c*****e 发帖数: 3226 | 1 假如 site x 是用户论坛,很容易贴一个假的 facebook connect button, 然后跳转到
假的 fackbook 授权网站页面。
我觉得oauth 钓鱼更容易欺骗是基于这些理由:
1: 本来 oauth 就是跳转, 所以表象很类似
2: 模仿假的 facebook 授权页面更加简单,因为一般授权页面本来就没什么内容
3: JavaScript 可以重写 url address
说实在的,每次看到那些 oauth 跳转的页面,我都胆颤心惊。 |
|
l****r 发帖数: 105 | 2 新手,不太懂OAuth
打算在某个云服务器上放一个cron job,用来定时通过quickbooks api取数据,计算,
发给另一个web servive更新。
quickbooks用的是Oauth,需要建立连接时打开一个URL去授权,得到access token什么
的再拿来访问api。
我想问的是:
1,我应该怎么保存app的token,access token才安全,又不影响cron job的程序执行
。现在只想到存在与app相同目录下的文本文件里,或者云服务器的数据库里。
2,token已经是加密过的了,没有必要再加密存储了吧?
3,像这种我已经有quickbooks和目标web service的账户最高权限的情况,OAuth是必
须的么?我理想的状态是用app token直接调用api。我记得ebay好像就是这样的。
4,云服务器端支持php,python,ruby,perl,http,哪种比较好写?我都不会……现
学。有java,C#基础。
先谢了! |
|
|
|
s********r 发帖数: 729 | 5 安装好之后出现
OAuthException: making the request failed (Peer certificate cannot be
authenticated with given CA certificates) in OAuth->getRequestToken() (line
79 of C:xampphtdocsfitbitdevsitesallmodulesfitbitmodulesfitbit_userfitbit_
user.module)
这说明什么问题?
谢谢! |
|
j********x 发帖数: 2330 | 6 你不想想site x不经过fb的认证,fb凭什么给他开放oauth的权限。。。
你好蠢啊。。。 |
|
X****r 发帖数: 3557 | 7 要骗没有基本知识的用户哪里需要用OAuth那么复杂,直接发封email说你的Facebook账
号有异常登录按此处重置密码就完了。
ld |
|
c*****e 发帖数: 3226 | 8 把你骗过去不容易,不等于100% 不出差错。哪天一不小心也会发生的。不怕一万只怕
万一。
anyway, 我只是觉得 oauth 那种 跳转验证的机制很容易被伪装。 |
|
|
n*****t 发帖数: 22014 | 10 淘宝 api 就是 oauth 的,sdk 有 java php,参考一下应该就可以了吧 |
|
w******4 发帖数: 361 | 11 多谢各位的热心回复。
我不太懂下面关于认证的内容
When you create or edit your application on dev.twitter.com, you need to
choose which kind of OAuth authentication you'll be using: standard callback
-based OAuth, out-of-band mode OAuth (also known as "PIN-code OAuth" & "OOB
OAuth"), or xAuth.
如果用PIN-code OAuth,是不是说就不用自己建个网页做callback-based OAuth?
还有个问题就是这个application建好后只能用某1个账号发twit,不能用几个账号轮流
发,不知道我的理解对不对? |
|
|
S**I 发帖数: 15689 | 13 ☆─────────────────────────────────────☆
recursive (递归) 于 (Mon Apr 11 10:56:49 2011, 美东) 提到:
大半夜收到HR的thank you note。不用管什么NDA了
本人ECE fresh PhD,背景是电路/EDA,跟G业务基本没什么关系
同学内部推荐的,很简单的一次电面就给了onsite
题都不难,但是自己没把握好机会,出了一些小bug。
总的感觉,出错就是硬伤,宁可从最简单的算法写起,也不能出错。
电面:
1,Skip list, http://en.wikipedia.org/wiki/Skip_list
写code实现struct skip_list * find(struct skip_list *head, int value)
2,sorted array with repeated elements
for given element, find out its range.
e.g. A A B B B B B C C D D E F G, given B, the out... 阅读全帖 |
|
o**********e 发帖数: 18403 | 14 http://www.csoonline.com/article/2150742/malware-cybercrime/oau
Depending on their OAuth implementation, social media sites, such as Google,
LinkedIn and Yahoo, could share users' personal information with malicious
third-party websites, experts say.
OAuth is an open framework used by social networks to authorize third-party
sites seeking profile information from network users who provided permission
for the data sharing. Security problems arise when the social network
implements OAuth in a way ... 阅读全帖 |
|
p*u 发帖数: 2454 | 15 实习求职终于uber offer,全职求职始于uber rej,what a life。带着唯一的return
offer继续骑驴找马找全职了。
====感想====
0,千万不要看点科技博客,小文章就觉得懂design了,千万不要!常见design题有什
么用,还是被大牛们按在地上摩擦了!所以下面都是我自己总结出来的合适答案,可能
还是会导致你被按在地上摩擦,大家随便看看。
1,Uber NY的Bar很高,尤其是design bar,不想浪费机会的小伙伴还是申Uber SF吧。
刷算法基本对Uber NY没用的,目前Uber NY就没有new grad,第一批new grad的要求必
然是overflow的。
2,几乎纯Design面试,new grad永远的痛,狠狠一巴掌打在自以为design很熟的我脸
上。面我的四个人都干过小公司CTO甚至大公司的技术核心,“你们这些说名词的new
grad,根本不懂design的境界”。
3,真机IDE测试,能bug free就bug free,对方的笑容不代表他认可你先run再debug。
大家都是专业的,笑容什么都不代表。
4,Uber N... 阅读全帖 |
|
f*******r 发帖数: 976 | 16 Move on.
实习求职终于uber offer,全职求职始于uber rej,what a life。带着唯一的return
offer继续骑驴找马找全职了。
====感想====
0,千万不要看点科技博客,小文章就觉得懂design了,千万不要!常见design题有什
么用,还是被大牛们按在地上摩擦了!所以下面都是我自己总结出来的合适答案,可能
还是会导致你被按在地上摩擦,大家随便看看。
1,Uber NY的Bar很高,尤其是design bar,不想浪费机会的小伙伴还是申Uber SF吧。
刷算法基本对Uber NY没用的,目前Uber NY就没有new grad,第一批new grad的要求必
然是overflow的。
2,几乎纯Design面试,new grad永远的痛,狠狠一巴掌打在自以为design很熟的我脸
上。面我的四个人都干过小公司CTO甚至大公司的技术核心,“你们这些说名词的new
grad,根本不懂design的境界”。
3,真机IDE测试,能bug free就bug free,对方的笑容不代表他认可你先run再debug。
大家都是专业的,笑容什么都不代表... 阅读全帖 |
|
|
g**e 发帖数: 6127 | 18 OAuth不难,主流的social network公司的API都是走OAuth认证。管理identity有很多
现成的东西吧,LDAP, Kerbros都行。要高并发估计得自己整,也可以用AWS的IAM。 |
|
P****D 发帖数: 11146 | 19 http://shell909090.com/blog/2011/12/密码为什么明文存放/
密码为什么明文存放
shell
Posted on 2011 年 12 月 22 日
很早就写过一篇blog,说到过,你的密码应当一次一密,至少某些密码泄露时不至于
波及太广。结果这次CSDN不幸中枪。我不去讨论多少人急急忙忙修改密码,多少人数据
泄露,单说说为什么很多时候密码是明文存放的。
就我有记忆以来,我写应用就从来没有明文存放过密码。最起先是md5方式存放。md5
可以让你找到hash值,有的时候也会被用于穷举。但是无论如何,md5密码本身比明文
安全很多。后来改成了challenge-response验证模式,也是用md5做的hash后进行c-r的
。再后来,md5的碰撞冲突的论文出来,后面用的多数都是sha256了。从头到脚,我就
没做过密码明文存放,并且,我认为这是正常程序员最起码的修养。(当然,明文存放
的代码不是没有,不过那是调试模式) 但是现在我所知,很多系统的身份验证都是密
码明文存放的,为什么?其实我不大理解。不过有时候问起,有些人和我说了几个我觉
得不是搪塞的... 阅读全帖 |
|
h******b 发帖数: 6055 | 20 公司出个新api, 是oauth 2 authorization code的token验证。 我想搞个前端mvp产
品。卡在http.get的cross domain这一步上。
三哥说他这个api因为安全问题不能打开cross domain,我本来打算用jsonp他说不支持
(我稍微有点怀疑这个,毕竟谷歌到过instagram的oauth+jsonp的例子,但毕竟不是我
专长)。
他建议我用nodejs抓数据然后expose给我的网页。 这样就same domain了。 真的应
该这么做吗还是有更好的方案。 数据敏感,让他在服务器端打开cors不可能了。听上
去好麻烦,自己家服务器的api我还得用node搞个middleware。 |
|
z***e 发帖数: 5393 | 21 这不算吧,比如iphone上面那些什么mitbbs的app什么的还不是用同样的技术,一个是
server post,一个是client post而已,要说盗,都可以说被盗了。
大不了加个warning,愿意输入就输入,不愿意就算了。
主要是mitbbs这破站也没开放个OAUTH接口,不然就方便了。
还有一招:
1. 首先获取所有mitbbs用户名
2. 用一个script调用mitbbs的站内邮箱发送接口(一个post form之类的),然后对所
有用户发信,信里面就是他们的初始密码
换句话说也就是新站自动帮每个用户创建帐户,然后把密码发给用户。 |
|
m*t 发帖数: 7490 | 22 转:
谷歌打不开 google打不开,与中国大陆封杀有关,但是主要是因为最近google服务器
在全球范围内重新进行了布局调整。
解决办法是只要修改用户本地计算机hosts文件就可以了。
一、Windows系统修改hosts文件的方法
windows系统hosts文件在本地电脑C盘,路径是:C:WindowsSystem32driversetc
用记事本txt文件打开hosts文件。
(如果提示没有管理权限的话,可把hosts文件复制,粘贴到电脑的桌面。在电脑桌面
上双击hosts文件,用记事本打开,添加代码修改,保存,再把桌面上这个hosts文件复
制,粘贴到C:WindowsSystem32Driversetc 文件夹里,电脑提示“是否替换”,点击“
是”,替换原来的hosts文件。)
(如果没找到hosts文件,可在本帖末尾下载一个新hosts,复制到C:
WindowsSystem32Driversetc 文件夹里。)
在hosts文件中把鼠标光标移到最下面那行代码末尾,回车换行,再添加进如下代码(
代码前面不加 # ):
203.208.46.176 0-focus-open... 阅读全帖 |
|
l*******t 发帖数: 1430 | 23 智瘸啊。应该类似oauth,把你的信息一股脑倒给银行或第三方,然后从内边带着auth
token重定向 |
|
W***I 发帖数: 552 | 24 傻X
這不一樣嗎?
銀行開了個窗口給疼訊查詢你的個人訊息、银行有告訴你嗎?
: 智瘸啊。应该类似oauth,把你的信息一股脑倒给银行或第三方,然后从内边带
着auth
: token重定向
|
|
|
P********d 发帖数: 53 | 26 公司位于加州湾区redwood city,现在有5个人。现在进去股份还是不错的,薪水也可
以给到市场价。工作描述见下。如感兴趣,请先站内联系吧,谢谢。
We're working to change how companies utilize data for mobile apps. You
might know our founding team from popular social and mobile games that
scaled to 80M monthly active unique users, an $80M annual revenue run rate
and was the #1 Top grossing app in iOS and Android.
What's in it for you?
• Competitive salary
• Meaningful Equity
• Full benefits (medical, dental, vision)
In this senior role, you will b... 阅读全帖 |
|
|
|
c******t 发帖数: 1500 | 29 我有点儿不明白
user authentication,难道不是维护一个用户名和密码的数据库就可以了吗?怎么和
oAuth扯上关系了呢? |
|
C*Y 发帖数: 736 | 30 大概是指gmail的authentication是实现了OAuth协议的 |
|
|
|
c******t 发帖数: 1500 | 33 我有点儿不明白
user authentication,难道不是维护一个用户名和密码的数据库就可以了吗?怎么和
oAuth扯上关系了呢? |
|
C*Y 发帖数: 736 | 34 大概是指gmail的authentication是实现了OAuth协议的 |
|
d********w 发帖数: 363 | 35 职位:performance engineer
1) 3-tier web application, analyze possible bottleneck
2) calculate power(int x, int y)
3) sorted array,find intersection,
4) jvm heap management, gc mechanism, block, c++/java difference
5) merge sorted array, how to optimize in large scale.
6) given a client and server, server transfer a large data file e.g. (10M)
, traffic is full in network, how to improve the performance. i.e. response
time reduce to half of original version.
7) Wordcount how to improve performance,... 阅读全帖 |
|
r****n 发帖数: 114 | 36 please feel free to forward on this message to any of you friends who may be
interested! 10 week assignment in Dublin, OH. Thank you!
Here’s what we’re seeking in an app developer:
Required
Experience building web applications using:
HTML
CSS
Javascript
Experience using Javascript libraries such as YUI or Jquery
Experience working with REST web services
Experience building applications which consume XML and/or JSON from web
services
Knowledge of OpenSo... 阅读全帖 |
|
|
j***n 发帖数: 301 | 38 If you have been following up with things you might not be surprised that we
have multiple software engineer positions here at Yahoo again! The openings
are mainly for Y! Membership team, which is in charge of all Y! account
life cycle management. The job duties include but are not limited to: large
scale system design, implementation and maintenance; concurrent programming,
web development using C/C++/PHP; Hadoop programing, etc. Whether you are a
freshly graduated/graduating student looking fo... 阅读全帖 |
|
f****g 发帖数: 313 | 39 I am working at application Security industry for a year, and I am still a
newbie:-) But I love to share my $0.02.
Knowledge and Skill sets:
If you are working in Web Security:
* Web technology stack, from the most basic principle like same domain
origin policy to latest technology like PostMessage, WebSocket etc.
* OWASP Top 10 Web Security Vulnerabilities
* Applied cryto. How to generate PRNG? How to store customers' password?
what is the crypto algorithms/libraries you are going to suggest d... 阅读全帖 |
|
c********t 发帖数: 4527 | 40 Simply from Wiki:
Application security encompasses measures taken throughout the application's
life-cycle to prevent exceptions in the security policy of an application
or the underlying system (vulnerabilities) through flaws in the design,
development, deployment, upgrade, or maintenance of the application.
Applications only control the use of resources granted to them, and not
which resources are granted to them. They, in turn, determine the use of
these resources by users of the application t... 阅读全帖 |
|
f***s 发帖数: 112 | 41 login with facebook account or twitter?
If mitbbs provide oauth API, even better... |
|
|
e*****t 发帖数: 1005 | 43 当然,怎么都离不开server端。 比如说刚刚举的例子,就需要server端设置cookie的
属性啊,比如说domain,path,还有一个很重要的就是httponly flag,这样javascript
,甚至java applet都不可见这个cookie了。
浏览器只是提供这些feature的support,最终都是server端来设置。
防止XSS现在大多数网站都搞的okay,现在cross-domain的问题是如果你的website要和
别人的website interact,怎么搞。流行的方案自然是oauth.
domain
指点 |
|
e*****t 发帖数: 1005 | 44 永远可以你的webpage永远可以含有去别的website的link或者ajax call啊。否则那些
计数器,排名,广告这些这么搞?关键是security,如果是public什么问题都没有,可
是如果是需要authentication或者authorization的,人家就需要你somehow是验证过的
来防止XSS。
所以这个东西就是某种token (cookie本质上不也是header里面的token嘛)。oauth就
是让你的server和人家的server negotiate一个token,这个token包含了一个negotiate
的expiration time和允许的permissions,这就是为什么你访问很多网站会出现说他们
要用你的facebook或者什么其他网站的permissions。 |
|
p*****2 发帖数: 21240 | 45
negotiate
oauth我知道,我不理解的是,你拿到facebook的token,然后你页面的JS就可以call
Facebook了? |
|
P********d 发帖数: 53 | 46 公司位于加州湾区redwood city,现在有5个人。现在进去股份还是不错的,薪水也可
以给到市场价。工作描述见下。如感兴趣,请先站内联系吧,谢谢。
We're working to change how companies utilize data for mobile apps. You
might know our founding team from popular social and mobile games that
scaled to 80M monthly active unique users, an $80M annual revenue run rate
and was the #1 Top grossing app in iOS and Android.
What's in it for you?
• Competitive salary
• Meaningful Equity
• Full benefits (medical, dental, vision)
In this senior role, you will b... 阅读全帖 |
|
l*****t 发帖数: 117 | 47 提供内推,感兴趣可以把简历发到 [email protected]
(function(){try{var s,a,i,j,r,c,l,b=document.getElementsByTagName("script");l=b[b.length-1].previousSibling;a=l.getAttribute('data-cfemail');if(a){s='';r=parseInt(a.substr(0,2),16);for(j=2;a.length-j;j+=2){c=parseInt(a.substr(j,2),16)^r;s+=String.fromCharCode(c);}s=document.createTextNode(s);l.parentNode.replaceChild(s,l);}}catch(e){}})();
/* ]]> */
, 最好人在湾区。
Verizon Palo Alto office is actively recruiting. Come, be part of the
formative VZLabs team at the newly... 阅读全帖 |
|
s*****r 发帖数: 43070 | 48 single sign on? SAML 和 OAuth |
|
s******e 发帖数: 108 | 49 send your resume to charlesriver2010 AT yahoo.com
software engineer 2(master or fresh graduate with 1/2 years is ok)
Location: San Jose, CA
Team:
As part of the Trust and Identity team in eBay you will be work on
products relating to Identity Services (Authentication,
Authorization, User Management, Identity verification
and Web Services security), Device Fingerprinting,
Account linking/entity resolution, and ID Federation
protocols (OAuth, SAML, WS-Security, OpenID, SCIM).
You will build and su... 阅读全帖 |
|