俗话说漫天要价就地还钱嘛，先加钱再降价出吧，对方讨便宜的心理得到了满足，自己也不亏就是了

@ryd994 #17 说客户端 hash 密码造成开发测试的不方便就是一种成本，你说没有任何成本，你俩要不先打一架

至于 CDN 日志泄密，又不是只有 CDN 才会有日志安全的问题，自己的服务器也有啊。上面发的 github 和 twitter 明文密码泄露的新闻只要点开过也不会认为这两个的漏洞是出在 CDN 的日志上

客户端加盐也可以不同的账号根据算法采用不同的盐

都说了语气没必要那么盛，又是反问句三连。你平时是当领导呵斥下属习惯了还是怎么。。咄咄之势你还是留给他们吧，恕不奉陪

@ryd994 嗯，不明文储存密码肯定是有意义的

不过我从来没说过 TLS 是“不完全可信的”，相反，我对 TLS 的安全性充分信任，即使有可能出问题那也是在 TLS 之外，比如 CDN 、负载均衡器或网页服务器解密流量后。至于客户端 hash ，我还是觉得不能一竿子打死。像 github 和 twitter 这种大厂都出现过日志泄露明文密码的漏洞，所以也不能说客户端 hash 是完全的无用功，毕竟可以减少整个链路的攻击面，万一日志配置有误也不会造成明文密码泄露，相当于多加了一道保险

https://www.sohu.com/a/230309592_465914
https://www.sohu.com/a/230826659_175007

这些大厂之所以不这么选择可能是基于成本的考量，认为这样带来的收益远低于增加的成本，但并不能得出这么做就没有任何意义的结论

@kop1989smurf “入伙”这个词确实意义比较多

最早是加入某个集体或集团的意思：

《水浒传．第一一回》：“如今官司追捕小人紧急，无处安身，特投这山寨里好汉入伙。”
《孤本元明杂剧．闹铜台．第二折》：“他百般的不肯入伙，下山去了。”

后来又有了加入集体伙食的意思：

《中国青年》 1984 年第六期：“越忠端着从学校食堂打来的饭菜，递给没有入伙却因临时情况不能回家吃午饭的同学。”

现在搞房地产的多沿用粤语地区的说法，称乔迁新居为入伙 /入火。这个说法有可能是源于“进火”，指厨灶落成首次生火：

《廿载繁华梦》第十七回：“况今儿正是进火，不如一发请几名师傅和几位禅师，开坛念经，超幽作福，是不消说了。”

@ryd994 Keep relax~ 反问句三连差点噎到我了，我们是在讨论不是在争吵，语气没必要那么盛哈，心平气和有助于身心健康^_^

Anyway ，每次出现拖库事件，在已经造成损失的前提下，用户还是更希望泄露的是加了盐的 hash 而不是明文密码吧。上面那位 V 友的意思也差不多，比方说有人在 V2EX 用的密码是 Sbkill1rQlb6xv2 ，那么假如泄露了明文密码，撞库攻击者很可能会按照规律(十步杀一人千里不留行+网站名缩写)猜测这个人在 cloudflare 用的密码是 Sbkill1rQlb6xcf

@nothingistrue 现在很多第三方 CDN 和负载均衡器都是在他们那边实施 SSL 卸载，方便实现缓存和页面规则，不是说想让它不获取就不获取的

不明文传输和保存用户的密码确实并没有给服务本身带来什么额外的安全性，但是却能有效降低数据泄露后用户的其他服务被撞库的风险，这对于很多常用密码走天下的用户来说是一种善意，很多服务提供者愿意提高一些成本来释放这种善意，不能说他们就是傻

@ryd994 考虑到第三方 CDN 和网页服务器的日志有可能会不脱敏地记录完整请求，浏览器先加一层 hash 也不是说就完全无意义

服务器不储存明文密码也是有意义的，万一发生数据泄露可以减少撞库攻击的概率（只要不同的服务使用的混淆 salt 不一样），当然最好的防范措施还是要求用户一站一密

@ruixue 除此之外还有一些比较实用的特性，比如三面刷金，耐脏防虫，章节在两侧有索引，可以快速定位。只能说纸质书想做好还是可以做到相当的水准的

墨水屏阅读器基本上就能符合要求

其实纸质书也不是都不好固定，也不是都不自带书签，可以去找本双语版的圣经看看，南京爱德印刷，纸张很软，棉线装订，长时间摊开某一面固定在那里一点压力都没有，也自带一根彩绳做书签用

@felixcode 嗯嗯，我觉得在家人离世这种话题之下，继续展开这种离题的争论并不怎么合适，所以就这样吧，听你的不信谣不传谣

@felixcode 我这并不是无根据的揣测，当然我也不能给你实锤，毕竟我所获取的信息也是从网上看来的，最后得出自己的判断，还犯不上信口胡诌来满足自己可笑的优越感和虚荣心

@ShuoHui 嗯，理论上安卓 6.0 以上就默认开启全盘加密了，破解不了锁屏密码只能拿到加密后的无用数据

@mxT52CRuqR6o5 全盘加密的密钥也是由锁屏密码保护的，至于锁屏密码，没有厂商会承认他们能解，毕竟微信也不承认保留用户的聊天记录嘛

楼主节哀

部分国产安卓手机厂商有给警方提供移除锁屏密码的取证工具，手机连上去直接就解了，iPhone 确实做不到。但如果是涉案证据，可以请求警方联系平台调取通讯记录和转账记录的。其他情况下的本地数据其实尊重逝者的隐私更妥当一些，既然他生前没有告诉家人锁屏密码，想必肯定是有他自己的考虑的

@AllenHua #17 楼主你这么做还是有用的，v2ex 如果主帖内容里包含“梯子”或“科学上网”等词，虽然不会发不出去甚至 ban ip ，但是会导致不登录的情况下访问帖子直接跳转首页，改成木弟子就不会了

所有的大公司都有不公开的风控规则，苹果当然也不例外。其实有些风控要求就是摆在明面上的，比如新注册微信需要实名认证的老微信辅助注册，开通京东 plus 会员需要实名，申请苹果售后需要实名，以上这些要求身份证实名的场景都不涉及金融机构的反洗钱规定，更不涉及未成年人游戏防沉迷的规定，那为什么还需要身份证实名呢？自然是这些平台的风控系统为了一劳永逸地拉黑整个自然人，防止开小号重新挑战他们的风控系统的方便举措，本质上就是建立了一套他们内部的“征信系统”，像央行一样给每个人的“信用”做评级，“信用”过低则终身拒绝服务

@chmn78 https://www.google.com/search?q=手机怎么新建用户身份呢？

iPhone 联网激活的时候服务器会根据硬件销售地区下发不同的激活策略，这个是影响国行设备和其他地区设备功能的主要原因。其他的影响因素有登录的账号的国家，插入的 SIM 卡的国家，连接的基站所属的国家，IP 地址等，所以如果想彻底“数字移民”要考虑的东西会很多

闪迪的 pssd 也还行

其实只是存视频资料这种，东芝希捷的机械移动硬盘随便买就是了，虽然都是叠瓦盘，冷存储大文件影响并不大，价格还便宜，买两块不同型号的双重备份也更稳