※ 引述《Aser (itsumo tanoshijianaite)》之铭言： : ※ 引述《montreal (╮(╯3╰)╭)》之铭言： : : 他不一定是从图库里面取代表每个数字的图出来拼喔 : : 很多网页程式语言是可以「画图」的(比如说PHP的GD函式库) : : 比如说系统先产生五码乱数，然後在给定的程式中，命令程式去「画出」那五位数 : : 当然画0-9阿拉伯数字的程式是预先写好的 : : 这样有回到到你的问题吗? : 其实我也不太知道系统给乱数的方式是怎麽做的 : 感谢m大跟上面cpt的回答 现在至少有概念了~~ : 不过我原先的意思是 : 譬如当client要求连上时 系统乱数产生一个号码图片７ : 并将此图片档名编码成 ex: CarBYnE.jpg 然後传给client : client收到图片之後看到图形７ 於是输入"7"传回给server : server收到密码"7" 比对自己的资料: CarBYnE.jpg = 7 : 於是便认定client端密码验证通过 : 但是在此之前系统必须先将7用特定方式转换成代码CarBYnE : 以便之後资料比对 : 而这个转换的方式是不是很随机的用乱数配对 : 或是用特定的函数组合去产生 : 如果是後者, 那使用者只要有够多的资料不就可以破解了吗?? : 我的意思是 连线很多次 : 收到很多类似CarBYnE DHrkiO EfWHjL fhWUij wOMkFd之类的乱码 : 并且知道它们分别代表7 0 5 7 3等等 : 不知道这样问是不是太异想天开XD 已经有很多人回答技术上的部份了， 我比较想从另一方面来看这个问题。 如果你只用木头箱子的话，装太好的锁也没意义。 只要简单的验证系统就足以把大部分的人拦住， 能考虑的更复杂固然不错， 但如果系统本身在其他方面存在漏洞， 就算在这方面上做的无懈可击， 对於系统安全性的提昇并没有太大的帮助。 换句话说，这方面的考虑，只要做到够用就好了， 做的太复杂可能只是增加不必要的成本而已。 -- Cuius rei demonstrationem mirabilem sane detexi. Hanc marginis exiguitas non caperet. --Pierre de Fermat (I have a truly marvelous proof of this proposition which this margin is too narrow to contain.) --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.212.171