kaif 積分 1

看了一下NIST.SP.800-63b. 相關的有這段

Provide clear, meaningful and actionable feedback on entry errors to reduce user confusion and frustration. Significant usability implications arise when users do not know they have entered text incorrectly.

kaif 積分 0

試一下google和fb都沒有這樣做, 可惜台灣大部分資安規則還是有這條, 可能十年以後才拿得掉

kaif 積分 0

(MUST) 使用 UTF-8。 => 這python非ascii使用者蠻需要的,現在python json lib default都會編碼成ascii,不知道之後有沒有機會改變。

kaif 積分 0

比較精確的說是為了最佳化,值保存在L1 cache,沒有sync回L2/memory。有誤請指正。

另外這應該是比較節儉的語言才會有這種最佳化吧,好像golang python什麼的不會有這種狀況。

kaif 積分 0


kaif 積分 0


kaif 積分 0

這板很明顯的偏差阿, 報憂不報喜, 也有人從這裡跳出來現在公司估值6e要不要講一下

kaif 積分 0


kaif 積分 0 編輯於

他建議現階段一般都先改MANIFEST.MF就好,不用先加module-info.java。測了一下這樣改必須把intellij (2017.3 EAP), maven compiler plugin (3.7.0)等等都升到最新版才會work。

kaif 積分 0

Do not release to Maven Central a modular jar file that depends on an automatic module, unless the automatic module has an "Automatic-Module-Name" MANIFEST.MF entry.

kaif 積分 0


kaif 積分 0

每個人有自己的repos, 然後用maillist交換patch這樣xd 類似古早魔改maple/windtop那樣吧...

kaif 積分 1

因為各種因素重看了一下原文, 部分摘要如下:


在最新的版本(第三版),此文件由原本一份被拆分為四份文件,其中密碼原則部分落於800-63B Authentication and Lifecycle Management [1]。

在800-63B中,密碼規則主要敘述於Section 5.1.1 (Memorized Secret) ,以及Appendix A (Strength of Memorized Secrets)。其中5.1.1提供密碼規則的規範,Appendix A則提供密碼規則制定的理由的背景討論。

考量此文件與這次討論較有關部分, 節錄5.1.1 密碼規則規定如下: 1. Memorized secrets SHALL be at least 8 characters in length if chosen by the subscriber. 2. Verifiers SHOULD permit subscriber-chosen memorized secrets at least 64 characters in length. 3. No other complexity requirements for memorized secrets SHOULD be imposed. 4. When processing requests to establish and change memorized secrets, verifiers SHALL compare the prospective secrets against a list that contains values known to be commonly-used, expected, or compromised. 5. Verifiers SHOULD offer guidance to the subscriber, such as a password-strength meter 6. the verifier SHALL limit consecutive failed authentication attempts on a single account to no more than 100. 7. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily

其中第三點規範密碼規則不應該要求複雜字元, 而應以黑名單及長度增加破解難度。第六點表示應限制密碼猜測頻率, 且在附錄A提到此機制應該要有足夠容許用戶打錯密碼的機會並避免造成DoS攻擊。第七點規定系統不應該要求用戶定期改密碼。

kaif 積分 0

有些老一輩不喜歡這種中央集權的, 喜歡用maillist之類的

kaif 積分 0

感覺舊的程式在9跑蠻多地方要注意的, 連intellij都有問題xd

kaif 積分 0 編輯於

第一次看到 PACLEC thorem1 ,不過感覺跟他的回應沒什麼關係