@geelaw #29
@rrfeng #30

Ah I see，Wikipedia 告诉我 sudo 允许的权限是 root 的权限的子集。能删除但不能修改和创建似乎也不是没有道理的设置。但无论如何，既然 sudo 已经无法运行，那就当我没说即可。

@msg7086 #24
@a1044634486 #25

我应该换一种说法，请把 sudoers 和 root 理解为 Windows 下的 Administrators 组，并假设我用这些词儿的时候意思都是“具有控制电脑权限的人”。（*nix 用户和非 *nix 用户果然还是很难交流）

问题：一个用户是 sudoer，它和 root 有什么区别？
（问这个问题是因为在 Windows 上内置管理员和其他管理员没有什么区别：惟一的区别是是否有一个特殊设置可以免除 UAC 确认，但是这个功能没有安全意义——一个用户可以以高权限令牌启动 PowerShell，此后便不再需要 UAC ）

@msg7086 get 这个意思了，但是前面反复 hash 很多次的人也都加了盐，所以没想到这个省略的意思。

@msg7086 但我还是没理解怎么会“降低安全性”。

@msg7086 展开来说：

- 如果按照 UAC （管理员确认模式）的思路用 sudo，那么用户是知道 root 的密码的。
- 如果是 run as different user 的模式用，那么用户旁边有一个知道 root 密码的人，发现出错的时候（我并不知道此时 sudo 用不了了，如果造成的错误不会无效化 sudo 的运行），那么这个人可以请旁边的人再输入一次密码。

应该把“能 sudo 的普通用户”理解为让 sudo 改变用户成功那一刻的电脑使用对象，它可以是一个人（第一种情况）或者几个人（第二种情况）。同时提到另一个我们正在讨论的话题的话，这就像是“攻击者”并不需要是一个具体的人，可以是一段单机程序，或者一个黑客组织，或者一个分布式网络。

@msg7086 #52

我 #31：不需要多次 hash
suspended #37：多次 hash 不能增强安全性（同意我）
我 #45：（回复 #37 ）多次 hash **有时**可以通过增加计算 hash 的难度增加安全性，但是这种方法和“盐”的主题没关系
suspended #46：（我认为是回复 #45 ）多次 hash 会降低安全性
我 #47：（回复 #46 ）没明白 #46
您 #50：（不知道回复哪一层）

我在 #31 表示不需要多次 hash 是说就盐这个机制，而且使用专门设计的慢 hash 更好；此外，我觉得是“保存 100 次”的另一个原因是，我没看出来他们这样做是为了减慢速度，那些发言给我的感觉是单纯觉得多加几次 hash 更难。

完整来说，我的观点：

- 增加（固定次数的） hash 次数等价于改变 hash 函数，并不会让破解更困难（除了可能会让 hash 计算更慢这方面）
- 加盐是为了让每个用户用不同的 hash 函数，从而无效化彩虹表和频率统计

@msg7086 所以有“别人代为输入”。

@chinvo #49 并不是这样的，攻击者的目标是找到一个字符串作为密码输入系统的时候可以通过验证，譬如系统要求

hash1(hash2(input)) == saved_hash

并不是说找到了 found=hash2(password) 就可以的——目标是解方程 hash1(hash2(x)) = y，而 x=found 并不是一个解。注意：这两个 hash 都是在服务器算的，在客户端算的已经被建模为 input 了。

@msg7086 #50 不知道您回复的是哪一层，不过无论如何，安全的系统不怕代码泄露。

@msg7086 如果不知道密码又是如何 sudo 的？即使是别人代为输入，发现删除错误之后还不立刻让旁边那人再来一次？

@rrfeng 这个理由倒是不错

@rrfeng 不太懂，能 sudo 的普通用户是知道 root 的密码的，而且 sudo 似乎有一段的时间是可以免去再次验证的。

@suspended 没明白，攻击者拖库之后想要算出一个可以通过系统验证的密码是需要自己算了 hash 的。没有明白这怎么减少了攻击者的计算量。

注意语境：加盐是为了防止拖库之后攻击者能用彩虹表或者频率统计的方法获取密码，这里的手法都是为了阻碍拖库之后得到密码的。

Windows 的系统文件都是有多个名字的（硬链接），而且也会自动恢复它们…… Linux 或许没有自动恢复的功能，但总该是可以从另一个名字恢复的吧😅

@SingeeKing
@ThatIsFine
@flowfire
@suspended

多次 hash 唯一可能增加安全性的可能是让 hash 计算变慢，然而这个和盐没什么关系。而且区区那么几次也没太大作用，我也不太懂为什么他们要，比如，hash 5000 次之类的。

@iVeego 这个里面那个 Yancy (MS) 的回复也是醉醉的。

想法：乖乖的软件都知道在 Windows 因为想要更新而重启的时候注册自己是要被重新打开的 app 并恢复之前的状态。

我并不知道怎么关掉这个功能。“用我的信息……”只是自动登录然后锁定，这样下次你再登录的时候那些乖乖的 app 就都准备好了。

@checgg 这并不需要很渊博的知识，只需要基本的解决问题思路。

若你看一下 mysql 的输出，就会发现它输出了一个空白和 02，而 \0 输出为空白是常见做法，自然想到可能是 MySQL 转义方式不同，搜索 mysql string escaping 就可以见到相关文档。

有趣的是，你惟有在 MySQL 里不计算 \002 的长度。

因为 MySQL 认为 \002 是 '\0' + '02'

https://dev.mysql.com/doc/refman/5.7/en/string-literals.html#character-escape-sequences

因为打开一个文件默认是用 preferred encoding indicated by locale，而 console 是 UTF-8。

看了上面一些回复，很有“保存 100 遍确保保存成功”的代码的感觉。