彩云之南，白云飘飘，巫山云雨，云上贵州，古语有云

良心云，套路云

我都直接纯黑背景……

@chenjia404 即使这个策略奏效，也只是将 256^40 变成 256^43 ，「几乎不可能」乘以十万也是「几乎不可能」

大概是这样吧？

* 客户端计算 hash(user+pass+site)，得出 user_hash
* 注册时客户端将 user 和 user_hash 发送到服务器，服务器建立 user 并创建对应 salt ，计算 hash(user+user_hash+site+salt) 得出 auth_hash ，将其存入一个与 user 无关联的表中
* 登录时服务器根据 user 查询 salt ，并计算 auth_hash ，如其在表中存在，则验证通过
* 修改密码时，根据旧密码计算出旧的 auth_hash 并删除之，然后创建新 salt 并保存新 auth_hash

被拖库时，攻击者只能看到 user 和对应 salt ，以及一堆无任何标识的 auth_hash ，既不能查表，也不能破解。

上面各位提到网站名 site ，其实在做 auth_hash 时用 hash(user+user_hash+salt) 即可，site 在此没有必要。这个方案主要就两点，客户端不发真实密码、服务器不保存 auth_hash 与用户的关联。

客户端发 hash 不发密码的出发点是什么呢？是怕被中间人嗅探、服务器日志记录吧，尽管保护了真实密码，但 user_hash 每次使用时都是不变的，在此网站也等同于密码，只起到有限的保护作用。

服务器不存 auth_hash 与用户的关联，的确将拖库后的破解难度提升了用户数量的倍数，如果有十万用户，从 auth_hash 暴力破解指定用户的 pass ，最多需要计算 256^20*256^20*100000 次

登录失败，没有角色

链接断开

真实与否，只有上帝知道。就连追求真理的科学期刊，上面的内容也并非全部真实无误。担心「保证发的是事实」、「信息的真实性」更是不着边际。没有被删的内容，就有了真实性吗？

「删帖」是一种人工干预的行为，能够帮助未来的浏览者过滤掉一部分信息，但其体现的是管理员的主观意志。几百年前若是有如今这样便利的删贴功能，你猜日心说的命运会如何？

实际上 Nostr 就够用了，没必要上区块链。Nostr 的内容全部签名所以不可篡改；还有一点，值得深入探讨：通过节点及用户传播实现自由分发。虽然也很难删除一个消息，但其传播范围受限于用户与节点组成的网络。如果某用户发表的消息不受欢迎，可能会被用户和节点拒绝，这也是一种「人工干预」的行为，可以避免 Spam 或「虚假消息」。即使被大半个网络拒绝，那些消息仍然可以在接受它们的小圈子里流通。

《寻梦环游记》里有一个设定，一个人被所有的人遗忘，他的灵魂才会真正的消失。在 Nostr 里，一条消息，只要有一个人还记得，就不会消失

推荐《少有人走的路》系列共四本。在「抑郁症」还没有受到如此关注的多年以前，我有一段时期心理压力较大，又不愿意读鸡汤成功学，闲暇就读些杂七杂八的书，比如《世界如此险恶，你要内心强大》系列，不知从哪下载的《奸的好人》，等等。直到读了《少有人走的路》。到第四本时，我已经没有耐心细读，粗略地翻了一翻，发现自己心境平和了许多，从此也不找类似的书看了。

去医院

先用上美国住宅 IP ，排除一下 IP 问题 https://dallas.lu/iproyal-usa-static-residential-proxies/

快来用美国住宅 IP 吧！ [访问 ChatGPT 终极方案：IPRoyal 美国家宽 IP]( https://dallas.lu/iproyal-usa-static-residential-proxies/)

RustDesk

吃十三香龙虾啊。这篇帖内提到次数多的热门景点都不要去，提到次数少的可以试试，比如中华门

@imicksoft 我学的时候咋是阿姨勿爱哦

@Azad01 要 key ，再见，哈哈

Tabby 。不过 Tabby 有 bug ，SFTP 基本没法用，隔一阵时间就需要重启一次。总体来说，这些毛病能忍

忘记上 AFF 了： https://agoradesk.com/?rc=cta2