@ZaneCode6574 所以我说 fido 的 passkey 方案是个半残疾，压根不适合用于工业场景。apple/google 他们这么做是不负责任的表现。

@mschultz 我想表达的本意是这些信息都能看，那么存储在 icloud 数据库或者存储里面的数据，看个加密数据的密钥算什么，依赖审计也是相信 apple, google 的人靠谱。

@mschultz 你说的很有道理，我绝对认同。

但是有个问题就是用户个人资料(电话/地址)更应该被 e2e 传输和加密存储，更应该被严格限制访问，不是么？

@coolcoffee fido 硬件里面的私钥是不会离开设备的。但是 apple 和 google 他们支持的 fido alliance 协议标准，是不用 fido 硬件支持的，直接存储手机的安全存储区的，如果要同步或者需要跨设备使用，只能是 icloud 或者 google cloud

很多人一看到 e2e 就觉得安全，可靠，事实不是这样的。
e2e 是可以被中间人（开发商）劫持，被中间人替换掉 对方的公钥，从而捕获到中间对称加密的 key 的。

说会被定期 audit 啊什么之类的，这不是搞笑来着么？所以你吹牛的是他的内审机制，不是他的技术安全？

没有人好奇访问用户数据更是搞笑，就上个月，特斯拉才被爆出内部员工随意看特斯拉车主的视频和照片，拿出来炫耀嘲笑车主。居然还有人说没有人好奇所以不会访问。。。

@Ocean810975

问几个问题吧
1. keychain 是否经过苹果服务器？
2. keychain 的 e2e 安全么？
3. icloud 安全么？

不用辩论，直接回答 是 or 不是 就行了。

@dudewei 对啊，fido 这个方案本身就是半残疾的方案。工业产品不应该这么设计的，更不应该这么不负责任的推广。

@Biggoldfish icloud 里面的都能被看到，那么你凭什么说经过 icloud 的 keychain 看不到？ e2e 很牛逼么？不知道什么是中间人劫持么？哪个老师告诉你 e2e 就是安全的？

@Biggoldfish 在 2 里面，你也承认这 2 个公司想看数据不需要你允许了。 再 3 里面，你也承认少部分有权限可以看到了，所以你想表达啥？

@jiagm 你给我抠字眼，是么？

@jiagm https://www.zhihu.com/question/268317967 哦，我也不知道这个是不是真的。

@jiagm 我也不知道为啥，但是云上贵州他们好像就是看到了，说明所谓的端对端加密哪里有问题？

@codehz apple 和 google 默认同步

passkey 登录的原理就是 私钥签名，公钥验证签名的原理。现在 fido 的方案就是你的私钥要么在 fido 的 U 盾里面（ fido 自己的设备)，要么被 google cloud 或者 apple iCloud 同步，也就是 google 和 apple 的工程师都能看看你的私钥。

看到很多同学推荐 bitwarden ，我们先不说其他，先看看他的 nginx 日志里面的 [GET /notifications/hub?access_token=] 这个请求，然后把 access_token 后面的字符串，用 https://jwt.io 这样的可以解析 json web token 的工具，解析一下，看看他的内容是啥，麻蛋的，明文传输 email, 身份信息，验证信息，还是谁都可以捕获 的 http get 请求。
再来说要不要用 bitwarden 的问题和其他的安全性问题。

看到很多同学推荐 bitwarden ，我们先不说其他，先看看他的 [GET /notifications/hub?access_token=] 这个请求，然后把 access_token 后面的字符串，用 https://jwt.io 这样的可以解析 json web token 的工具，解析一下，看看他的内容是啥。再来说要不要用 bitwarden 的问题和其他的安全性问题。

对 solidity 的需求很少的，只要还是传统的业务支撑开发的。