@shijingshijing 你的意思是： “淘宝 App 能通过联通 SDK 拿到 135****8888 这种形式的不完整本机号码的” 这个过程，APP 能从联通 SDK 读到这串数据是吗？ 确定这不是 SDK UI 显示的数据吗？

@maleclub 较个真： 双卡你测过吗，通常一键登录 sdk 只会切 4G 网后与网关通信，双卡双待手机只取当前流量卡号啊，难不成你两张卡都能同时识别？

@shijingshijing “每次 App 都会通过运营商 SDK 拿到联通的号的前三和后四位” 这描述是不准确的。
因为不论是移动还是电信，SDK 都是开放平台提供的，能力是官方（即运营商）封装好的，在未授权时应用接入方面（即 APP 端）是拿不到的。虽然你可以见到，但是并不意味着 APP 可以拿到。

当然如果杠一下说：程序截屏啊、0day 啊啥的，当我没说 😓

如果接口已经使用了 HTTPS(HTTP over TLS/SSL),那么参数签名的必要性会降低一些:
HTTPS 本身就可以防止中间人攻击,数据传输在加密通道内,参数不易被篡改。
但 HTTPS 无法防止客户端篡改参数后再发送请求的情况。此时参数签名可以作为最后防线,检测参数是否被篡改。

一些特殊攻击如重放攻击,HTTPS 也无法直接识别和防护。参数签名可以识别非法重复请求。
如果应用很关注请求参数的完整性,并且接口对传入参数做进一步校验使用,那么签名依然可以作为辅助手段。
所以,如果仅仅考虑传输安全性,在使用 HTTPS 的前提下,参数签名的防护效果会受到一定程度的冲减。

但总的来说,参数签名作为一种应用层的安全机制,它的价值并不完全取决于传输层是否使用 HTTPS 。
如果成本允许,最稳妥的做法是:
- 使用 HTTPS 加密传输
- 加上参数签名的验证
- 合理限制接口调用频率
- 以获得最全面深度的防护效果。这种多层防护的合作也是 RESTful 接口安全设计的一个好习惯。

静态页面哪有这么复杂，写个 bash 脚本几行命令解决 scp 、登陆操作文件指令、退出。bash 搞不明白再不济就用 python fabric 写个脚本。

@maleclub 不需要 IMEI 的，你的 SIM 卡联入运营商网络的后信令通信过程运营商已经获取到了

@hellomynameis 果手机里插了 86 卡还尝试用+1 注册 ？ 你不国际开漫游就取不到你美国的号码 😊这是网关取号，与 3G Wap 门户时代的认证同一个道理。

为啥禁止，这是网关取的数据不是从你本机。你不授权是不会取号的。

更换 license 为 MIT 或 Apache ，star 会更多

一般的用途，是能用的。如果二次开发加入一些什么，风险可能大了点

统一配置：ansible
查看资源：cockpit

多用一些反模式，然后留下看似“正确”实则胡说八道的注释。
变量命名尽量用英文缩写，例如把 userLoginToken 写成 uLT
尽量把代码加到某迷之功能的大函数/方法内，例如：do_all_login
尽量别考虑时区、语言等环境因素一律使用北京时间、中文简体作为基准

国内强制使用手机号注册各类服务，这样关联到很多数据了，所以从社会操作层面保护隐私是太难了。
如果是自己生活操作层面的话，尽量使用进口的 Apple 设备、电脑最好使用 Linux 并开启全盘加密、BIOS 要设置密码防止丢失后被人数据恢复。
（不要杠 Apple 数据存储在哪的问题，这没意义，核心数据不上云！ iCloud 也不用来存敏感数据）

看个毛 有啥好看的

婚内投资行为导致的债务，这属于夫妻共同债务问题了。你说要不要通知你的共同债务人 ？