SECRET_KEY 不就是一个固定的“盐”么
用了等于没用

@octref 回国是必须跃 墙，会跃 墙的人并不会中 XCodeGhost
自己要多学，做一点小项目，做的时候认真思考，不要以能用而是以完美为目标，多 Google 。这些项目多半会坑掉，但你会学到很多。

课堂教的系统全面，但自己学的才是前进的动力。

CS 只是我副专业而已，然而我能在 CS 课上完爆 CS 专业的学长。无他，唯手熟尔。（国外 CS 课其实很水，不深的，这并不是坏事）单片机汇编 /Python/Linux ，虽然我也只是入门水平，但上课的内容都是玩剩下的，只需要查漏补缺就行。
如果你有兴趣，这点程度不难的。

希望大家至少读一读这篇文章，讲了常见的错误实现： https://crackstation.net/hashing-security.htm


@typcn 11 楼是更加错误的方法，那样的话，密码实质上就是客户端生成的结果。如果被脱库，我只需要以 PBKDF2 所有可能输出当作密码取值域，穷举服务器上的加盐 hash 就行。如果要登录用户的帐号，只需要 curl 发送结果，直接绕过 pbkdf2 部分。不能相信客户端可以操纵的任何数据，而你的做法正是以客户端会乖乖对输入内容做 pbkdf2 为前提的。

安全的登录页面必须用 TLS
安全的登录页面必须用 TLS
安全的登录页面必须用 TLS

不用 TLS 的所谓 JS 加密传输的库我也写过，无非是不懂的时候闹的大笑话而已。人家直接劫持 JS ，直接 post 一份到它们服务器。而用了 TLS 以后，密码要不要额外加密已经无所谓了。客户机器不安全的话键盘钩子都能偷密码，结果都一样。

看来你没有认真上课。你算法教授没有提过 Big Omega 有什么意义么？
SHA256 + Salt 也是药丸的，尽管比 md5 是好多了。它们都是 hash
hash 太快了，一般来讲快肯定是好，无论是用于 hash 之后 cluster ，还是验证一个签名
然而对密码来讲， hash 越快，字典出来的就越快。即使加了盐，现在连带盐的字典都有。毕竟我们不需要覆盖所有密码，绝大多数用户用的都是弱智级的弱密码而已。有时候就是暴力硬上。
PBKDF2 等 Key derivation function 无法做到多快，却可以保证够慢。

@Livid this may move to /go/jobs

技术上很简单，完成时触发脚本，重新压制为 mp4 ， chrome 可以直接播放，其他浏览器做一个 html5 的 video 页面也可以轻松看。如果是自用的话， vlc 等播放器可以直接播 http ，连转码都省了
麻烦的是 dmca

@hedaors jego 乙烷。绑定手机号已经不能办了

裤子被脱了还能嘴硬
撞库能撞出 md5 ？能撞出生日？

@msg7086 yum 党表示不服！

crontab 关闭 WiFi 的时候创建一个文件
rc.local 如果发现该文件就关闭 WiFi
crontab 开启 WiFi 的时候再删掉

@taresky 并不是，这是国外的教育网

@crab
@taresky
@luili
你们搜一下 rensselaer polytechnic 就明白了

楼主你冷静一点
http://i.imgur.com/RChMRrS.png

那个代理设置当然没用。虚拟机是虚拟的网卡，能收到的都是数据包。 TCP 的 ss 当然没用。你直接在虚拟机里设置代理到 虚拟机的网关:1080
ss 要监听 0.0.0.0

美国人听机器英语什么感觉，你听一下机器中文不就体会到了么？

@geeti qemu 本来就是纯软件虚拟化，性能不可能好。
kvm 是后来在 qemu 的基础上开发的，加入了硬件虚拟化的支持。

试试用 union{
bool[8];
unsigned char;
}

@goodryb 有写入缓存也差不了多少吧……又不是 sync