1800 买的飞利浦 4k 276E8VJSB 2 年了没翻车

你说的腾讯文档就可以实现，依托腾讯生态安全性便捷性也还可以，不过似乎没有过期机制

@hxy100
恕我直言，这跟 mime type 确实没啥关系，举个例子，一个 mp3 文件，你改成 php 后缀，那么你认为它的 mime type 是啥呢，如果你觉得是 php 那显然违背了 mime type 的定义，如果你觉得是 mp3 ，那自然就是承认自己错了。mime type 本身就存储在文件头中，web 服务器决定某个文件交给哪个服务去处理的时候，根本不会去读取内容，怎么可能判断 mime type 呢，你如果敢用 mime type 来判断转发服务，那你可能是还没被社会教训惨
现在别说 web 服务，各大平台读取文件判断类型都从来不会考虑 mime type 了-毕竟这是一种可以随意篡改的不安全的数据
新手一般喜欢用 mime type ，但是错了就是错了，痛痛快快的别强钻牛角尖

@baobao1270 那个时候应该 ip 资源很容易拿到了吧
电信：本月加入 499 套餐立享 2w ipv6 地址，每日签到送 10-50 个，每周还有幸运大转盘最高奖励 5w 个

这个。。。即使电脑小白也不会觉得有趣了吧，已经 web 3.0 了

@labulaka521 普通软件大多都是，但据我所知 rdp 是特殊协议跟 win 底层结合比较密切，可以在不截屏的情况下捕获元素、窗口的变化所以传输效率很高(第三方软件无法获取这类底层数据)
截屏类就比拼截屏效率和变动计算算法了，有些效率也很高比如 teamviewer，可惜不支持离线直连

我还是选 rdp 直连，输入法和一些特殊键不会干扰

在用 lastpass，因为担心有些风险自己本地额外加了层加密，安全性升级脱裤也不怕所以敢存储敏感信息
https://github.com/del-xiong/lastpass_dopass

https://camo.githubusercontent.com/e543c84f03b4829e1b2c15c8c259070fb39adef3de0d5ce348e0e75322d02f95/687474703a2f2f70686f746f7a6f6f6d2d7374617469632e73746f722e73696e616170702e636f6d2f322e6a7067

缺点是要麻烦些，也没有做手机端

问题可以转换下，相当于淘宝用户都可以设置自己地址，然后问如何防止用户用工具模拟提交地址
答案当然是无法防止，只能通过各种手段提高逆向难度

毕竟对服务端来说，客户端都是“无状态”的，只要参数正确，无法识别是真客户端还是伪客户端

又考虑了下，写入用户密码的时候如果不依赖外部服务，可能是需要非对称加密才行，只需要隐藏私钥就行了，目前的计算环境下足够可靠，只要 github 自身不泄露的话...

@d5 这样应该可以，如果不依赖外部服务，盐起不了防范暴力破解的作用，但 secrets 可以，非对称也不是必须的，只需要用 secrets 也作为 hash 参数就足够安全了
举例，库配置定义个 TOKEN
```
SHA_SAFE_TOKEN=ec4fa26383768f35a34c3962faea2e91
```
公开库记录密码值 sha256("202104050006-abcdf"+SHA_SAFE_TOKEN)
登录验证的时候保证 sha256(input+SHA_SAFE_TOKEN) == 记录值即可
只要 SHA_SAFE_TOKEN 不泄露，就绝对安全

建议给每个用户添加盐值，越复杂越好，基本就不可破解了

有一定泄露风险问题，泄露概率负相关于加密字符串难度，因为别人可以直接本地暴力运算指定账号密码，从你给的示例来看难度似乎不太高。
绕过 actions 应该是很难的，除非代码有 bug，输入参数直接 hash，不存在攻击可能性

上蜜罐拦截

那你倒是吐槽下让大家乐乐啊

混淆或加密过，看起来有点类似 jjencode 之类的效果
具体要把字符 hex 打印才知道编码对不对，光看显示字符判断不了

监测 可能不够准但也不算错

@rekulas
- 实现
+ 实用