00:00
好,我们接着看啊,接下来还剩一个什么呢?是不是验证那个IP地址了,对不对。我先来一个。IP啊,比如说这个是啊,浏览器端的IP地址行吗?比如说是192.168.1.1行吗?好,那么我们在这来一个string。呃。IPS是这样吧,好,这个是我这个啊,允许访问的这个IP地址对不对,好允许。访问的IP地址群,好多个IP地址之间啊,咱们可以用这个逗号去分割它,OK吧。啊,比如说1.11.2行吗?来怎么判断我这个IP有没有在这个IP里面。
01:04
E。IPS点。这回con了对吧,Contains contains是不是包含的意思啊,看看有没有包含这个IP对吧?好,S out,咱们来一个。好,有效的。IP地址啊,允许。访问系统是这样吧,啊,否则呢,这个是啊。好,IP地址受限。啊,请。联系管理员就这东西啊,就是根据用户这个需求来了,OK吧,这个提示信息啊,管理员行啊再看看。是不是有效的IP地址啊,那我现在如果来一个三呢。
02:06
这很明显是外来的IP没有在我允许访问的IP地址的这个范围之内,对不对?走,来看看。IP地址受限了啊,OK吧,行了,没有任何问题啊,我们一会儿啊,就按照这种形式来进行判断就行了,OK吧。好的好,最后啊,我们需要看一组啊,这个密码相关的这个问题啊好。CR user表当中我导入了两条记录,一条是张三一条是李四,对吧?Login act是账号对不对?谁是密码来着?Log in p WD是密码,这密码是什么鬼?你要你有没有用过这一大串的这个字符当密码。
03:04
不可能啊,他也记不住啊,对不对,OK们这东西到底是什么鬼呢?那大家注意啊,我们啊,其实这一大串啊,它所代表的意思就是什么呢?123,只不过这个123呢,是我们真真正正所保存的这个密码,也就它是属于我们这个密码界的铭文,OK吧,但是这种铭文的123你能不能够这样显示的保存在这个数据库表当中。为什么不能大家想一想?为什么?不安全对不对?它不安全在哪呢?它不安全在两方面身上,你想一想啊,咱们甲方的系统是不是乙方来开发,是这样吗?乙方万一有一些心术不正的人,以维护系统的名义,是不是就我就直接能看到你的这个数据库表啊?是这样吗?我们是it人员,我们给你们做的系统了,对不对,我看看你们数据库怎么了,你的系统已经用两年了,里边所有账号密码我全知道了,是这样吗?所以说这种铭文不能保存,再有一个什么呢?咱们说点高级的啊,也就是说啊,这个你如果国家要是使用这种形式的话,你看国家和国家之间就成天肯定是什么呀。
04:19
啊,往好听的讲,这这这这些人叫什么说叫叫黑客啊,对吧,我现在我直接把手伸到你的这个系统里边,把你系统中的这个表。给拿出来拷,拷贝到我的机器上,是不是也有可能啊,哎,我回去慢慢研究是吧,好,那大家注意了啊,你如果你这个是铭文的话,人家是不是一下就知道你的这个账号和密码对吧?好或者是什么呢?一些有用的这个信息都知道了,对不对?好所以说啊,尤其是属于我们安全翻头的密码这种东西啊,咱们不可能由这个啊数据库表啊,保存的是这种铭文的形式,OK吧,我们一定要保存的是什么呢?这个铭文转码后的。
05:01
密纹啊密纹那这一种大家注意啊,什么什么什么B70这种形式啊,它代表的就是123这种秘纹,我们使用的是什么呢?这种叫做MB5形式的加密,其实呢,我们对于密文啊,这个加密方式啊,在咱们这个世界范围之内啊,就搞密码学的啊,密码学是不是就属于一种高级的数学啊,对吧?啊他他挺高级的,他挺高级,他其实呢,这个做做这个做做密文呢啊有有几项技术OK吗?也不是很多,但是这个MD5呢。啊是其中的这个佼佼者是最出名的,现在全世界范围之内啊,都使用中的是MD5的形式来保存这个密码,那么也就是说以后咱们入职的这个公式啊,如果是保存这个密码的话,一定使用的是什么呢?MD5加密的方式啊保存的这个密文OK吧,那老师这个MD5是怎么算出来的呢?MD5是怎么把123算成这一大串的呢?那这个就我们就。
06:02
不用去考虑了,这是纯数学线的问题了,OK吧,我们要做的是什么呀?直接把这个MD5的这个工具拿来使用就行了,OK吧,那老师啊,那这个M第五加密之后是密文了,我是不知道它是123,不知道。但是我把这张表偷走了,我回去自己慢慢研究,我再给他解析成123不就得了吗?能解析不?它是解析不了的,因为MD5的这种加密方式啊。他是不可逆的。什么?你从铭文能加密成密文,但从密文啊,是不可能给他反啊反编译成这个铭文,如果这种算法啊,这种算法啊,如果你你把这个秘文啊,重新给它翻译成铭文,那这种算法出现是不是相当于什么宣告破解了。OK吧,它是不可能的,OK吗?好,所以说啊,以后我们使用的啊都是啊这种形式,OK吧,好,那么咱们这个FD5啊,老师提供了一个这个相应的这个工具啊,这个工具呢,就是这个MD5,这个U艇啊这些呢,都是从这个MD5啊,MD5那个数学性那个算法嘛,啊摘取摘取下来的一些个啊标准的生成这个啊秘文的这个算法,这个工具你直接拿来用就行了,OK吧,好,它来自于什么呢?这两个类啊,来自于咱们Java里边提供的security这个包,这个security表示什么意思,哎,安全的意思,OK吧,加va的这个安全包啊,咱们直接用就可以了,好,那接下来我们来看一看啊。
07:45
首先我们先来一个string,好,我们来一个密码PWD,好,我来一个123 OK吧,我要给他加密一下,非常的简单啊,我们提供了一个MD5。UOK吧,掉一个点MD5把咱们这个PWD啊。
08:06
好,放进去,它是一个什么呢?传铭文。取密文的这么一个方法,OK吧,好,我们直接把这个密文拿到啊,均咱们来一个PWD加密后呢,我来个一啊。啊,写的稍微复杂一点了,啊,行了,这么写来PWD好,我们来试试。大家注意看啊,是不是就是这一串。哎,这一串是不是就是咱们保存的这一串没错吧,那如果来点其他呢,我再多加个四呢,同学们我就不加四,我来个132,是不是就不肯定是不一样了。来试试啊。你看是不是又是另一套?看到没?哎,但是呢,我还是123,它生成的肯定还是什么呀。
09:02
那个那个那个B70那个看到没OK吧,这一点啊,这个算法来讲的话,它是固定的OK吧,好,那接下来啊,咱们来了解一下这个MD5啊,因为这个东西咱们以后用的比较多啊MD5啊。这种网站不用去管它,行一会一会咱们再来说他啊,一会儿咱们再说他啊,这个网站挺讨厌的是吧。好来,咱们先那个看一看这个MD5,这个百度百科啊,首先这个FD5啊,它是由这个美国密码学家这个罗纳德里维斯特啊做的啊,九二年代替的这个MD4。啊,也就是说啊,它从这个算法啊,算法来讲的话啊,有了很大的差别,但是呢啊,从这个命名来讲的话,MMD4MD5,那MD5之后肯定是什么样,MD6MD6其实现在也有,但是属于那种这个预备测试的那个阶段,还没有广泛的铺开呢,OK吧,所以说现在全世界范围啊,这个使用的仍然是这个MD5 OK吧,这个MD5这个算法啊,是被我们现在啊全世界啊范围内被广泛使用的这种啊啊散列算法好,那么这个MD5其实啊。
10:30
啊,被破解过一次啊,被破解成功了一次,这个破解他的人是一个中国人啊,我来看。哎,对,有同学能听过啊,这个这个这个女人叫王小云啊。这个这这个这个人是挺厉害的啊。好。嗯。一分钟了解王晓云是吧,我视频就不播了啊啊,他是清华大学的密码理论学与技术研究中心的这个主任。
11:05
你只要是一个学校啊,或者是一个这个政府部门主任,这两个字知道意味着什么不,哎就是什么官呢,那官有的是对不对,它是属于一种最高级别的官的,OK吧,也就是说清华大学啊,只要是这个啊,啊与这个密码啊,密码理论相关的,它是老大,OK吧,好呃,他最重要的这个贡献啊,就是把咱们这个MD5给他破了啊,OK吧,把MD5给破了之后啊,那肯定有他的这个这个技术团队呢,对不对啊,破了之后啊,再开发这个世界级的这个密码学大会的时候啊,然后这个他就跟那个MD5团队就说了啊,我把你们这个MD5就给破了。人当还不信呢,然后他给演示一下,确实给破了,通过秘文就直接能算成这个铭文啊,就直接就能算OK吧,然后呢,这个MD5这个团队呢,从之前的这个MD5里边啊,吸取教训啊,进行了重新加盐加密的这个操作啊。
12:10
啊,咱们密码学界加盐啊,是一个。什么呀,泡脚啊,加盐加密啊,这个加盐呢,它是属于我们对于这个算法的一种理解,你想一想,就比如说咱们是一大锅菜,对不对。你想一想,它原来是那个味道,我是不是稍微往里边撒那么一丁点盐,是不是相当于是什么呢?这整个菜,整个整个锅,那个菜的味道是不是就变了,就相当于什么呢?它在原有这个算法的基础之上啊,他做了点手脚,加点新东西,那谁也不知道加的是什么,那问题在这儿呢?那数学界能多多广大呀,对不对?好,一直到现在啊,加盐之后啊,一直到现在啊,也没有被这个破解过。OK吧,所以说现在啊,大家去放心使用就可以了,OK吧,好,那最后呢,咱们来说一说刚才打脸的这个啊。
13:03
叫什么CMD5是吧,我看你们眼睛都是都是注视在这一条上的,什么什么在线解密是这样吗。行,咱们来看看这个东西啊,能不能给我解密了啊。是MD5选一下。大家注意啊。注意看这个MD5是属于什么呢?它是属于啊,一种反向查询,通过穷举字符组合的方式啊,创建了铭文秘密文啊,对应的这种键词对字符串,OK吧,创建的记录有九十万亿条,占用硬盘超过500个T,所以说大家注意啊,我刚才这个密文是被它破解了让他算出来的吗?而是。
14:12
查出来的,它这个数据库老大了,OK吧,好,那比如说啊,我现在再来一个啊,再来一个。好,我再来一个稍微简单点的啊,北京power note啊,给他点机会行吗?我看看这个能不能啊,这个如果是正常的话,你看看咱们这个密码是不是也是比较简单的,它是纯英文,而且都是小写对不对,一般来讲啊,就这种啊,在人家九十万亿条记录里边啊,其实都应该是存在的,OK吧。来看看啊。嗯,MD5查询,哎,看到没。已查到,但是这是一条付费记录,请点击购买,那大家注意啊,这个东西啊,它你你购买啊,能不能买呢,他不是骗钱的。
15:08
真能卖,人家是真有人就靠这个挣钱呢,OK吧,啊是真有好,所以说呢,还是因为我们的密码呢。啊,太简单了对不对,好,我加点这个大写这个字母啊,我再随机的加点这个数字OK吧,好这个东西啊。他在哪?给我查出来。这是这不太可能了啊,不太可能。你这你要给我查出来了,我是这节课白讲了,我颜面何存?啊,吓死我了啊,未查到啊,未查到看到没?好也就是说啊,我为什么要给你演示他呢?警醒着我们以后虽然有MD5给我们撑腰,但是我们是不是仍然在做注册的时候要把密码设置的复杂一些啊,能理解吧,好,所以说啊,就是因为有这种网站的这个存在嘛,对不对啊,人家想要密码啊,你就一查或者人家付费100就行了,OK吧,把这个密码啊尽量设置的这个复杂一点,不论你的这个淘宝还是京东啊,越复杂越好,OK吧。
16:26
行了,这个咱们暂时就先过了啊,所以说啊,大家注意啊,我们这个密码啊,你想一想,咱们这个密码既然保存的是这种密文,那么我们提交的这个真正的这个铭文,是不是首先得先转换为密文,再跟表中的这个记录做比对啊。好,行,这个就是我们所有需要验的这个东西了,好。
我来说两句