💬 討論專區

💬 討論專區

真正去打造一樣幫助他人前進的東西,就不會失去動力

看到站長翻譯的[Ruby on Rails 之父:我怎麼學會寫程式的?](https://codelove.tw/@howtomakeaturn/post/k312Ya)這篇文章,想發表一點想法。 ## 真正的學習 我不是本科出身的,很長一段時間我都是亂無章法的自學。報名了一堆線上課程,也請過家教,甚至一度想要參加訓練營。但我一直都知道,那不適合我。 從架設第一個網站開始,我就有很「明確的問題」需要解決,所以一路上我幾乎都是「做中學」,問題在於,無人可以「糾正」我的錯誤,而錯誤不糾正,就難以進步。 所以我意識到我需要的不是尋找更好的課程,而是一個教練,一個可以糾正我的錯誤並引導我的教練,而不是手把手的教員。 教練很重要,教練的品格更重要,我無法把一個人的專業和他的品格分開(我找過不良品)。有些事情不能妥協,所以我才找到阿川。 DHH寫的這篇文章很簡短,我相信有很多「前後文」沒有提到。每個人的人生都有前後文,我們來自不同背景,或正在經歷不同的處境,我們都不是從零開始。 我們都被那些「學習神話」給洗腦了,如果有一種方式可以學會任何東西,那我想就是你那顆向學的「心」,而不是那些看起來很完美的學習路徑。 ## 為了重新學習美語發音,我開發了一個小工具 我正在重新學習美語發音,為了幫助和我一樣正在學習的人更好的練習,我開發了一個輔助的小工具,並藉此機會學習 JavaScript 這個程式語言。 這個小工具是根據[蕭博士](https://www.facebook.com/wen.hsiao.100)研發設計的PA注音符號表所建立,附上這張表的連結:https://drive.google.com/file/d/1mbxaL4yTAcJvWREeN179DAeQMgC2yCuK/view?usp=sharing 小工具中的注音符號卡,就是根據這張表的子音與母音的搭配所產生,我只是打亂出現的順序,作為學習者練習的輔助工具。下面附上這個小程式的連結: https://joyho37.github.io/pa-practice-tool/ 歡迎各位前輩或同儕抓蟲或給我建議,我們一起學習。 - - - 我相信把心放到你的程式裡,就會產生動力。

[發問]逆向與資安:這編碼(可能)是什麼?為何連使用者ID都要加密?

## 前情提要 呈[上篇](https://codelove.tw/@JsLover0018/post/gqvQwa),大概能理解有些檔案位置不想被try,所以需要動態改檔名。 而如果又是有價值的影片,加上token或是用hash去加密,好像也很合理, 總之讓你過期後就不能訪問,必須得經過再次驗證(允許的會員登入後發請求)再去拿到token, 這樣子對於資安來說是很合理的。 這也就延伸了我的新一個問題,有些網站連會員ID都經過加密(!?)。 ## 問題說明 ![](https://i.imgur.com/DbI8pUR.png) ![](https://i.imgur.com/j9naFqj.png) 這我就不特別說是哪些網站,就圖片提供,可以看到ID變成了 ``` oKA0twEww4DSxr9HDfMa 5a12d39f5e11b3702fa1922e ``` 這種東西 當然很明顯這種訪問就出現在網址列上的東西,應該不是很重要,點別人的會員空間, 通常就能看到,而且也是固定的,那麼加密的理由不是很明顯呢! 其次是通常要進行這種"不重要"資訊加密,應該也不會是非對稱類型那種太過複雜的(?) 我感覺大約也就是md5之類,不過其長度好像不同, 但確切去理解這兩種是什麼加密並不是我主要目的啦!主要目的是想知道: 其加密的理由、若當我是後臺管理員,該選擇哪一種加密手段用在這種ID上? ## 延伸討論 像本站的ID就是明文,網路上幫PTT做備份的那個PTT網站也是 (可以輕易透過userID去肉搜PTT帳號的那個網站) 我在想這樣子的所謂"加密" 也對爬蟲沒有什麼抵擋效果才對 難道說僅僅只是一種編碼? 其實會員帳號通常是英文的應該不需要 特地把中文字拿去編碼 如果說是因為保障安全 怕被人家try密碼所以隱藏帳號...? 感覺有可能 只是很多恐怕都能透過FB登入 這樣子的"安全機制"倒也是好像沒很重要 又或者這個編碼就正好是透過第三方憑證登入創造出來的一個code? 以上很多猜想都是我外行的想像 逐漸了解這些 未來有機會我也會架站 希望能深入了解這背後的原理 更重要的是動機 還請前輩多多指教

請問,exp這個不是可以隨便改的嗎?我以為是expire?

## 前情提要 是這樣的,最近研究逆向,其實研究很久了XD 常常看到網站上的mp4連結,會是一串位置,後面附上很多數值,類似token或加密的東西: 舉例 https://某網站net/exp=1708705706~acl=%2Fbdf53323-8c58-41e9-8d85-00c7b9174e08%2F%2A~hmac=bb644cf702c45f8e70a3a61c6e0c8c8b6353d6b4e2ecf0f5e395f89fc57660c3/bdf53323-8c58-41e9-8d85-00c7b9174e08/parcel/video/c089253b.mp4 有些數值是固定的我知道,但看起來exp似乎是expire,感覺是cookie的有效時間, 數字上看起來也像是timeStamp(時間戳) 理論上我修改一下應該不會有問題才對?結果無法,假設我更改成1708703980 就會變成是Access Denied 看來是說這網址的所有參數都是固定的囉? ## 深入研究 我嘗試關掉重開,第二次去看一下它發送的請求: https://某網站net/exp=1708707048~acl=%2Fbdf53323-8c58-41e9-8d85-00c7b9174e08%2F%2A~hmac=41582b98b6eaa767b327b060a358e63b082606777a83c5475ccdc4d49054151e/bdf53323-8c58-41e9-8d85-00c7b9174e08/parcel/video/27479ba9.mp4? 這就玄妙了,沒想到一切參數除了acl似乎沒有變化以外,居然連mp4前面的東西都變了 。 我這兩個是同一段影片才對,照理說應該要是固定的檔案名稱。 看來它應該是每次都有不同的加密去產生這樣的網址,後端再去作出驗證? 而exp可能也不是我單純想像的,而是也像是一組密碼?