@badmotherfucker #15 是微信垄断了人与人之间的通讯录，垄断了这个社会基础设施，本身就影响了市场的健康发展。

如果公权力变成了私权力就另说了

@badmotherfucker 我觉得，正常来说是不是应该由公权力强制介入，让微信开放和其他即时通讯应用互通消息的能力，允许用户自由选择通讯客户端，以打破微信对通讯录的垄断。

几十 G 流量也不多啊。你是又要我来推流量卡吗？

@canxin 先用着谷歌的再说，同时一边研发自己的

@param 修正一下自己。用户名作为盐的一部分，也不是不能修改用户名。只是每次修改用户名时，要求再输入一次密码。

@param 修正一下自己。用户名作为盐的一部分，也不是不

解答了我的困惑，原来有回诊机制

我以前写过的前端 hash 是拿固定字符串+用户名两个因素作为盐，也就是说固定字符串、用户名、密码三个因素连起来做 hash ，包括登录时、用户修改密码时都是如此。
这种只适合用户名无法修改的场景，就算没有用户名，拿一个固定字符串来作盐也是更加可靠的做法，毕竟这也多不了几行代码。
这样一来，传输过程中是完全不会包换密码的，密码只会停留于用户的浏览器，出了浏览器谁都不知道密码。

https 做的是加密，传输过程中虽然加密，但还是包含原文的。通过某种方式，比如说得到密钥，还是能够逆向解回来的，例如拥有服务器权限的服务器管理人员，他就可以偷偷把用户密码记录下来卖钱。

有人说：我都有服务器权限了，你就算前端做了 hash ，我也能把前端改成无 hash 的版本来取得明文啊。
但这样明目张胆地修改前端，大家都能看到，会被发现的，服务器管理人员不敢这么做，他只敢偷偷记录。就算普通用户不知道前端被改过，前端开发者也会发现说：怎么我写的 hash 不生效了？？？

前端做 hash 还是有点用的，那么多大的作用呢？从 google 这些大厂都没做就能看出，这个作用并不大。也许一些对安全性要求更高的系统，比如说银行之类的可能会做吧，有些政府项目也是要求前端不能传明文密码。

不过 google 没做 hash ，也有一种可能是，本来开发者做了 hash ，但是被服务器管理人员改掉了，偷偷记录了密码，而我们以为 google 没做。

哦还有七牛

有哪些免费的对象存储，或者说有免费额度的对象存储？
我看楼上介绍过的：
https://www.bitiful.com
Backblaze B2 + CloudFlare
cloudflare R2
是不是第一个对国内友好一些