@asd7160 就算大厂如 ExpressVPN ，也会在不加密的 http 连接中劫持进跟踪脚本，用以增加广告收入……
但选不选择 vpn 是 OP 的自由，毕竟阉割少，
很多(尤其是有牌照的)机场已经阉了一大堆网站了，还为了将来卖资料不让用 Secure DNS......

@crissx 政府项目，不能用 chatgpt
接口偷渡也不行，就 chatgpt 目前这个三天两头挂的情况，挂了的时候怎么办，人工识别么……
一定得有自己的 NLP ，就算 AI 偷渡也得 ChatGPT+备用识别……

举个例子，快递手机号隐私保护，就会给卖家临时分配一个买家的虚拟号，电话短信转发，确认收货后这个号就转手了。你说买家拿这个号注册了一堆服务，结果这号一万个人用，你发服务的欠款催款短信不得被投诉找上门来么……

@brader 虚拟号没有换号成本，连换号６个月到一年的禁用冷静期都没有，如果不屏蔽反作弊会误伤很多正常用户
物联网号是唯一一种不用实名的号，虽然基本不能打电话，但用来诈骗的话都是抓不到人的。

@yuan321 2023 年，USB2.0 ，过剩
真的，这要是个 SE3 SE4 什么的低价机也就忍了
iPhone15......

当然是复读　再考　上一本了……
一本都找不着工作了提什么三本

别这样。公司如果有基于 Intel ME 定制的管理（外面见不到，具体效果可以参见刷了自定义主板固件固件的小米互联，平板控制电脑），可以随时窥你屏，录像，push 不 push 都是证据。

＠ mdn 被脚本或插件控制的时候不会发出签名信息
说的是因为浏览器验证用户是真人这段是闭源的。
主要因为大家有 Chromium 和 Webkit 是开源的的印象，这里是段闭源验证，套壳浏览器没有

当然可靠性没测过（没见人用过），所以不知道怎么样

附：知道对错是指用户能明确知道自己是否误输入，自愿承担多次误输入造成的封禁惩罚，知道看不清点刷新
如果明确的要拒掉错误输入的服务器请求，估计办不到的

@geelaw 形式化验证虽然不万能，讲个笑话，验证码：１＋１＝２，黑客：等等，那只是个猜想，还没有证明！不能形式化验证！但其实该用一样用……
但形式化验证也并不是完全没用，但凡客户端有台 Loseless qubit 量子电脑，最次也是租了点超算时间，那什么 hash 或者 salt 都没有用。有没有一定要客户端可以知道对错的实现呢？
有！

……
只是估计是有的。
我们把判断对错的任务交给用户，不交给计算机了。
考虑两个滑块，每个 5-6 张验证码，其中有两个是一样的，两个滑块图片风格不一样，都做成渐变视频，让用户把两个数字拉一样了，点提交……
判断只需两个滑块的位置阈值……
这样本地计算机就不知道验证码对错了，只有用户知道……
是不是形式化验证要的是这样的答案？我觉得是，但很可能用处不大……

还有最新的Ｅｄｇｅ和Ｃｈｒｏｍｅ免验证，由浏览器随时验证用户是否是真人，然后数字签名过去一个消息证明用户是真人，只要验证是Ｃｈｒｏｍｅ的签名就行了。开源的Ｈｅａｄｌｅｓｓ因为开源所以没证书也没签名，具体实现原理我也不清楚，可以参考下。

比如那种定点滑块或者变异一点的二维滑块，客户端绘制，但是不是把验证结果发回去，而是把自己的绘制参数和用户的鼠标事件轨迹同时发回去服务器验证，用户就不知道验证逻辑是什么，而且为什么脚本自动滑有时候会失效。

@geelaw 我的意思是，服务端只需算出他生成的那些张的 Hash ，而客户端需要枚举所有。而且等客户端枚举完，服务端可能以及换了一批 Hash 组合了
或者如果不在意服务端亲自 Hash 一下的话，可以每次给客户端随机的Ｈａｓｈ组合算法用于验证……
比如
md5(sha1(salt(sha1(salt(md5())))))
salt(sha1(md5(sha1(salt(md5())))))

还有真的很多人说成熟第三方，确实。为什么非得验证码。滑块不好么……第三方验证很贵么

@geelaw 要说非经典计算机，要有用的话肯定是把验证部分扔ＴＥＥ里然后非对称加密握手拿到密钥，但又要买证书巨贵而且小程序之类还不能用……

@geelaw 我不太懂离线枚举，但是不是可以把 Hash 设置复杂点（比如多 Hash 嵌套几十层），客户端用户点提交后基本１秒之后才验证这种……
反正服务端验证明文又不需要验证 Hash......

但是离线反重放真的完全靠运气，对面上工具的话绝对没戏，所以只能防小白