X 以下是翻新？京东自营不服，请搜 iPhone 8。

@Mohanson 信道安全不安全不能一概而论，看是要防止窃听者还是中间人。诸如 DH 这类密钥交换算法，可以在不安全的信道中安全地交换密钥，不过不能防止中间人攻击。

有意投递。应该不限福建学校吧。

感觉氛围不错，Mark 一下。

楼主竟然在代码里投毒！

因为基于花密做了自己的修改版（ https://shansing.com/read/477/ ），我看到楼主也是记忆密码＋区分代号的形式（之后也从代码看出借鉴花密的地方），想稍微看看优缺点（其实主要是看缺点的，逃）。花一会儿工夫看懂代码以后，却怎么也调试不出预期结果。费了好几番心思才发现，楼主提供的 .js 和 .min.js 不一致！我调试时用网页加载的 .min.js ，然而看代码用的 .js 。进一步分析认为是 punctuation 变量不同值导致的。

然后来说说我的拙见。

楼主的可选项确实比我的丰富一些：我的沿袭花密，没有让用户决定更多东西。让我感兴趣的是，楼主是怎么将“使用标点”和“禁用标点”融合在一起的。看代码，原来是使用了可改变的字母表（ alphabet 变量）。然后根据 hash hex 每个字符的 ASCII 码，每次累加，索引字母表。初看我觉得这个想法很好，不过越想越觉得不优雅。

现在讨论 .min.js 那一套，也就是网页上使用的算法；默认设置，即使用标点，字母区分大小写。根据 hash hex 的特性，每个字符只有 16 种可能，加上大小写的指定，有 22 种。那么对应的 ASCII 码也是 22 种可能（ 48~57，65~70，97~102 ）。由此得出，最终密码的第一个字符必然是 GHIJKLMNOPXYZabc456789 其中之一。之后的累加，也只有 22 种特定分布的步长，也许会造成最终密码中一些字符比另一些更可能出现。话说回来，即使步长是均匀分布的，也会造成类似情况。当然这不是硬伤，只是最终密码没有看上去那么强壮。

我能想到的暂时是这样。不知道楼主为什么要混淆 hash 值，在我看来这既没必要（除非坚持可变字母表）也增加安全风险，好似篡改了 hash 算法。而密码学最佳实践要求，不要自造加密算法。我想 hash 算法是类似的道理吧。

不错诶。之前就经常有单线程速率不如多线程的情况，这下可以提速了。

刷新 csrf token ？

@Giethoorn 你为什么只加一行呢……

@Giethoorn 看到你在用 .htaccess，那么再加入以下代码就能实现 HTTP 301 重定向到 HTTPS 了：

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

JS 做不了。301 是 HTTP 状态码，JS 改变不了。

@viko16 加入 Preload List 的前提就是需要“redirect”，这里说的重定向肯定不是 JS 这种。

Airdroid，也适用于 iOS，可以传文本和照片。照片会保存到相册。支持局域网传输。

@xiulu 阿里小号若干月前就进入所谓维护期了，APP 上应该有个公告你可以看下。可能不会放新号了。现在老用户换号也不允许。

开个 PLUS 领 500-20 券先（
好吧，不能先买 E 卡然后抵消吗？

PS：以前还用过软件叫 TrackOFF，看起来很专业，不过是收费的。

Firefox 扩展组件：
- Canvas Fingerprint Defender
- Privacy Badger 据说本身就能抵抗 Canvas Fingerprint

Debian 的话试试装 10 （ Buster ）。然后引入 buster-backports 源，从这个源安装 linux-image-amd64。这样不需自己编译，但缺乏及时的安全更新。

@swulling 白条不是作为信用卡，而是小额贷款显示的吧。

想到这个：/t/586723
楼主及时识破了也还算好啦。

3.4 （连续包月）