iOS 的应用普遍比安卓的大，之前有人分析过了，好像安卓的安装完之后也会变大..

Dropbox 的密码保护实践是：先用 SHA-256 散列密码让长度一致，然后 bcrypt，再用 AES 加密。这应该是比较靠谱的实践，不过是否一定要在前端完成呢？

另外，国外一部分网站要考虑没有 JavaScript 运行环境或者没有启用的用户，这种情况下就算要给前端做也没法做了。

我在这个网站上找到过若干我自己以为不会有第二个人遇到的问题…

@zzzzzzZ 后端存储的时候把密码再加密当然是有意义的。我的意思是，如果说前端实现的各种加密是后面的 0 的话，完整的 HTTPS 就像是开头的 1。在我第一次看到知乎那个问题的时候，一帮人在争论没有这个 1 的前提下怎么自己造轮子比较重要，有点不知道该说什么，所以说话也绝对了点。80 楼说得很好了。

每个应用都有自己独特的要求，比如像 LastPass 这样的，就算有了 SSL，直接发明文密码也不合适。但是对大多数网站而言，恐怕先把传输过程中的安全做好比较要紧。顺便，发 hash 的话怎么做 regex ？我很好奇。

另外，我可从来没有用过 123456 这种东西做过密码：）

不懂就问：像 Enpass 这样靠 iCloud 文件同步的，浏览器插件是怎么从密码库读密码的？

1. 在非 SSL 的情况下，服务端发过来的 JavaScript 代码完全有可能被劫持篡改。所以这种情况下去尝试自己用 JavaScript 实现一套 SSL 不是重复造轮子，而是完全不可行。那为什么浏览器可以安全地实现 SSL ？因为浏览器那部分代码是你下载的时候就内置在里面的。换句话说，如果你用了不安全的途径下载浏览器，理论上也可能被篡改。

2. GitHub 和 Twitter 把密码泄露到日志中的原因应该是某个日志相关的中间件配置不当。正常的 HTTP 日志不会去记录这些 POST、PUT 请求的请求体内容。就算前端不直接传明文密码，遇到这种情况，总不可能说就不算泄露了吧？

3. 前端那个不叫「加密」，叫散列、摘要。知乎上有个和本帖标题差不多的问题，下面一群人义愤填膺地驳斥认为前端「加密」没有意义的人（现在应该排序好多了，见 https://www.zhihu.com/question/25539382/answer/539557939 ），真是替其中某些程序员的老板捏把汗。

4. 有重放攻击这种东西。有些东西多学习下大厂和知名框架的最佳实践就行了。

5. 我觉得需要前端对密码明文处理一下的只有一类情况：就是后端不应该得到用户的明文密码。诚然只要是用了成熟一点的框架的网站肯定都知道把密码通过一些安全的散列（比如 Bcrypt ）之后再存数据库，也不会再去把明文密码存到另一个地方。不过像端到端加密的应用里，你可能不希望服务端在任何情况下看到你的明文密码。

@zzzzzzZ 没毕业。所以是啥机制？

应该有很多人是自己搭博客的。
Medium 更像简书那种

Jekyll 这么遭人厌？

浏览器插件吧，可行点

1. iPhone 都是垃圾
2. Android 都是垃圾

3. macOS 不好用，还是 Windows 好
4. Windows 不好用，还是 macOS 好

5. 房价必涨
6. 房价必跌

7. 我是要考研还是工作？
8. 发 xx 福利给大家，回复即可得
9. xx 公司克扣我工资 /坑死人，大家注意

10. 我为什么用 Java 而不用 Go
11. 我为什么用 Go 而不用 Java

12. 由 xx 事件（重大社会事件或 Antd 这样的和程序员关系密切的新闻）所想到的
13. 微信怎么这么难用？
14. 我和在一起多年的女友 /男友分手了
15. 最近遭受挫折，求大家安慰

16. 各种 sha diao 但是又好笑的突发奇想

请楼下继续补充

其实我觉得没啥，一个人吃尴尬的其实是你万一离开桌子了服务员会以为这桌没人了。吃自助餐的时候这个问题更明显吧。

鲍师傅蟑螂那事，是真的么？

哎，无休止地过劳，就算钱赚到手，又有什么意义呢？

我觉得可以做一个基于 RSS 的类似 Reddit/本站的网站

这事不应该，维护者有这样做的权力，但不太地道。

不过，如果真的有程序员因为这个事情被开了，这种公司这种领导还是慎重考虑吧。真以为个个都是微软，有资源从头再搞一套？

在知乎上，轮子又跳脚了啊，「你们不是说开源有 Code Review 的吗？又可以喷了，嘻嘻」