Comments (8)
额,官方的登录页面http://music.163.com/ ,就是非TLS登陆。
看来网易自己就在耍流氓。
from musicbox.
嘛……理论上来讲能用TLS就用TLS当然是Best Practice,但是实践上很多国内公司都做不到,其实这的确是一个很不负责任的表现.
像github, G+, facebook这种网站且不说登录页面TLS,更是实现了全域TLS,可见在这方面的安全重要性.
另一方面来讲,虽然我没有调查过,但是我相信网易既然有TLS登陆的接口(https://music.163.com/api/login ),就应该是在使用的……
我强烈怀疑网易自己的手机/Windows客户端是TLS登陆的,至于网页端不这么做纯粹因为他们觉得用网页端的人少……
我觉得我们的项目的安全性还是要向Windows客户端看齐的……
from musicbox.
嗯,没错,客户端经过抓包确实是TLS登陆的,但是 Ubuntu 证书错误的确是个问题,本人平时并不使用 Ubuntu。 在没找到解决方案之前,所以只能临时去掉了TLS登陆,毕竟先得保证 Ubuntu 用户能用才能再考虑可能存在的安全问题。
你要是常用 Ubuntu 环境的话可以帮忙看看啊,应该是 Ubuntu 系统问题,纯净 Ubuntu 也会报错,其他系统不存在这个问题。
from musicbox.
没问题,我可以比较方便的接触Ubuntu环境,回头有空就看看……
不过我觉得如果是证书错误的话,优先尝试https登陆,出错再Drop back回http登陆或许也可以是一个方案?
from musicbox.
看来是urllib3更新引起的
https://urllib3.readthedocs.org/en/latest/security.html#insecureplatformwarning
Python2.7.9 以下使用urllib3 1.9就会报错,看来只要等Python更新就好,或者禁用ssl检查
from musicbox.
这这情况一般是把证书指纹内嵌到软件中,在建立 SSL 连接的时候校验一下服务端的证书是否与预置的相等
from musicbox.
@typcn 但是这样的话,服务端要是换证书了软件也得更新后才能用啊……
from musicbox.
一般证书至少都是一年换的吧。。。
from musicbox.
Related Issues (20)
- 树莓派raspbian32位无法登录 HOT 2
- 按照README文件安装后使用“musicbox”时提示无此命令
- KeyError: 'song_id' HOT 1
- 树莓派报错 HOT 3
- 建议支持MPRIS来集成到Linux桌面
- 树莓派登入账户时报错 HOT 3
- 是否可以增加一个只显示歌词的界面
- 开始运行后报错
- 希望添加音量🔊显示
- 无法登录
- 32位系统无法直接登录,显示登录信息好像不对 HOT 1
- 打开“每日歌曲推荐”后,已登录用户下线,无法打开日推
- Android Termux 下无法播放音乐 HOT 2
- 接口可能有问题 HOT 2
- 我在排行榜音乐里面搜索伍佰的歌曲,出现报错
- 这个i项目还在维护吗,没怎么看懂怎么用,虽然这个star 有点多。 HOT 2
- termux只能看评论 HOT 2
- 这个是干什么的,可以问问嘛。。。
- 请修复登录问题 HOT 1
- Cryptographic API Misuse Vulnerability : Do not use non-random/static)predictable IVs in CBC
Recommend Projects
-
React
A declarative, efficient, and flexible JavaScript library for building user interfaces.
-
Vue.js
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
-
Typescript
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
-
TensorFlow
An Open Source Machine Learning Framework for Everyone
-
Django
The Web framework for perfectionists with deadlines.
-
Laravel
A PHP framework for web artisans
-
D3
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
-
Recommend Topics
-
javascript
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
-
web
Some thing interesting about web. New door for the world.
-
server
A server is a program made to process requests and deliver data to clients.
-
Machine learning
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
-
Visualization
Some thing interesting about visualization, use data art
-
Game
Some thing interesting about game, make everyone happy.
Recommend Org
-
Facebook
We are working to build community through open source technology. NB: members must have two-factor auth.
-
Microsoft
Open source projects and samples from Microsoft.
-
Google
Google ❤️ Open Source for everyone.
-
Alibaba
Alibaba Open Source for everyone
-
D3
Data-Driven Documents codes.
-
Tencent
China tencent open source team.
from musicbox.