你看看能不能开 ECH ，加密握手域名。

连宝塔都要实名认证，你说呢。

电子产品厂商算啥，那个名字都不能提的东西才是现代的宗教。

xx 不彻底，就是彻底不 xx 。
你要“中立”的，等价于要反动的。

当然是 meilisearch ，简单轻量，适合小规模数据。

大道至简警告⚠

Mozilla 裁员，servo 砍掉，edge 砍掉，浏览器就剩他了，当然越来越强硬了。
可能有人说还能 fork ，但 web 标准的话语权已经完全是 chromium 说了算了。

@woshijidan 你手机具体什么行为我就不清楚了，不过一般 Android 系统默认 v6 优先，只要获得了 v6 就会优先使用，如果 v6 还被 ban 了那对网络请求延时会有明显影响。
主要原因还是 slaac 的无状态，dhcp 这种有状态协议拿到地址要确认一下，slaac 拿到广播的网段之后自己就给自己配上了，所以你根本没办法拦截。

Openwrt 下 ra 没有使用 radvd ，不支持仅通过单播的方式发送 ra ，所以“仅给单独设备分配 ipv6”是不可能做到的。
除非你使用仅 dhcpv6 的方式，可以为 Android 以外的设备分配地址（ Android 不支持纯 dhcpv6 ）。
不用看那所谓的防火墙规则，正常情况下 ra/slaac 发送的是“广播”（ multicast ）， 是向所有设备发出而非某特定地址，所以防火墙是没法单独拦截的。
用防火墙拦截了特定设备的 rs 请求，只能让它刚接入时没有地址。任何其他设备发送 rs 或定时时间一到，路由器发出 ra 后所有设备都能获得地址。

不安全确实是不安全，但明文保存倒也不是。
chromium 的密码是用当前登录的用户的用户凭据加密的，只要登录了就可以访问，和 bitlocker 那些透明加密类似。

@sheeta 缺乏统一的标准，Java 也有注解，抄一下 serde 作业也是好的。

@GeruzoniAnsasu hash 以后让后端无法访问到（不需要的）明文密码，这就是减少的权限。
至于第二个问题，不 hash 密码的话用什么 key 加密才能保证只有用户能解密呢？

@GeruzoniAnsasu 所以加盐 hash 后，所有用户的“auth token”就都足够随机了。
hash 当然不是 auth 的必要条件，它与 auth 完全无关，但这并不等同于你所宣称的“无意义”。
hash 后再传用户可以确定你没存明文，传了之后用户就不知道你到底存没存了。
安全领域的一个典型原则：权限越少，攻击面越小。也许你你打算后端 hash 后再入库，但明文已经被存储记录在日志中了。

@liuhan907 hash 的意义我上面说过很多遍了。大厂传明文，说明大厂并不想对你的密码保持 zero knowledge ，很多用户的密码中可以提取出不少隐私信息。
而凡是以安全、隐私为卖点的服务商，和加密存储用户数据（并且宣称他们自己也无法解密），是不会让服务器接触用户主密码的。还有一个常见的例子是 Firefox sync 。https://hacks.mozilla.org/2018/11/firefox-sync-privacy/

Windows Defender 是杀毒软件，不是防火墙啊。
你直接去操作 Windows 防火墙，在相应的 zone 中添加一条规则把相应端口入站放行就是了。
如果觉得 Windows 防火墙太难用，也可以关掉换成第三方直接操作 wfp 的防火墙，如 https://github.com/henrypp/simplewall

@liuhan907 这与泄露没关系啊，我是 GitHub ，我上传你的 GitHub 密码这很正常。但如果我就一第三方，我上传你其他网站的密码，这是检测呢还是钓鱼呢，收集的数据是不是还要完善一波裤子。

@liuhan907 这是普通网站登录啊，虽然直接发明文不是最佳安全实践但也不会被喷。但密码泄露检测是要你输入其他网站的密码，这种情况下上传明文就过分了。
标榜隐私加密的服务，如 1password 、protonmail 、mega 等，都不会发送明文。