Security 面試問題 - 未名空间MITBBS历史存档

国际科技财经博客移民网络热点娱乐民生时事公众号

Redian新闻

>未名空间

>JobHunting - 待字闺中

Security 面試問題

Security 面試問題# JobHunting - 待字闺中

HQ2013-04-11 07:04

1 楼

如果你们附近有好几个人都买的同一个人卖的墨盒
可能碰上一些不nice的店就会有麻烦。
你想象一下，人家看到每天有这么多中国人来，都拿的一模一样的墨盒
事不关己的人可能就睁一只眼闭一只眼，但是如果不是这样的人，
可能就找各种理由不让你搞。
我碰到过有cashier说怎么这么多中国人都是一模一样的墨盒，还找来经理，他以为我也
是那种的，不过我不是版上买的。所以也就没什么好说的了。
所以我觉得版上卖墨盒的，最好还是限制每个地区的买主个数。其实也都能卖出去，大
家也都好过。

r*e2013-04-11 07:04

2 楼

解釋一下以下2個有什麼不同，那個安全一些? 有何trade off?
1.Signing before Encryption
2.Signing after Encryption?

h*a2013-04-11 07:04

3 楼

估计我这没什么人退
也就是这个店经理太mean，才退那么点磨合
就开始极为不爽了
好像抢了她的钱一样

我也

【在 HQ 的大作中提到】

: 如果你们附近有好几个人都买的同一个人卖的墨盒
: 可能碰上一些不nice的店就会有麻烦。
: 你想象一下，人家看到每天有这么多中国人来，都拿的一模一样的墨盒
: 事不关己的人可能就睁一只眼闭一只眼，但是如果不是这样的人，
: 可能就找各种理由不让你搞。
: 我碰到过有cashier说怎么这么多中国人都是一模一样的墨盒，还找来经理，他以为我也
: 是那种的，不过我不是版上买的。所以也就没什么好说的了。
: 所以我觉得版上卖墨盒的，最好还是限制每个地区的买主个数。其实也都能卖出去，大
: 家也都好过。

a*02013-04-11 07:04

4 楼

第一个解密再公钥，第二个公钥后解密，有区别么？

HQ2013-04-11 07:04

5 楼

不好说吧
呵呵，OD店太少了，现在搞这个的人太多了

【在 h********a 的大作中提到】

: 估计我这没什么人退
: 也就是这个店经理太mean，才退那么点磨合
: 就开始极为不爽了
: 好像抢了她的钱一样
:
: 我也

u*g2013-04-11 07:04

6 楼

我猜第一个没办法剥离签名部分第二个可以剥离？
能说下啥公司么？

h*a2013-04-11 07:04

7 楼

我感觉应该不是太多的人去退
如果是那样的话，头几天我去退应该就有感觉
btw od/om/staples真打算回收这些磨合去refill再卖么？
还是只是吸引顾客而已？

【在 HQ 的大作中提到】

: 不好说吧
: 呵呵，OD店太少了，现在搞这个的人太多了

p*22013-04-11 07:04

8 楼

第二个更安全

HQ2013-04-11 07:04

9 楼

你还没明白
如果有20个人去搞，都拿的五花八门的墨盒
对比
如果有10个人中国人，都拿着一模一样的墨盒
这不是需要你想象的那么多人就能搞糟的。
美国人买东西特别是买墨盒顺便recycle几个经常可见，你那个店也不可能拒绝的。

【在 h********a 的大作中提到】

: 我感觉应该不是太多的人去退
: 如果是那样的话，头几天我去退应该就有感觉
: btw od/om/staples真打算回收这些磨合去refill再卖么？
: 还是只是吸引顾客而已？

r*e2013-04-11 07:04

10 楼

求詳解啊

h*a2013-04-11 07:04

11 楼

你说的我想过
我的问题是
他们真回收哪些旧墨盒 refill然后拿来卖？
我看他们根本就是给他们墨盒后他们直接扔到废物箱里
不是专门的墨盒recycle 箱子

【在 HQ 的大作中提到】

: 你还没明白
: 如果有20个人去搞，都拿的五花八门的墨盒
: 对比
: 如果有10个人中国人，都拿着一模一样的墨盒
: 这不是需要你想象的那么多人就能搞糟的。
: 美国人买东西特别是买墨盒顺便recycle几个经常可见，你那个店也不可能拒绝的。

a*t2013-04-11 07:04

12 楼

Not a security expert but here's my thought.
Signing guarantees the integrity of the source data. If encryption is done
after signing, then you have to always perform decryption before knowing
whether the data is reliable or not. In such case if the encryption
algorithm is not strong enough it will be more susceptible to brute force
attack.

g*n2013-04-11 07:04

13 楼

Really depend on the cashier, when i recycle my inks, they don't even count.
...

p*22013-04-11 07:04

14 楼

很容易被DDOS攻击

【在 r*****e 的大作中提到】

: 求詳解啊

s*s2013-04-11 07:04

15 楼

你拿都不一样的墨盒也没有用，正常情况有几个人有那么多自用墨盒去退啊

【在 HQ 的大作中提到】

p*22013-04-11 07:04

16 楼

done
没看明白。如果加密算法弱，两种方法没什么区别吧？

【在 a**********t 的大作中提到】

: Not a security expert but here's my thought.
: Signing guarantees the integrity of the source data. If encryption is done
: after signing, then you have to always perform decryption before knowing
: whether the data is reliable or not. In such case if the encryption
: algorithm is not strong enough it will be more susceptible to brute force
: attack.

h*a2013-04-11 07:04

17 楼

我也跟你的想法一样，除非公司天天打印，否则哪有那么多自用墨盒阿
所以我的疑问就是
他们的政策每天5个，到底他们要回收这个墨盒干啥？
貌似小二直接扔掉阿
他们不就是吸引顾客么？

【在 s*****s 的大作中提到】

: 你拿都不一样的墨盒也没有用，正常情况有几个人有那么多自用墨盒去退啊

j*f2013-04-11 07:04

18 楼

sign before encryption, you know what you are signing, it's a secret who
signed it, but you can only verify signature after decryption.
sign after encryption, you don't know what you signing, it's not a secret
who signed it, but you can verify signature without decryption.

HQ2013-04-11 07:04

19 楼

靠，理解个问题怎么这么难
很多中国人都拿一模一样的墨盒去搞，跟一个人一下子去搞很多个account,对于人家店
里面的人感觉是一样的，他们会觉得你们是一伙的。

【在 s*****s 的大作中提到】

: 你拿都不一样的墨盒也没有用，正常情况有几个人有那么多自用墨盒去退啊

a*t2013-04-11 07:04

20 楼

Let me try it one more time.
Both schemes have their pros and cons.
In the real word Signing is usually implemented with asymmetric key and
encryption (of large data) usually uses symmetric key.
The reason is that signing is usually performed on the hash of the message
only thus it can afford the low efficiency of asymmetric algorithm, while
encryption is performed on the entire message and symmetric algorithm is
much faster.
Signing after encryption
pro: the receiver of the message doesn't have to decrypt message from
untrusted source. As peking2 mentioned this might reduce the load on the
receiver side and minimize DDOS attack surface.
con: if there are 2 legitimate users on the same network and user B can
intercept user A's encrypted message and replace user A's signature with
user B's then send it out to impersonate user A.
The pros and cons of signing before encryption are just the opposite of
above.
My concern is that if there's any plain text (like signer's identity)
contained in the signature besides the encrypted hash value itself, then the
receiver now has both plain text and cipher text of part of the message.
This could be a welcome note to hackers.
But again I'm not an expert, looking forward to comments.

【在 p*****2 的大作中提到】

:
: done
: 没看明白。如果加密算法弱，两种方法没什么区别吧？

s*y2013-04-11 07:04

21 楼

一伙的也无所谓，关键看小二了。好的小二是需要培养感情的。

p*22013-04-11 07:04

22 楼

con: if there are 2 legitimate users on the same network and user B can
intercept user A's encrypted message and replace user A's signature with
user B's then send it out to impersonate user A.
我认为B和server之间的secret A不会得到
如果server得到date tampered by A。server会用A的secret去decrpyt。这样就得不到
原文。貌似没什么security issue呀？况且，A的身份已经报漏了。

m*j2013-04-11 07:04

23 楼

墨盒都是工业产品，当然一模一样了
关键还是别太夸张，如果同一张脸每天出现在一个商店，想让人家不记住你都难

p*22013-04-11 07:04

24 楼

My concern is that if there's any plain text (like signer's identity)
contained in the signature besides the encrypted hash value itself, then the
receiver now has both plain text and cipher text of part of the message.
This could be a welcome note to hackers.
这个能具体说说吗？貌似现在是不是都这么干的？

s*s2013-04-11 07:04

25 楼

我是不太明白你想表达的意思，让不让你退主要是取决于各个店的小二和经理，对于不
nice的店，你去2次可能都会被记住。退的人多当然也会有影响，lz说的这种情况肯定
是因为那家店太mean啊。

【在 HQ 的大作中提到】

: 靠，理解个问题怎么这么难
: 很多中国人都拿一模一样的墨盒去搞，跟一个人一下子去搞很多个account,对于人家店
: 里面的人感觉是一样的，他们会觉得你们是一伙的。

r*e2013-04-11 07:04

26 楼

Not quite understand what is going on here.. please help --
你說
con: if there are 2 legitimate users on the same network and user B can
intercept user A's encrypted message and replace user A's signature with
user B's then send it out to impersonate user A.
但如果
Let say the 2 legitimate users in communication are A and C. A is sending
MAC(encrypted package) and the encrypted package to C. B received it and
took off A's signature. Replacing by B's own signature.
How can B impersonate user A ? B only can sign the encypted package by his(
B) signature.
So when C receive it.. C knows this is signed by B but not A, so C wil
reject the package..
Please correct me, I know I miss something.. Thanks!

【在 a**********t 的大作中提到】

: Let me try it one more time.
: Both schemes have their pros and cons.
: In the real word Signing is usually implemented with asymmetric key and
: encryption (of large data) usually uses symmetric key.
: The reason is that signing is usually performed on the hash of the message
: only thus it can afford the low efficiency of asymmetric algorithm, while
: encryption is performed on the entire message and symmetric algorithm is
: much faster.
: Signing after encryption
: pro: the receiver of the message doesn't have to decrypt message from

h*a2013-04-11 07:04

27 楼

记不记住根本就无所谓的
只要是政策允许的
你不偷不抢，他凭什么补不执行政策
更何况，中国人不让他们记住是不可能的
去一趟就能记半年一年的
即使不是你，是另外一个中国人，他也能把脸放在你身上
说就是你
以前买wii的时候在walmart/gamestop 头一次去碰到过几次

【在 m***j 的大作中提到】

: 墨盒都是工业产品，当然一模一样了
: 关键还是别太夸张，如果同一张脸每天出现在一个商店，想让人家不记住你都难

a*t2013-04-11 07:04

28 楼

I don't think in the real world it will be a problem as long as both schemes
are implemented properly.
But there could be chance in the bad implementation that the encryption key
is connection based thus the receiver still decrypts the message but is made
believe that the message is from B instead of A.

【在 p*****2 的大作中提到】

: con: if there are 2 legitimate users on the same network and user B can
: intercept user A's encrypted message and replace user A's signature with
: user B's then send it out to impersonate user A.
: 我认为B和server之间的secret A不会得到
: 如果server得到date tampered by A。server会用A的secret去decrpyt。这样就得不到
: 原文。貌似没什么security issue呀？况且，A的身份已经报漏了。

O*O2013-04-11 07:04

29 楼

尤其是pp女小儿

【在 s*******y 的大作中提到】

: 一伙的也无所谓，关键看小二了。好的小二是需要培养感情的。

a*t2013-04-11 07:04

30 楼

My personal take is that it's best practice in cryptology world not to
encrypt any plain text everyone already knows especially in case of
symmetric key encryption.
http://en.wikipedia.org/wiki/Known-plaintext_attack
However such concern might be moot for modern ciphers.

the

【在 p*****2 的大作中提到】

: My concern is that if there's any plain text (like signer's identity)
: contained in the signature besides the encrypted hash value itself, then the
: receiver now has both plain text and cipher text of part of the message.
: This could be a welcome note to hackers.
: 这个能具体说说吗？貌似现在是不是都这么干的？

D*I2013-04-11 07:04

31 楼

就跟回收可乐瓶一样的啊

【在 h********a 的大作中提到】

: 记不记住根本就无所谓的
: 只要是政策允许的
: 你不偷不抢，他凭什么补不执行政策
: 更何况，中国人不让他们记住是不可能的
: 去一趟就能记半年一年的
: 即使不是你，是另外一个中国人，他也能把脸放在你身上
: 说就是你
: 以前买wii的时候在walmart/gamestop 头一次去碰到过几次

r*e2013-04-11 07:04

32 楼

大牛們能答答我上面的問題嗎？

h*a2013-04-11 07:04

33 楼

那回收可乐瓶是干啥的？

【在 D*****I 的大作中提到】

: 就跟回收可乐瓶一样的啊

a*t2013-04-11 07:04

34 楼

Not DaNiu, don't take my words too seriously :)
I think you are all right, but again it falls into detail of implementation.
A conversation is usually encrypted with a session key which is exchanged
during hand shaking period. In this case C should always validate if the
signature is generated by the initial user (A) instead of assuming the
message is from B. Yet still there's no chance for B to tamper the message
body.

his(

【在 r*****e 的大作中提到】

: Not quite understand what is going on here.. please help --
: 你說
: con: if there are 2 legitimate users on the same network and user B can
: intercept user A's encrypted message and replace user A's signature with
: user B's then send it out to impersonate user A.
: 但如果
: Let say the 2 legitimate users in communication are A and C. A is sending
: MAC(encrypted package) and the encrypted package to C. B received it and
: took off A's signature. Replacing by B's own signature.
: How can B impersonate user A ? B only can sign the encypted package by his(

c*g2013-04-11 07:04

35 楼

This quarter I went to OD only once :-(

我也

【在 HQ 的大作中提到】

m*r2013-04-11 07:04

36 楼

i have not entered od for quite a long time, maybe over 200 days

【在 c********g 的大作中提到】

: This quarter I went to OD only once :-(
:
: 我也

m*u2013-04-11 07:04

37 楼

你大哥我2年多没去了

【在 m*r 的大作中提到】

: i have not entered od for quite a long time, maybe over 200 days

C*g2013-04-11 07:04

38 楼

从来木去过的咕噜噜滚过

你大哥我2年多没去了

【在 m*****u 的大作中提到】

: 你大哥我2年多没去了

a*n2013-04-11 07:04

39 楼

我们这边的是扔到一个绿色的recycle箱子里

【在 h********a 的大作中提到】

: 你说的我想过
: 我的问题是
: 他们真回收哪些旧墨盒 refill然后拿来卖？
: 我看他们根本就是给他们墨盒后他们直接扔到废物箱里
: 不是专门的墨盒recycle 箱子

B*D2013-04-11 07:04

40 楼

我们这里也是

【在 a****n 的大作中提到】

: 我们这边的是扔到一个绿色的recycle箱子里

d*f2013-04-11 07:04

41 楼

当然

【在 h********a 的大作中提到】

h*a2013-04-11 07:04

42 楼

包装好当作新墨盒卖？

【在 d********f 的大作中提到】

: 当然

h*d2013-04-11 07:04

43 楼

yes. There are two purposes:
1. re-fill and sell (that is why OM do not take any damaged ones)
2. attract customer's to visit.
The point is that the program is not meant for you to make money! So you
better not abuse it so that they change the policy. It is very easy to
change it to limit to 2 per day. :) Then you are happy?

【在 h********a 的大作中提到】

: 包装好当作新墨盒卖？

h*a2013-04-11 07:04

44 楼

如果仅从我自身来说，
我显然是happy德拉
因为出了气，反正他不让我搞我就懒得挣这个辛苦钱了
lol
你们别瞎担心啦，我没那么大能量，会改变整个od的policy
影响到你们挣钱

【在 h****d 的大作中提到】

: yes. There are two purposes:
: 1. re-fill and sell (that is why OM do not take any damaged ones)
: 2. attract customer's to visit.
: The point is that the program is not meant for you to make money! So you
: better not abuse it so that they change the policy. It is very easy to
: change it to limit to 2 per day. :) Then you are happy?