f*******5
发帖数: 10321 | 1 你的意思是Android还用不到master和Visa版本的token服务。google有自己的token化
流程,在kitkat后就可以用了
it. |
|
v****e
发帖数: 19471 | 2 错。Apple Pay的安全在于你的卡号并不存储在iPhone上。iPhone上存储的是一个token
,代替你的卡号,然后这个信息在交易发生时再实时送到银行防火墙后面去de-
tokenize。IC上面存储的还是你的卡号,只是存储介质相对更安全。很显然,这是两个
不同级别的安全——一个是有得偷但是很难偷,另一个是想偷的信息根本就不在这个东
西上。 |
|
a9
发帖数: 21638 | 3 所以说这是一个级别的。目前还没有办法偷出这个卡号来。
再说,偷出token来一样可以盗用,没有任何区别。
token
用卡 |
|
v****e
发帖数: 19471 | 4 Token reissue一下很容易,卡号要是compromise了你就得reissue card了。而且token
是device-specific, IC没有其他auth points,没法cross verify。
但我觉得Apple Pay的牛逼之处还是在方便和将来和各种loyalty program的整合上面。
IC这东西还是个plastic,被动存储的一个介质,属于上一代的form factor,要渐渐远
去的。明年你会看到各种基于HCE的NFC方案,到时候form factor的局面就会更明朗了
。对于业内的朋友们来讲,其实已经特别明朗啦。 |
|
S****M
发帖数: 2198 | 5 就算你拿到token怎么用?别忘了token是device specific哦。是不是要偷手机加剁手
指了? |
|
v****e
发帖数: 19471 | 6 错。Apple Pay的安全在于你的卡号并不存储在iPhone上。iPhone上存储的是一个token
,代替你的卡号,然后这个信息在交易发生时再实时送到银行防火墙后面去de-
tokenize。IC上面存储的还是你的卡号,只是存储介质相对更安全。很显然,这是两个
不同级别的安全——一个是有得偷但是很难偷,另一个是想偷的信息根本就不在这个东
西上。 |
|
a9
发帖数: 21638 | 7 所以说这是一个级别的。目前还没有办法偷出这个卡号来。
再说,偷出token来一样可以盗用,没有任何区别。
token
用卡 |
|
v****e
发帖数: 19471 | 8 Token reissue一下很容易,卡号要是compromise了你就得reissue card了。而且token
是device-specific, IC没有其他auth points,没法cross verify。
但我觉得Apple Pay的牛逼之处还是在方便和将来和各种loyalty program的整合上面。
IC这东西还是个plastic,被动存储的一个介质,属于上一代的form factor,要渐渐远
去的。明年你会看到各种基于HCE的NFC方案,到时候form factor的局面就会更明朗了
。对于业内的朋友们来讲,其实已经特别明朗啦。 |
|
S****M
发帖数: 2198 | 9 就算你拿到token怎么用?别忘了token是device specific哦。是不是要偷手机加剁手
指了? |
|
a*****i
发帖数: 4391 | 10 【 以下文字转载自 Programming 讨论区 】
【 原文由 ayanami 所发表 】
For a e-commerce website, how do you generate random tokens and send them
to clients to track them on your website? Do you store all the tokens
in the database or any other better ways?
I would like to hear real life experience in a windows based environment,
not hypothesis.
Thanks! |
|
I**********s
发帖数: 441 | 11 javaCC用在java平台上是不错. 说到LR parser, 并没有流行的版本. 常用的yacc,
bison, byacc等都是LALR(1). LR(1)的优点在于可以分析所有context free的语法, 这
一点LALR(1)做不到. 而LL的语法也可以转换成LR(1). Knuth的原LR(1)算法长期一直被
认为速度太慢, 产生的parsing table太大. 即便现在, 用Knuth原算法实现的LR(1)
parser generator也常常需要很长时间才能完成运算. 比如我听说一个C++
implementation对于一个about 120 tokens, 350 production的语法, 要20分钟才能得
到结果. 另外一个implementation(in Python?), 作者称对大约100 tokens, 500
productions的语法, "I let it run for nearly three days, and it was far from
finishing, but using nearly 16GB of memory" |
|
g*********s
发帖数: 1782 | 12 【 以下文字转载自 Programming 讨论区 】
发信人: gandjmitbbs (Nothing), 信区: Programming
标 题: yacc/bison的调试和分析工具?
发信站: BBS 未名空间站 (Tue May 27 17:42:05 2008)
有个lex/yacc写的文本分析器,现在需要更改一个词法单位string的实现,基本想法是
把返回值从strdup(yytext)改成yytext,用shallow copy来减少malloc/free操作频率
,提高运行效率。
但是更改这个词法单位后引发了链锁反应,所有涉及这个词法单位的yacc状态都要相应
地修改。手工跟踪了一下,非常多。一个一个改,容易错也容易漏。
有没有什么yacc/bison的调试和分析工具,能静态分析,告知有哪些状态需要修改,这
样可以按图索骥?
另外定义了YYDEBUG,也定义了int yydebug=1,调试时报告的状态转换和都是编码,60
,51等,报告的token只有名称,比如string,没有yytext的具体内容。能直接打出状
态名称,还有当前处理的token内容吗?
更 |
|
e***i
发帖数: 3894 | 13 这个说来话长了,黑客拿到的只是一部分token seed ,一起用的那个Pin还是安全的
除非你的Pin被拿到token的黑客给钓鱼或者keylog了,而且他还能建立起Pin和Seed的
对应,否则这
个双重认证还是安全的
rsa_securid2_original.jpg |
|
c*********e
发帖数: 16335 | 14 用session["xxx"],因为客户端会有cookie。
现在流行用token,所以把变量值通过setToken(a,b)放到token 里去,据说好?
哪位大牛分析下? |
|
z**r
发帖数: 17771 | 15 I heard that all the beta testers now have token to invite somebody else? do
you have a token? :)
/1 |
|
z**r
发帖数: 17771 | 16 I know some ppl have tokens, but I don't know them well, so I am too shy to
ask token from them, hehe |
|
a*****e
发帖数: 176 | 17 很弱的问题。
在自己的电脑上装了公司的VPN软件,然后connect,需要用户名和密码,
我还拿到了一个token,上面的数字不停变化,这个token是干什么用的?
我用登录公司机器的用户名和密码,但是不work。 |
|
z**r
发帖数: 17771 | 18 很多公司为了安全,都使用一次性密码,有的是通过一个pager或者类似的东西,隔一
会儿发送一个,有的是用软件产生token,你登录的时候需要用这个token作为一次性密码 |
|
a***n
发帖数: 262 | 19 You might be able to get INE RS whole package
including all workbooks, advanced technology COD
open lecture, bootcamp COD, 400 tokens around $1500.
Yes, you could bargain with the sales via online chat.
Self study is enough.
Sometimes you could buy half priced tokens.
GNS3/dynamips will work.
to build your own rack, that might cost around $5000.
The best is to use some part from your working place,
buy what you could not find. |
|
x*********n
发帖数: 28013 | 20 ine随便买一点token,然后你就有email广告过来,看准时机50%买token。 |
|
m**********e
发帖数: 12525 | 21 省省吧
win7 sp1和vista区别重大,vista的办法可以用在win7上,但是
不能用在win7 sp1上,sp1上采用新的token,用老办法没几天就
非法用户了.
win8和win7 sp1除了token目录位置不同外,机制没啥区别 |
|
F**********I
发帖数: 1000 | 22 OEM机制 Vista和W7 sp1一样。
不过OEM激活过的W7sp1,如果把Bios里的slic表抹去,token文件不变都会变成盗版的。
再把Bios里的slic表加上来,盗版的又变成激活的了。
OEM激活其实与你替不替换token,没有关系。 |
|
E**a
发帖数: 275 | 23 初衷:原本想用pogoplug架个surveillance webcam,然后把video stream和snapshots
自动上传到dropbox(之所以用dropbox,是因为这个不需要安装客户端,其他的软件俺
暂时没找到解决方案). 用lsusb和hwinfo都能看到我的6年老的logitech quickcam pro
for notebook,但motion始终无法打开/dev/video0,用ls /dev/video*查看竟然无
video device,真tm奇怪。
下面姑且把dropbox搞定:
1. 下载dropbox_uploader的bash script(这个非原创,非常赞的script)
https://github.com/andreafabrizi/Dropbox-Uploader
这个bash script不需要你的dropbox的账号密码
2. 解压上传到Pogoplug里某个文件夹,e.g., /mnt/DropboxUl,其中包含Readme和
dropbox_uploader.sh
3. 首次运行并设置Dropbox帐号关联:
-------... 阅读全帖 |
|
d******i
发帖数: 7160 | 24 在freedns.afraid.org
申请了一个ddns,
把token拷到tomato/DDNS里面的Token / URL,
(奇怪根本不要username、password)
然后Update successful了。
这时可以ping通ddns地址了。
然后设了port forwarding,
却没法浏览器访问ddns地址:外port
(自然 内网ip:内网port 是可浏览的)
哪里的问题?路由器还是afraid.org? |
|
f****y
发帖数: 70 | 25 我用javacc做一个简单语法分析
token定义如下
TOKEN :
{
|
|
|
< FUNC: ["a"-"z"] ( ["a"-"z","A"-"Z","_","0"-"9"] )* >
|
|
< ID: ( ["a"-"z","A"-"Z","_","0"-"9"] )+ >
}
FUNC指函数名,ID指任意字符窜,就是说这样的情况是合法的FUNC(ID)
。
不过这样的问题是ID的定义包含FUNC,就是在解析的时候,比如遇到test,就不知道是
FUNC还是ID。
这里规定如果函数如果没有参数就省去括号,比如done和test(d)都可以是函数。
所以不知道如何定义,函数名和ID可以解析的时候可以区别。 |
|
T*****e
发帖数: 361 | 26 代码如下:
import java.util.*;
public class test {
public static void main(String[] args) {
List list = new ArrayList( 100 );
for( int i = 0; i < 10; i ++ ){
list.add( i, String.valueOf( i*31 % 20 ) );
}
Collections.sort( list );
System.out.println( list );
}
}
编译错误:(jdk 1.5.0_01)
Exception in thread "main" java.lang.Error: Unresolved compilation problems:
Syntax error on token "<", invalid AssignmentOperator
Syntax error on token "=", != expected
Syntax |
|
c*****t
发帖数: 1879 | 27 SAX = a lexer that parse an XML document into tokens and generate
events on the token recieved. As you can imagine, there will
be continuous streams of events. Thus, some call SAX stream
or SAX event driven etc.
The SAX engine provided by JDK sucks. No hooks for custom entities
unless the XML document explicitly contains the DTD spec.
DOM = a generated tree of objects (think of DOM tree for html elements
in web browser, only this is for all XML documents).
Crimson/Xerc |
|
m******t
发帖数: 2416 | 28 javascript can't be relied on, but it's still useful - saves a server trip
whenever possible.
There are a few server-side solutions:
1. Set sessionForm to true in the controller. A duplicated submission would
come when there isn't a form in the session (having been consumed by the
first one), which would make it invalid. This isn't a fail-safe solution.
There can be race conditions.
2. As coconut said, generate a token/timestamp and put it in a hidden field.
If a token comes in for the second ti |
|
t*g
发帖数: 1758 | 29 We did store the original text. I don't have problems in dumping the
original text. I can dump it from through Hit Documents. However, what I
need is to dump the tokenized text. It doesn't exist in the Hit Documents.
Looks like I need to go into indices to get the tokenized documents. But I'm
new to Lucene, I can't find a way to do it. Need help! Thx. |
|
t*******e
发帖数: 684 | 30
.
'm
This is impossible. Inverted index in a search engine stores terms
(tokens) in a term index file as the search key, which maps Document IDs,
and returns matched Documents as the query results. But not the other way around.
The terms you specified in you query are the tokens you may use to highlight
the original text. |
|
m****r
发帖数: 6639 | 31 take a look at twitter's oauth docs.
once you have an user's access token, you can use it to access that user's
info, not your info. if you want to access somebody else's info, you will
need to get that account's access token.
户啊 |
|
c*********e
发帖数: 16335 | 32 server发出一个token,手机接收到token了去连接某个web services?
netwo
cli
network |
|
t***u
发帖数: 368 | 33 I am looking for a solution for passing client certificate (x509) along with
a web service call:
I have a x509 certificate and a private key, how can I can create a custom
security context token and apply that token to a SOAP message sent using
Axis2?
Thanks in advance! |
|
S*A
发帖数: 7142 | 34 RSA ID token 是允许一定时间漂移的范围的。
你每次登陆的时候就相当于在 server 上面 sync 一下,知道你在
哪个范围里。如果很长时间不用 RSA id 就容易 out of sync.
这时候要求你连续输入两组 token 上的数字来 re-sync.
不信你经常把 ID的数字换了才输入上一次的序列,一点一点
人为加大这个漂移。养成习惯经过足够长时间可以让你的 RSA ID
out of sync 出几秒来。 |
|
F****3
发帖数: 1504 | 35 谢谢各位大哥帮忙!!!!
试了一下autoconf,好像卡住了。
fas133@ubuntu:~/temp/geoip-api-c-master$ autoconf
configure.ac:6: error: possibly undefined macro: AM_INIT_AUTOMAKE
If this token and others are legitimate, please use m4_pattern_allow.
See the Autoconf documentation.
./configure终于能执行了。
fas133@ubuntu:~/temp/geoip-api-c-master$ ./configure
checking for gcc... gcc
checking whether the C compiler works... yes
checking for C compiler default output file name... a.out
checking for suffix of executables...
... 阅读全帖 |
|
c*****t
发帖数: 1879 | 36 For LR parsers, when a set of tokens couldn't be reduced, there is a
error. At this point, you can decided on a case by case basis to
manipulate the parsing stack or directly generate an error.
For LL parsers, if your look ahead token isn't what you expect (such
as missing ';'), you can insert this pretty easily. Usually LL parsers
is a bit easier for this kind of stuff.
I'd say don't waste your time on itt. It's really not that importat. |
|
g*********s
发帖数: 1782 | 37 有个lex/yacc写的文本分析器,现在需要更改一个词法单位string的实现,基本想法是
把返回值从strdup(yytext)改成yytext,用shallow copy来减少malloc/free操作频率
,提高运行效率。
但是更改这个词法单位后引发了链锁反应,所有涉及这个词法单位的yacc状态都要相应
地修改。手工跟踪了一下,非常多。一个一个改,容易错也容易漏。
有没有什么yacc/bison的调试和分析工具,能静态分析,告知有哪些状态需要修改,这
样可以按图索骥?
另外定义了YYDEBUG,也定义了int yydebug=1,调试时报告的状态转换和都是编码,60
,51等,报告的token只有名称,比如string,没有yytext的具体内容。能直接打出状
态名称,还有当前处理的token内容吗?
更进一步,有比lex/yacc更快的C++ based parser工具吗?ANTLR的C++实现似乎还在进
行中。
谢谢指教! |
|
l***8
发帖数: 149 | 38 The parser/tokenizer will always try to match the longest string. Therefore
when it encounters a sequence of "i+++j" it will generate four tokens:
(1) identifier "i"
(2) operator "++"
(3) operator "+"
(4) identifier "j" |
|
X****r
发帖数: 3557 | 39 宏函数替换的时候所有不是用在#或##里的参数也会被宏展开,所以你这里g和h
并不等价。
g(f((1,2),3)) => "f((1,2),3))"
h(f((1,2),3)) => g(f((1,2),3)的宏展开),
但是f((1,2),3) => (1,2)3 编译错误
C89 6.10.3.1 Argument substitution
1 After the arguments for the invocation of a function-like
macro have been identified, argument substitution takes
place. A parameter in the replacement list, unless
preceded by a # or ## preprocessing token or followed by
a ## preprocessing token (see below), is replaced by the
corresponding argument after all |
|
c*********e
发帖数: 16335 | 40 goodbug,设置OAuth要几天?我的web server,application server在一起,全是用的
iis. 这样行吗?同一個server,发出token,然后接到token,是不是不安全?
unique
can
cannot |
|
g*****g
发帖数: 34805 | 41 你完全不知道自己在说啥呀,所有的validation,都不需要参与transaction。一个个
外部validation跑过去,过了发个token,让用户点击确认,连这个token一起提交才产
生用户,这之前完全没有本地数据库参与,没什么瓶颈。而产生用户这一步用我说的
sharding
可以很轻松的解决。如果某个外部validation API不能处理这个并发量,那是外部服务
scalability的问题,不需要在这个网站里解决,也没法在这个网站里解决。
如果transaction参与validation是没法注册用户的原因,那是设计的错误,但不等于
必须用async解决,transaction本来就是越小越好。你让用户提交大量invaliid的数据
到数据库里本身就不是什么好的设计。我再说一遍,amazon至少在UI上来说,是个sync
process,提交订单就立刻跟我说成不成功,订单立刻就产生一个transaction提交到
数据库。如果有异步的process来
另外验证这个订单,那也是另一回事。
我说这么多帖子,提出来的解决办法的核心就是用户直接完全没有关系,可以完美划分。
... 阅读全帖 |
|
c****3
发帖数: 10787 | 42 那个串起来的单机其实和Token-Ring差不多,这种结构是证明能工作的,就是效率差点
,所以后来不用Token-Ring了。 |
|
k****i
发帖数: 1072 | 43 token存本地,通过header传回server。研究一下bearer token的原理
Claimant
the
attacks |
|
