qq135449773

@conky #17 😂好兄弟至少读一下标题可以吗

其实我觉得这个想法是 ok 的，但是现在需要立法角度考虑 1 用户数据归属权 2 赋予爬虫更宽松的合法权力。

指望国内某些人这辈子能想到这个问题肯定是没戏了。但是另一方面，不止国内，现在国外因为最近几年 AI 大火特火，各家各户都在各种限制爬虫。

这样下去肯定不是办法，我估计将来为了保护互联网开放权力，迟早国外会有国家牵头法律上去限制这种城墙高筑的行为。

@javalaw2010 #2 感谢推荐，其实前置倒是没什么需求，不是很经常自拍，主要想看看后置稍微好一点的

我主力机只是千元 realme ，扫码摄像头

可以做，但是请隐藏好你自己身份。。。比如 Github 注册小号

> 比如你正在输入密码，就差点击确认刚好有人借用，你给他用了，他登陆了打开了调试获取到了，或者你有抓包软件运行，别人使用你电脑时候获取到了，这些都不是信道本身中间人相关的问题。

用户登录过程中因为 996 过度，猝死了，你也要在代码中设计一套逻辑防止用户猝死吗？

不要为用户的行为买单，我们的目标人群是 90%的正常人，不要为了那小部分不正常人的行为花精力。

> 再用脚想一想，如果 https+明文就安全了，为啥还要有二次验证之类的额外的安全策略？

二次验证防止的是未经授权的用户登陆操作，防止的不是密码泄露。

> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?

我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的，他经历了没有 TLS 的时代，所以需要手动在 payload 里去加密 sensitive 。

telegram 和 whatsapp 这类东西，包括微信，做扫码登陆，因为他们本来主打平台就是移动端，只是顺便做的其他平台而已，所以才敢这么做，至于安全与否完全只是顺便而已。

我的一些观点：

像 CDN 、WAF 这些做 tls offloading 的东西，还有一些其他公有云设施，这种东西你只能默认信任。

为什么这么说？

给密码再加密一层，密码是安全了，返回给用户的 session 你也要加密返回给用户吗？

你收到一个加密的 session ，你怎么判断这个 session 是用户发的还是恶意构建的请求？

假设你以上所有东西都 ok ，你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取？

我并不是说以上问题没法解决，我想说的是，如果你要确保你想的那种 level ，绝对不是给密码再加密一层密码加密就能解决的问题。

架构设计本身就是一个不断做取舍的过程，这个问题上的取舍绝对不是这么简单就能解决的。

所以就不要自己骗自己了。

没带 https 的话记得手动加上 https ，他们网站最近配置好像有问题