又拍云 表单api 作为不可信用户上传的方式 是否安全

发布于 2022-08-24 12:21:31 字数 343 浏览 24 评论 0

应用的情景是这样的,因为服务器本身带宽很小,可是又有大量的图片上传请求,所以想让用户直接将图片直接上传至又拍,而不通过web服务器中转

又拍云提供的方式是表单api,表单api主要包含两个参数

policy:一个是对于上传图片的描述和上传处理规则,经过base64编码,这是一个公开字符串,大概有几百个字符吧
sign: md5加盐后的一个字符串,即 md5 ( plicy + 密码 ),可是这里的“盐”是公开的,密码比较随机吧应该

在这样的情况下,破解出密码的难度是多大,或者说破解的难度会随着公开的盐的长度又怎么样的变化

或者说如果采用表单api进行这样的应用,会不会很容易密码就被破解

谢谢!

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(3

丶情人眼里出诗心の 2022-08-31 12:21:31

你的这个例子,由于md5原文足够长,因为彩虹表肯定是搞不了,想要破解的话只能是硬算,因此破解难度取决于md5的可靠性和你密码的复杂度。

就目前来说,md5虽然有坑(可以找出碰撞),但是还不足以直接“碰撞”找出你的密码。所以最后还是看密码的复杂度。

根据最新的消息,一个由大小写字母和数字组成的8位密码仅需要愈200万亿次运算,即20分钟就能完全穷举这样的MD5加密密码。即使算上标准键盘上所有标点符号 (95^8),也仅需10小时就能穷举完毕。据此可以估计,如果你采用16个字符以上,混合大小写、数字、特殊符号,以这个系统来说所需的攻击时间至少需要7.57×10^12年,在目前人类掌握的计算能力下是搞不定的。

笑,眼淚并存 2022-08-31 12:21:31

同问,如果想让用户直接上传文件到又怕云,恐怕还是需要官方出个上传浏览器插件,毕竟我们的网站代码没法读取用户的电脑文件。(必须上传到服务器以后才可获取文件内容,js没有本地IO的api)

crypt单行加密的破解还是比较麻烦的(支持md5和des混淆等加密方式),虽然md5已经被破解了,但是估计不会有什么人费那么大的劲来破解攻击你吧。可以结合业务安全需要来做权衡,个人认为比较安全的。

岁月染过的梦 2022-08-31 12:21:31

28位大小字母、数字、特殊字符,木有问题的。

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文