pinboard你搞毛呢？

我看谁能第一个发现槽点

type="text" 么

@southwolf 明文密码， 哥们到底想什么呢

@iceseaboy 明文，最不容易输错啦，哈哈，而且他没有让你重复输入，说明真是故意的

autocapitalize="off" 显然是故意的

type=text 并没有问题，这里对安全就有两个方面：

1. 本机的读取
2. 传输过程的泄漏

第一点，你本机有木马怨不得别人，改密码一般也不会当着别人的面改，况且要取值，一句 JS 就能搞定，所以明文还是 type=password 也就没所谓了。

第二点，type=text 和 type=password 都是一样，不加密都是渣。

我自己写的 web app 在传送前都用 md5 hash 一边再发，这个时候 text 还是 password 无关重要。不过我还是用 password，习惯问题。

PS：有一项调查是，密码即使输错一个字，大部分人也会重新完整输入，所以 type=password 比较让人没信心，强迫症的可能会反复验证，type=text 就解决了这问题。

@Chris_Ys type=password的好处是不会被旁边的看到啊
但是这种情况吧，可以想象网站的开发者在说，你连自己的密码都记不住，还不如叫旁边的人帮你记记呢
你如果在客户端加密，那数据库存什么？直接存客户端加密过的密码相当于存明文密码啊

@Chris_Ys 嗯，最好是能加句提示（或者已经有了？）

@gee 「改密码一般也不会当着别人的面改」，你旁边有人也是人前啊，用户的环境不安全不是开发者的过错，所以选 text 还是 password 属于「喜好问题」，而不是「必然问题」。

数据库存的当然是客户端传过来的 md5 字符串加 salt 再 hash 的结果啊，密码安全的基本尝试，这种做法给用户提供了两层保障：

1. 网站拥有者、开发者不会得到用户的明文密码
2. 即使黑客获取了数据库的记录，没有 salt 的算法也无法破译原始密码