光是登陆没有加密,所有的文件就是一个http连接。
: 下载时根本不需要认证,所以只要知道这个连接,任何人都可以下载。
: 我原来准备用来备份照片,没想到国内云服务这么不靠谱。
|
d*******3
发帖数: 6550 | 6 只有生成分享链接的才可以下载,不分享是不可能下载到的
希。
【在 c****7 的大作中提到】
: 不需要share,只要能猜到连接地址,任何人都可以下载,到时候估计不止一个陈冠希。
|
c****7
发帖数: 838 | 7 俺试过了,不需要分享,只要有连接就可以了,这个链接很多软件都可以抓到,比如
IE。
【在 d*******3 的大作中提到】
: 只有生成分享链接的才可以下载,不分享是不可能下载到的
:
: 希。
|
d*******3
发帖数: 6550 | 8 不公开分享的连接不是固定的,会expire的,不知道你怎么抓到别人的链接
【在 c****7 的大作中提到】
: 俺试过了,不需要分享,只要有连接就可以了,这个链接很多软件都可以抓到,比如
: IE。
|
c****7
发帖数: 838 | 9 用sniffer,抓连接,抓usee name/password。
【在 d*******3 的大作中提到】
: 不公开分享的连接不是固定的,会expire的,不知道你怎么抓到别人的链接
|
c****7
发帖数: 838 | 10 万一被蜘蛛抓了,就全完了,彻底向全世界公开了。 |
|
|
d*******3
发帖数: 6550 | 11 想的太容易了吧,下载链接是你在网页中点击以后马上生成的,然后有效一段时间,只
要你自己不公开,蜘蛛怎么可能爬到。
至于sniffer那个是另外一回事,自己注意在公共场合的上网安全就行了
【在 c****7 的大作中提到】
: 万一被蜘蛛抓了,就全完了,彻底向全世界公开了。
|
c****7
发帖数: 838 | 12 你说说公共场合的上网上网怎么注意安全,登陆完全是明码,sniffer轻松搜集用户名/
密码,除非你不登陆。
Wifi热点不敢用,网吧不敢用,公司学校也不敢用。
下载链接生成一个小时了,还有效,你在网吧里下载完,走人,下一个人马上就可以再
次下载你的文件,根本不用密码,这还不可怕?
【在 d*******3 的大作中提到】
: 想的太容易了吧,下载链接是你在网页中点击以后马上生成的,然后有效一段时间,只
: 要你自己不公开,蜘蛛怎么可能爬到。
: 至于sniffer那个是另外一回事,自己注意在公共场合的上网安全就行了
|
d*******3
发帖数: 6550 | 13 公共场合不知道用vpn啊?
另外你网吧上完网不登出并且清除历史记录的?
名/
【在 c****7 的大作中提到】
: 你说说公共场合的上网上网怎么注意安全,登陆完全是明码,sniffer轻松搜集用户名/
: 密码,除非你不登陆。
: Wifi热点不敢用,网吧不敢用,公司学校也不敢用。
: 下载链接生成一个小时了,还有效,你在网吧里下载完,走人,下一个人马上就可以再
: 次下载你的文件,根本不用密码,这还不可怕?
|
c****7
发帖数: 838 | 14 大多数人根本不知道vpn是何物,难道这些人就不配保护自己的隐私?
很多公用电脑也不能装vpn。
就算是你用了vpn, 你只能保证公用电脑到vpn是安全的,但是你无法保证从vpn到百度
之间没有人人侦听,这一段还是明文。
这本来是百度应该堵得安全漏洞。
【在 d*******3 的大作中提到】
: 公共场合不知道用vpn啊?
: 另外你网吧上完网不登出并且清除历史记录的?
:
: 名/
|
I********n
发帖数: 101 | 15 百度有个加密分享的功能 这个dropbox似乎没有 |
k***g
发帖数: 4904 | 16 另外 还有华为网盘,金山快盘,这些盘都是如何保护隐私的呢
【在 I********n 的大作中提到】
: 百度有个加密分享的功能 这个dropbox似乎没有
|
N******7
发帖数: 1297 | 17 没有https我还相信,这个随便一个URL就可以下载有点太扯了吧。你知不知道Browser
里是有Cookie的?你有没有用别的还没login过的Browser下载这个URL?如果你还是从
已经login的Browser去打开这个URL,当然可以。 |
d*******3
发帖数: 6550 | 18 没有https也就是说安全性弱一点,根本谈不上安全漏洞,不然那所有http的网站都有
安全漏洞?
自己在家搭个VPN相对于在机房的当然没那么安全,你要说机房的也有人监听,那不就
是指NSA么,那还是别用互联网了
【在 c****7 的大作中提到】
: 大多数人根本不知道vpn是何物,难道这些人就不配保护自己的隐私?
: 很多公用电脑也不能装vpn。
: 就算是你用了vpn, 你只能保证公用电脑到vpn是安全的,但是你无法保证从vpn到百度
: 之间没有人人侦听,这一段还是明文。
: 这本来是百度应该堵得安全漏洞。
|
z**r
发帖数: 17771 | 19 多虑了,就last mile这块儿,也就是从你机器到公网这块需要注意,一旦出去了,
internet backbone router那么大流量,除非专业监控的,比如FBI, GWF,其他是不可
能的,可这些专业监控的就算你加密估计也没什么用
【在 c****7 的大作中提到】
: 不能。
: 他家不光是登陆没有加密,所有的文件就是一个http连接。
: 下载时根本不需要认证,所以只要知道这个连接,任何人都可以下载。
: 我原来准备用来备份照片,没想到国内云服务这么不靠谱。
|
d********g
发帖数: 10550 | 20 你自己试过没有?不敢相信吧,百度的就是这么弱智,有URL就行。360的好歹还做了
auth
不信你发个自己百度网盘的艳照来让我们下载下载
Browser
【在 N******7 的大作中提到】
: 没有https我还相信,这个随便一个URL就可以下载有点太扯了吧。你知不知道Browser
: 里是有Cookie的?你有没有用别的还没login过的Browser下载这个URL?如果你还是从
: 已经login的Browser去打开这个URL,当然可以。
|
|
|
d*******3
发帖数: 6550 | 21 你公开分享的东西当然有URL就能下载了,没分享的你点下载会生成一个URL,目前好像
是8小时有效,这个链接本来就是私有的, 再auth一遍不是多此一举么
【在 d********g 的大作中提到】
: 你自己试过没有?不敢相信吧,百度的就是这么弱智,有URL就行。360的好歹还做了
: auth
: 不信你发个自己百度网盘的艳照来让我们下载下载
:
: Browser
|
d********g
发帖数: 10550 | 22 真是长见识了,你是不是不懂啥叫auth为啥要auth?百度网盘是你写的吧?
【在 d*******3 的大作中提到】
: 你公开分享的东西当然有URL就能下载了,没分享的你点下载会生成一个URL,目前好像
: 是8小时有效,这个链接本来就是私有的, 再auth一遍不是多此一举么
|
d*******3
发帖数: 6550 | 23 一看你就是小白,没搞过开发。你知道cookie和session是干嘛的不?
【在 d********g 的大作中提到】
: 真是长见识了,你是不是不懂啥叫auth为啥要auth?百度网盘是你写的吧?
|
d********g
发帖数: 10550 | 24 强帖留名,哈哈
你这斧头耍得真不是地方。连百度网盘“私有”URL搞没搞auth都不清楚的,HttpOnly
和Secure这俩都没听过的,还是别提cookie和安全了。我fix的安全bug比你搞的“开发
”都要多
【在 d*******3 的大作中提到】
: 一看你就是小白,没搞过开发。你知道cookie和session是干嘛的不?
|
d********g
发帖数: 10550 | 25 我再打你脸一次,百度网盘你所谓的“私有”URL根本没做auth,cookie有屁用。你分
得清传统意义上的cookie、session,和cookie-based session不?
【在 d*******3 的大作中提到】
: 一看你就是小白,没搞过开发。你知道cookie和session是干嘛的不?
|
k***e
发帖数: 7933 | 26 你自己试试就知道了。
Browser
【在 N******7 的大作中提到】
: 没有https我还相信,这个随便一个URL就可以下载有点太扯了吧。你知不知道Browser
: 里是有Cookie的?你有没有用别的还没login过的Browser下载这个URL?如果你还是从
: 已经login的Browser去打开这个URL,当然可以。
|
d*******3
发帖数: 6550 | 27 看来你还真不是很懂,cookie和session只是最基本的常识。百度用的是他自己pcs的
rest api, 不知道你说的私有URL没做auth是如何得出来的,URL里命名是有signature
的,也就是所为每个用户对应的api key,这个当然是auth后才能获得的。唯一的问题
就是这个key的传输没用https
说了这么多也不知道是谁在打你的脸
【在 d********g 的大作中提到】
: 我再打你脸一次,百度网盘你所谓的“私有”URL根本没做auth,cookie有屁用。你分
: 得清传统意义上的cookie、session,和cookie-based session不?
|
d********g
发帖数: 10550 | 28 目前百度网盘是裸奔(HTTP无auth),360是半裸奔(HTTP + auth),也就Dropbox正
常点,HTTPS + auth
很多国内用户对安全性持无所谓态度,有什么样的人民就有什么样的掉链子码工
【在 k***e 的大作中提到】
: 你自己试试就知道了。
:
: Browser
|
k***e
发帖数: 7933 | 29 试试啊。
上传一个照片, 点开照片取得URL,然后在incognito或者别的browser(没有登录你百
度网盘过的)request这个URL
signature
【在 d*******3 的大作中提到】
: 看来你还真不是很懂,cookie和session只是最基本的常识。百度用的是他自己pcs的
: rest api, 不知道你说的私有URL没做auth是如何得出来的,URL里命名是有signature
: 的,也就是所为每个用户对应的api key,这个当然是auth后才能获得的。唯一的问题
: 就是这个key的传输没用https
: 说了这么多也不知道是谁在打你的脸
|
k***e
发帖数: 7933 | 30
就是动作片的中转站
【在 d********g 的大作中提到】
: 目前百度网盘是裸奔(HTTP无auth),360是半裸奔(HTTP + auth),也就Dropbox正
: 常点,HTTPS + auth
: 很多国内用户对安全性持无所谓态度,有什么样的人民就有什么样的掉链子码工
|
|
|
d*******3
发帖数: 6550 | 31 我说过了,那个私有链接里面还有每个人专有的signature key,所以是不需要单独的
auth的,开发过web service api的应该都明白。这样不代表就不安全,最大的弱点只
能是在http上,有没有auth在这里无所谓,而且那个URL应该是8h之后就实效了。
不用试我也知道肯定可以,人家就是这么设计的,用的restful api
【在 k***e 的大作中提到】
: 试试啊。
: 上传一个照片, 点开照片取得URL,然后在incognito或者别的browser(没有登录你百
: 度网盘过的)request这个URL
:
: signature
|
k***e
发帖数: 7933 | 32
restful不restful跟这个没有关系, 用restful API照样可以做的更好,而不是在URL
就包括signature。
唉,不说了。
【在 d*******3 的大作中提到】
: 我说过了,那个私有链接里面还有每个人专有的signature key,所以是不需要单独的
: auth的,开发过web service api的应该都明白。这样不代表就不安全,最大的弱点只
: 能是在http上,有没有auth在这里无所谓,而且那个URL应该是8h之后就实效了。
: 不用试我也知道肯定可以,人家就是这么设计的,用的restful api
|
d********g
发帖数: 10550 | 33 谈RESTful API,我又笑了。不好意思,本人fix过django-tastypie的bug,有兴趣可以
上github看看。至于django-tastypie是干嘛的,出门左转百度一下就知道了
你懂不懂HTTP和HTTPS的URL和post data是不一样的?说到安全,就是服务器端做了
HTTP==>HTTPS强制转向,最初的请求如果是HTTP发送然后再给转到HTTPS都是属于裸奔
,这就是为啥好多app server如果在反向代理后面需要添加一个X-Forwarded-Proto的
custom header并且在后台里要作相应处理
你稍微懂点cookie、session、https、oauth啥的也不至于在这瞎扯了。试试百度网盘
你所谓的“private”URL放别的未登录并且全清干净的浏览器里能不能下载吧,再试试
360和Dropbox
不懂不要紧,出来吓人就是你的不对了
signature
【在 d*******3 的大作中提到】
: 看来你还真不是很懂,cookie和session只是最基本的常识。百度用的是他自己pcs的
: rest api, 不知道你说的私有URL没做auth是如何得出来的,URL里命名是有signature
: 的,也就是所为每个用户对应的api key,这个当然是auth后才能获得的。唯一的问题
: 就是这个key的传输没用https
: 说了这么多也不知道是谁在打你的脸
|
d********g
发帖数: 10550 | 34 你不懂RESTful API没正经fix过bug就别瞎扯了,这东西和auth没一毛钱关系。啥csrf
、xss、oauth你先去百度一把再上来接着扯,auth的名堂就在这app级别都一箩筐够你
学的
【在 d*******3 的大作中提到】
: 我说过了,那个私有链接里面还有每个人专有的signature key,所以是不需要单独的
: auth的,开发过web service api的应该都明白。这样不代表就不安全,最大的弱点只
: 能是在http上,有没有auth在这里无所谓,而且那个URL应该是8h之后就实效了。
: 不用试我也知道肯定可以,人家就是这么设计的,用的restful api
|
d*******3
发帖数: 6550 | 35 说了半天还不是说http不够安全么,这点我没啥意见。
就你说什么私有URL放别的浏览器里也可以用,就觉得不安全,我笑了。人家只是把你
的credentials放在你的url里,省了让你单独auth的步骤,也方便客户端的开发,这样
居然一堆小白就觉得不安全,真是太可笑了
【在 d********g 的大作中提到】
: 谈RESTful API,我又笑了。不好意思,本人fix过django-tastypie的bug,有兴趣可以
: 上github看看。至于django-tastypie是干嘛的,出门左转百度一下就知道了
: 你懂不懂HTTP和HTTPS的URL和post data是不一样的?说到安全,就是服务器端做了
: HTTP==>HTTPS强制转向,最初的请求如果是HTTP发送然后再给转到HTTPS都是属于裸奔
: ,这就是为啥好多app server如果在反向代理后面需要添加一个X-Forwarded-Proto的
: custom header并且在后台里要作相应处理
: 你稍微懂点cookie、session、https、oauth啥的也不至于在这瞎扯了。试试百度网盘
: 你所谓的“private”URL放别的未登录并且全清干净的浏览器里能不能下载吧,再试试
: 360和Dropbox
: 不懂不要紧,出来吓人就是你的不对了
|
d********g
发帖数: 10550 | 36 看到玩斧子的新手是有点无奈
URL
【在 k***e 的大作中提到】
:
: restful不restful跟这个没有关系, 用restful API照样可以做的更好,而不是在URL
: 就包括signature。
: 唉,不说了。
|
d*******3
发帖数: 6550 | 37 fix过bug居然还和小白一样就让人笑话了,csrf, xss, oauth我都开发过,懒得和你说了
csrf
【在 d********g 的大作中提到】
: 你不懂RESTful API没正经fix过bug就别瞎扯了,这东西和auth没一毛钱关系。啥csrf
: 、xss、oauth你先去百度一把再上来接着扯,auth的名堂就在这app级别都一箩筐够你
: 学的
|
k***e
发帖数: 7933 | 38 哈哈, 用sniffer抓到你的URL就什么都给人家了。
【在 d*******3 的大作中提到】
: 说了半天还不是说http不够安全么,这点我没啥意见。
: 就你说什么私有URL放别的浏览器里也可以用,就觉得不安全,我笑了。人家只是把你
: 的credentials放在你的url里,省了让你单独auth的步骤,也方便客户端的开发,这样
: 居然一堆小白就觉得不安全,真是太可笑了
|
d********g
发帖数: 10550 | 39 强帖留名!csrf和xss都开发过!我真的跪了
说了
【在 d*******3 的大作中提到】
: fix过bug居然还和小白一样就让人笑话了,csrf, xss, oauth我都开发过,懒得和你说了
:
: csrf
|
d*******3
发帖数: 6550 | 40 说不过就开始咬文嚼字了,我的意思是这两个最基本的防护开发当然web app里必须有了
【在 d********g 的大作中提到】
: 强帖留名!csrf和xss都开发过!我真的跪了
:
: 说了
|
|
|
d********g
发帖数: 10550 | 41 原来你百度一下csrf、xss是啥需要2分钟
在认为百度网盘安全,HTTP URL裸奔安全,无auth安全的人面前,什么都属于咬文嚼字
有了
【在 d*******3 的大作中提到】
: 说不过就开始咬文嚼字了,我的意思是这两个最基本的防护开发当然web app里必须有了
|
w*****g
发帖数: 16352 | 42 奶们两个周末就打算这么过?
★ 发自iPhone App: ChineseWeb 7.8
【在 d********g 的大作中提到】
: 原来你百度一下csrf、xss是啥需要2分钟
: 在认为百度网盘安全,HTTP URL裸奔安全,无auth安全的人面前,什么都属于咬文嚼字
:
: 有了
|
d*******3
发帖数: 6550 | 43 我从来没说过百度网盘安全,你既然这么不谦虚,我也懒得和你争,继续做你的小白吧
【在 d********g 的大作中提到】
: 原来你百度一下csrf、xss是啥需要2分钟
: 在认为百度网盘安全,HTTP URL裸奔安全,无auth安全的人面前,什么都属于咬文嚼字
:
: 有了
|
d********g
发帖数: 10550 | 44 我老给你上个简单入门课吧,RESTful API的CRUD是对应4种method的,credential用
HTTP明码get操作的码工,不是脑门被夹过就是文科1周转行的。RESTful API一样需要
auth,就app这块来说,HTTPS post data还不够,csrf保护、secure cookie啥的能上
多少就得上多少。至于你扯的其它乱七八糟的就更不值一提了,你不是专业码工,不懂
就算了,不用一个劲秀智商下限不是?
【在 d*******3 的大作中提到】
: 说了半天还不是说http不够安全么,这点我没啥意见。
: 就你说什么私有URL放别的浏览器里也可以用,就觉得不安全,我笑了。人家只是把你
: 的credentials放在你的url里,省了让你单独auth的步骤,也方便客户端的开发,这样
: 居然一堆小白就觉得不安全,真是太可笑了
|
d********g
发帖数: 10550 | 45 看看下面两段话:
1. “就你说什么私有URL放别的浏览器里也可以用,就觉得不安全,我笑了。人家只是
把你的credentials放在你的url里,省了让你单独auth的步骤,也方便客户端的开发,
这样居然一堆小白就觉得不安全,真是太可笑了”
2. “我从来没说过百度网盘安全”
请问,你到底觉得百度网盘安全还是不安全呢?
【在 d*******3 的大作中提到】
: 我从来没说过百度网盘安全,你既然这么不谦虚,我也懒得和你争,继续做你的小白吧
|
d*******3
发帖数: 6550 | 46 我觉得百度网盘不安全是因为http,而不是什么你说的url裸奔不带auth.
【在 d********g 的大作中提到】
: 看看下面两段话:
: 1. “就你说什么私有URL放别的浏览器里也可以用,就觉得不安全,我笑了。人家只是
: 把你的credentials放在你的url里,省了让你单独auth的步骤,也方便客户端的开发,
: 这样居然一堆小白就觉得不安全,真是太可笑了”
: 2. “我从来没说过百度网盘安全”
: 请问,你到底觉得百度网盘安全还是不安全呢?
|
d********g
发帖数: 10550 | 47 你还是没明白auth啥意思,不是扯了那么久的cookie、session吗,连这个都不知道?
没有auth,不管你URL是http还是https,别人拿到后直接就可以下。https要困难一点
因为URL也是加密的。有auth是就算拿到了URL,如果没有这个auth后给的auth cookie/
token,那也是没法通过的。http + URL credential更是一票否决制了——你脱光了是
裸奔,穿个透明内裤难道就不算裸奔了吗?
【在 d*******3 的大作中提到】
: 我觉得百度网盘不安全是因为http,而不是什么你说的url裸奔不带auth.
|
d*******3
发帖数: 6550 | 48 我当然知道auth啥意思了,不过在这里我觉得没什么必要。开始auth过后就给你把钥匙
,之后只要拿到钥匙的人都有access,就和我们用钥匙开门一样,本身没什么问题,只
要保管好钥匙就行,不安全的就是用了http来传输钥匙而已。
至于你说的auth在这里只会增加服务器的负担,看了首页就知道人家的目标就是分享资
源的网盘,而不是用来存私人信息的保险箱。
cookie/
【在 d********g 的大作中提到】
: 你还是没明白auth啥意思,不是扯了那么久的cookie、session吗,连这个都不知道?
: 没有auth,不管你URL是http还是https,别人拿到后直接就可以下。https要困难一点
: 因为URL也是加密的。有auth是就算拿到了URL,如果没有这个auth后给的auth cookie/
: token,那也是没法通过的。http + URL credential更是一票否决制了——你脱光了是
: 裸奔,穿个透明内裤难道就不算裸奔了吗?
|
a******s
发帖数: 267 | 49 你的那个auth底层不就是cookie吗?一个浏览器和server之间来回传递的字符串而已。
只要别人愿意,既然能sniff url credential也可以sniff cookie,然后写一段脚本
模拟浏览器传送cookie和http请求,就可以破解。
和auth相比,url credential的问题是小白也可以偷偷接近你的电脑,拷下那段url在
回自己电脑下载。这个你自己注意就可以了。
安全还是得靠https
cookie/
【在 d********g 的大作中提到】
: 你还是没明白auth啥意思,不是扯了那么久的cookie、session吗,连这个都不知道?
: 没有auth,不管你URL是http还是https,别人拿到后直接就可以下。https要困难一点
: 因为URL也是加密的。有auth是就算拿到了URL,如果没有这个auth后给的auth cookie/
: token,那也是没法通过的。http + URL credential更是一票否决制了——你脱光了是
: 裸奔,穿个透明内裤难道就不算裸奔了吗?
|
d********g
发帖数: 10550 | 50 “没有auth,不管你URL是http还是https,别人拿到后直接就可以下”,你说的和我说
的不是一个意思?
安全看你说到什么程度了,HTTPS在MITM面前一样是渣。百度网盘把安全上能犯的错误
全都犯了,这个不是你注不注意的问题,这明显是百度把用户当猪对待
【在 a******s 的大作中提到】
: 你的那个auth底层不就是cookie吗?一个浏览器和server之间来回传递的字符串而已。
: 只要别人愿意,既然能sniff url credential也可以sniff cookie,然后写一段脚本
: 模拟浏览器传送cookie和http请求,就可以破解。
: 和auth相比,url credential的问题是小白也可以偷偷接近你的电脑,拷下那段url在
: 回自己电脑下载。这个你自己注意就可以了。
: 安全还是得靠https
:
: cookie/
|
|
|
a******s
发帖数: 267 | 51 我想说的是: 基于cookie的auth和一个象百度这样随机生成的临时性url的安全性没有
本质区别,安全性必须依靠https。我不懂什么是MITM,但是Https的原理决定了它是足
够安全的。
【在 d********g 的大作中提到】
: “没有auth,不管你URL是http还是https,别人拿到后直接就可以下”,你说的和我说
: 的不是一个意思?
: 安全看你说到什么程度了,HTTPS在MITM面前一样是渣。百度网盘把安全上能犯的错误
: 全都犯了,这个不是你注不注意的问题,这明显是百度把用户当猪对待
|
B*********s
发帖数: 4158 | 52 各有所用,所谓艳照的安全性问题是扯蛋。对个人照片影像隐私非常在意的人,不敢传
百度盘的艳照,肯定也不敢传dropbox。
【在 l*******o 的大作中提到】
: dropbox太小了,能换到百度云盘吗?不是https有安全问题吗?谢谢!
|
g*******t
发帖数: 7704 | 53 Web的auth要么client的cookie,要server上的seesion一类, 都是有时效的,
自动生成的url也算一种措施,而且是一种流行做法,比如你在网上买个软件,给你一
个24小时的下载连接,没什么token的,
baidu所有这一切,就是降低成本,
cookie/
【在 d********g 的大作中提到】
: 你还是没明白auth啥意思,不是扯了那么久的cookie、session吗,连这个都不知道?
: 没有auth,不管你URL是http还是https,别人拿到后直接就可以下。https要困难一点
: 因为URL也是加密的。有auth是就算拿到了URL,如果没有这个auth后给的auth cookie/
: token,那也是没法通过的。http + URL credential更是一票否决制了——你脱光了是
: 裸奔,穿个透明内裤难道就不算裸奔了吗?
|
s**x
发帖数: 73 | 54 哈哈哈哈哈哈,大赞! made my day
【在 w*****g 的大作中提到】
: 奶们两个周末就打算这么过?
:
: ★ 发自iPhone App: ChineseWeb 7.8
|
g********x
发帖数: 4671 | |
e*****t
发帖数: 1005 | 56 谁不是从模仿开始的?几百年前,西方还抄我们东方的各种技术呢。
【在 g********x 的大作中提到】
: 国内这些抄别人的都是他妈垃圾
|
d******a
发帖数: 32122 | 57 百度云是狗屎
可以当ftp使,不要随便sync
同一堆文件,每次打开百度云,都自动重新下载
【在 l*******o 的大作中提到】
: dropbox太小了,能换到百度云盘吗?不是https有安全问题吗?谢谢!
|
ra
发帖数: 827 | 58 花时间看了你的回帖。发现你的确不懂。即使用了HTTPs,url裸奔不用auth也是不安全
的。
[发表自未名空间手机版 - m.mitbbs.com]
【在 d*******3 的大作中提到】
: 我觉得百度网盘不安全是因为http,而不是什么你说的url裸奔不带auth.
|
