- A+
(之所以发PHP是因为自己比较熟悉这个领域,而这个问题好像又没有对应的其它领域)
一年前曾经内部PK一个API参数传输方案的时候,个人不同意架构师提出的自创方案(不过原因不是安全方面),认为应当采取业界广泛应用的事实传输标准。但因为没有经验无法举例证明其问题,故最终PK失败(PK内容细节可见这里)。现在回头看,自己是对的,自创方案在后面的其它产品就再没使用,而PHP Hash Collisions Ddos直接将这个自创方案送入了地狱。
之所以想起这件事,是因为在今年2月份的时候研究过一些手机应用的API通讯,发现其自创标准者众,但似乎有些没有考虑到安全性的问题;而另一方面,钓鱼wifi和http明文传输协议的冲突也在wooyun不断曝光,场景在变导致原有标准不适应现在的安全需求,“don’t roll your own”在这种场景转换下完全失去了说服力……以上总总,让开发者们时常感到困惑——遵循还是自创标准,真是一个问题。有关博文写了纲要,但因对安全研究不透,老觉得是不是写错了什么。所以想问问各位,遵循还是自创标准之间的界限是在哪里?或者这么讲,在确定使用一个标准(无论是已有还是自创)后,是否只需要确定好使用场景,就认为是安全的?