国内大公司都是如此没安全意识么？

@ryd994 难道用户还会手动修改 JS ，把你的安全加密方式去掉？换成明文？

当然，我说的一切，前提都是 HTTPS ，只要是 HTTP ，我都不会做密码登录的功能，而是用户填写邮箱，发送动态验证码登录

还记得 CSDN 明文保存密码的事情吗？ 什么都不想说了

看云风微博的意思，网易邮箱主要是代码太老，又懒得去改。
10 年前的网站，估计大家都是 MD5 加密的吧

要是有本事留在国外，那回来干嘛？要是水平不够，那就不是你想不想留的问题了，是人家要不要你。

只相信二次验证..

从农业国进入工业国没有多长时间，再说科学的素养也没有文化的传承。

@sogisha WHIRLPOOL 怎么了？不是说比 NSA 的 AES 要可信些吗？

别的不想说，不要站着说话不腰疼

你试过连官方的 server 下 X code 在国内什么速度你就知道了

前些日子苹果不是泄露了很多著名女星的艳照吗？楼主确定留过学？

网易的这套登录系统建立这么早，那时候 MD5 就是标配吧。
你今天做了 SHA256 + Salt ， 10 年后说不定有人问你，你安全意识怎么这么差啊，至少应该 SHA1024 啊。

楼主只是提一下在国外，“ 有点不想回国”，就把一帮屌丝炸毛了，有趣。

去查查 Google 是否被脱过库，你会有惊喜。

当然，如果有点脑子的话，你知道如何去暗网查

不是没有, 是不能有, 你有了, party 怎么干预?

这种还用想的？
前期风险不大，机会没预见风险，
后期篓子太大，没人敢捅，领导更是不敢。

@typcn 考虑了 MITM 的可能，比如钓鱼 WiFi ，于是废弃。 不曾想真有 http://www.williamlong.info/archives/3658.html

@ryd994 HSTS 和 HPKP 全被吃了。。。

@ideacco lastpass 每个网站生成不同密码，特别重要的只能记在脑袋里咯

@sutking 明明是修完直接杀了陪葬

楼主说话方式很正常。要我我也这么说。吐槽楼主混中英文的基本上交流太少，或者英文不好。
另外我建议 lz 实习下。我明确告诉你，我在国内实习的时候见过安全做的很努力，但是被社工，也见过美帝把企业账户密码全明文保存到 google doc 的，但是一点事情都木有的。
两家都是估值 A 轮一下子就上亿的（ rmb ，和美元）。而且我知道的时候都只有二十人左右。


真要看安全和重视去美帝大企业。面试之前先要求一堆 NDA 签好，然后面，入职实习前注意事项。除了 fb 这种超级 flat 的方式之外都是内部也层层分割。做 backend 和 infram 的会有 security audit 和 各种 QA ……

过了美帝大厂简历关的都不会问这种问题了。

网易并没有这么大规模和体量。

至于 xcodeghost,这个就比较搞笑了。


另外不知道 lz 什么大学的。要知道国外大学多的很。 V2 上我没见过 stanford 的。但是 cmu ， ucb ， uiuc 的多得很。