我感觉是正事呀 而且非常正，有些功能很实用

小开发者饭碗什么意思？是说很多小开发者也在做 git 客户端？

你们只关注到东哥的“兄弟”定义问题

我个人觉得 PDD 的成功是典型的劣币驱逐良币，这才是更大的问题，谁还做产业升级。

起点的 VIP 账号，好像打 6 折吧，现在即使充会员也没这折扣？
给女朋友买的化妆镜（小几百呢 就加个灯），但确实好用，每次她用的时候都夸我买的好

Jetbrains 自带的，其它的我都不会用了 哈哈哈

@zlowly 看你说的 我自己也想了下。虽然在大公司，但很多时候都是螺丝钉， [身边有参加过 HW 的，或者打过 CTF 的同学同事] 真的很少。业务部门也就有安全工单的时候和安全部门有接触。倒不是说不关注安全，功能开发能按安全 SOP 做好就已经打败 90%的人了

@kenvix
@viruscamp

我和两位老哥观点一致，作用肯定是有作用的。但要想大范围推起来，还是很难的，就是有成本（不仅仅是技术方案）。

HTTPS 能推起来我始终觉得浏览器（不记得是不是 chrome ）功劳最大，如果它不提示“不安全的”几个大字，到现在都可能还是 http 为主

我先说一下讨论的基线，一般流程：
https 明文密码+后端 salt hash 存储

再说楼主的方案：
[因为简单的不使用明文只需要哈希盐一下]

比如中间有泄露的可能，假设是在 CDN
对于我自己的网站，黑客还是可以直接使用前端 hash 的结果重放。策略无用
最大的作用是这个密码不能去其它网站撞库了

但带来一些工程上的复杂性，前端 salt 如何轮换？

当然前端 hash 这个问题也是月经贴了。这个不是重点，我的意思是现有方案已经足够安全了（一开始说的基线），前端 hash 并没有安全太多。

这事我当年也干过，幸好只是公司内部全员

@YangWaleed +1 前端加密方案不拿出来说没有意义

不能高估大家的技术能力，比如短信验证码接口上直接返回的事情都有，前端加密这种更复杂的工程，更容易出篓子。实际就是成本和收益不成正比。

楼主你说的没问题，但不是所有业务都需要那么高的安全级别，再直白一点，有成本

“另外更简单的一个思考，如果不用明文、我们实现上增加了什么成本，带来了收益，有什么损失”，我来说说有什么成本：
1. 你密码加密用什么方式，RSA ？还是先 RSA 传递密钥再 AES ？
2. 密钥轮换策略呢？为了安全最后是每个用户密钥不一样，还有保存和轮换的问题
3. 密码要加密，传递的用户敏感信息（比如身份证号）是否要加密呢。你不要说这个不用，按严格的隐私保护策略，也需要，防止中间层泄露
再扯远点按欧盟或者一些其它地方的隐私保护，你很多数据存数据库都是要加密的，但为什么不做，还是成本

https 为什么能铺开，就是因为应用层不需要任何修改，网关加一层 https 就行。再加上浏览器厂商的强制推行，这才普及，不然没人改的。

工作这么多年（ TOP3 大厂），非资金或者涉密相关的业务，就普通 web/app 。安全很多时候都是嘴上说说，而且很多人嘴上都没说对。但近几年为什么安全确实越来越重视了，1 是法律法规的影响（不说欧盟，国内也有，这不信息安全月才过去）。2 是各种平台的严格审核，最常见的就是 Android 日志里面不能打印隐私信息，拒审几次就教做人了 3 是安全事故确实影响大（倒不是说用户信息多少珍贵，是舆情风险）
说的这些并不是说我不赞同做的更安全（反而我是 ToB 的，某些场景为了安全投入了 N 倍的开发成本），但实际情况就是有很多成本和意识问题。

@xsen 面试不就会问这些嘛 以及这些方案的优劣

面试造火箭还是有点用的

一般来说就 http 最方便了 python 起个服务，后面要转流式（ base http/3 ）也方便

差生文具多

之前也是入职好几年了才换到 Mac ，没啥关系。说到配置环境，哪有那么麻烦，我觉得学编程最关键的就是自驱力，你是学习阶段，不是马上要搬砖做完项目早点下班，如果连点点环境问题就无法探索解决，那早点放弃吧

@lsylsy2 那是不是，前阵子我刚给女朋友，她钉钉远程打开

说说自己的情况吧

给父母补交了农村养老保险，这个你得看看当地的情况，我们那边每个月可以领 400-500 ，具体要 7 年还是多少年才能回本，整体来说是赚的，更多的是父母每个月可以领点钱，会觉得老有所依。说的养老金亏空那是等我们以后，现在还是很富裕的

我们直接的小工具 大概 3-4 个页面 主要是列表信息展示
大小 < 40MB
内存占用 50-200MB ，看情况，页面表单信息多了还得涨

你媳妇没工作可以用你的 你了解下

然后挂靠现在风险高

其它的不知道，没操作过