@v2tudnew 所以说你还是没懂，这么说吧。

同时输入密码和 TOTP 进行同时验证，其一错误会提示的，这是双重密码。
先验证密码，密码对了才验证 TOTP 的，这是两步验证。

多数网站的 TOTP 不是密码，是两步验证的第二步的密保工具之一，比密码等级更高。

先验证密码，才验证密保，这是规范。可以把这两个步骤放在一个表单提交，但后台验证逻辑并不改变什么，还是先密码再密保，因为改了就不是两步验证了。所以说改变的只有用户交互，有些密保工具必须先验证密码才能暴露，比如手机号、邮箱。

TOTP 不解决爆破问题，行为风控跟密码强度、密保工具是不同的问题。

@v2tudnew 你说 “如果口令不对就不会要求验证 TOTP，那么爆破不也可以正常进行”

TOTP 本身就不是解决爆破问题的，你用爆破来质疑它，所以我告诉你这是错的。你把它放到登录页面也无助于防爆破，只会影响用户交互。

你说猜中盛大动态口令两次，他们也是 6 位的，这概率跟中双色球头奖没多大区别了，我更倾向是你记错了或者是盛大的密码产品有问题。

爆破发生在密码泄露之前，而 TOTP 是在密码泄露之后的兜底措施，都不是一回事。

不管有没有 2FA，不管 2FA 放在第一步还是第二步，防爆破都是必须而且先于 2FA 的。

喝过很多速溶纯咖啡，感觉还是雀巢醇品得劲

彻底锁死，每隔一段时间手动升级。

没吃过亏还有侥幸心理，吃过亏你就会彻底相信这样做是明智的。

全都杀熟。

我用饿了么，开会员没多久就不再送券什么的了，会员续费也没有优惠。晚上运费增加，同一笔订单，第一次提交订单运费是 5 元，返回再提交会变成 3.5 元、2 元或者 1.5 元，经常可以复现。

饿了么会员过期，我改用美团，不再用饿了么，没两个星期再上饿了么一看，只要 0.1 元可续费 2 个月会员。贱不贱呐，太贱了。

付费的路子，去那种真人口语练习的网站买课，老外会跟你视频聊天，给你指导

免费的路子，去欧美社交 APP 撩妹子

估计是默认的网络服务商安全 DNS 不可用。我一直用 DNSPod 的，速度还行。

了解什么是反向代理，你就知道 CDN 、API 网关是怎么工作的了

搜索 Nginx Reverse Proxy

@kkocdko 换款双面胶试试，如果不介意用套，就带上套用吧，那肯定不会裂开了，就是手感很差。。。

丰巢柜可以包月，大格的平均每天大约一块钱，大部分东西都放得进去了，行李不大件可以考虑

原厂是用双面胶吗，我换过几次手机屏幕总成，印象中双面胶是粘电池粘主板的

密封胶是另外一种，一支只要几块钱还包邮，你买的时候可以先问问卖家

用 Chrome 91 打开官方网页可以看到是支持的，h3-29，你的不支持可能是哪里配置不对，建议按 README 再配置一遍

https://quic.nginx.org/

@qrobot #15 当然不是防运维登录用户账号，是防运维得到用户密码明文，大部分用户只有几个密码，泄露了是肯定波及其他平台的。

防运维登录可以上 AES 甚至 RSA 加密表单字段。

@yimity #12 你没理解，他说的是服务器中间件能接触到密码，就是还没到后端的组件，比如不涉密的部分运维能接触到的 CDN 、SLB 等等。

说到这个我才想起来确实有这种情况，不同层级保密等级不一样，密码明文直接提交的话，所以层级的日志都能记录到，看来确实有必要在前端取一遍哈希。

@ETONG #17 域名 cname 解析映射，可以理解成解析托管。

a cname b 等于 a 把自己的解析托管给 b，b 解析到哪里，a 就解析到哪里。当 b 的服务器没有配置 a 域名，效果就是以前说的恶意解析，现在行不通了。现在服务器会判断 host，一看 host 是 a，属于未知域名，会拒绝服务。

像虚拟主机和 CDN 那些让你通过 cname 解析的，是因为他们 IP 不固定或者说有多个 IP 提供服务，通过 cname 托管解析，你就不用管到底要解析到哪个服务器 IP 了。这里 cname 管用是因为他们服务器已经配置好接受你的 host，你 cname 到别人服务器不被接受也是因为别人服务器没配置接受，不关 cname 本身的事，cname 只负责解析。