abc612008

@youthcould 谢谢你喜欢我做的东西。我试了一下 listary 6 感觉比之前版本好用不少，但是感觉比起 Wox 没有明显优势。假如有一天我自己常用 listary + 自己有空的话，可能再考虑出 listary 版本的插件。

2020 年了怎么还用人用 md5，sha1 来 hash 密码。这就是为啥我不敢在小网站用重要密码，指不定哪个就明文或者 md5 。
正确做法是用 bcrypt,argon2d 这种专门用来 hash 密码的哈希。

如果用 Wox 的话也可以用我写的插件： https://github.com/harrynull/WoxDictionary
用了很久了，自己感觉用得很舒服。

@lewis89 先不提 md5 早就可以碰撞了，光是 md5 现在运算速度这么快就不适合作为密码 hash 。密码 hash 很重要的一个衡量标准就是慢，导致攻击成本高。在一个密码学设计的良好的系统里，就算你所有的代码 /算法以及数据库都被攻击者获取了，也无法在合理的时间成本之内破解系统。salt 分开存储、混淆代码等并没有办法在本质上让你的系统变安全，最多只是拖延一点时间，给攻击者稍微多一点工作量而已。

@lewis89 2020 年还 md5 呢？ bcrypt 和 argon2 了解下

回 lz：永远不要试图自己自创加密算法。要加密（而且还需要能解密）就 AES，而且如果要保证绝对安全，解密的密钥不能存在服务器里。另外没有听说过加密的时候还加盐的。

@coolcoffee /proc/self/environ 了解一下

简历排版有些奇怪（字体，间距不一致）

“密码学小学期应用实践
Flask 开发” 这一段写了和没写差别不大，建议具体写出来做了什么，开发了什么

“文件上传加密与 https 数字签名系统
密码学知识运用、https 服务的搭建” 是自己写了一个 https 模块，还是只是用了现成的库，两行函数调用一下。

简历上有不少内容都是比较基础的，我觉得放这些还不如放一些参加过的比赛，奖项这种。

@silymore @abc612008 想了下不大对，hash 完了就没法校验了…

@silymore 不确定安全性怎么样，但是可以把 rsa 签名再 hash 一遍减少长度。