@typcn 考虑了 MITM 的可能，比如钓鱼 WiFi ，于是废弃。 不曾想真有 http://www.williamlong.info/archives/3658.html

从来不敢在人前看。标准的 NSFW

必须加索引！没索引你居然也能活到现在……
没索引除非你内存能放下整个数据库，然而即使那样也比索引慢
没索引，换什么配置都药丸

@watzds 所以我说如果 secret_key 做密码加密是药丸的
然而我至今不明白为啥楼主的 Django 加密密码会用到 secreat_key

@watzds
聪明一点的人就自己注册一个用户，从库里找到自己密码，然后穷举 SECRET_KEY 就行了
且不说网上是有常见密码的带盐字典的，
如果我没有记错， django 用的是 sha1 还是 md5 ，这两个都超快，临时暴力做个字典也是可以的

0.现在什么情况？什么配置？为什么吃力查清了么？
1.是什么数据？旧数据能不能优化走？分库分机
2.有多少索引？索引多大？内存大小应当参照索引大小配。
既然请求量不大，那可以忽略缓存部分（ memcached/redis 在没有大量重复查询的时候没什么用）
3.机械硬盘应该是顶的住的，如果你不介意延迟的话
4.如果软 raid ，考虑软 raid 的计算量

SECRET_KEY 不就是一个固定的“盐”么
用了等于没用

@octref 回国是必须跃 墙，会跃 墙的人并不会中 XCodeGhost
自己要多学，做一点小项目，做的时候认真思考，不要以能用而是以完美为目标，多 Google 。这些项目多半会坑掉，但你会学到很多。

课堂教的系统全面，但自己学的才是前进的动力。

CS 只是我副专业而已，然而我能在 CS 课上完爆 CS 专业的学长。无他，唯手熟尔。（国外 CS 课其实很水，不深的，这并不是坏事）单片机汇编 /Python/Linux ，虽然我也只是入门水平，但上课的内容都是玩剩下的，只需要查漏补缺就行。
如果你有兴趣，这点程度不难的。

希望大家至少读一读这篇文章，讲了常见的错误实现： https://crackstation.net/hashing-security.htm


@typcn 11 楼是更加错误的方法，那样的话，密码实质上就是客户端生成的结果。如果被脱库，我只需要以 PBKDF2 所有可能输出当作密码取值域，穷举服务器上的加盐 hash 就行。如果要登录用户的帐号，只需要 curl 发送结果，直接绕过 pbkdf2 部分。不能相信客户端可以操纵的任何数据，而你的做法正是以客户端会乖乖对输入内容做 pbkdf2 为前提的。

安全的登录页面必须用 TLS
安全的登录页面必须用 TLS
安全的登录页面必须用 TLS

不用 TLS 的所谓 JS 加密传输的库我也写过，无非是不懂的时候闹的大笑话而已。人家直接劫持 JS ，直接 post 一份到它们服务器。而用了 TLS 以后，密码要不要额外加密已经无所谓了。客户机器不安全的话键盘钩子都能偷密码，结果都一样。

看来你没有认真上课。你算法教授没有提过 Big Omega 有什么意义么？
SHA256 + Salt 也是药丸的，尽管比 md5 是好多了。它们都是 hash
hash 太快了，一般来讲快肯定是好，无论是用于 hash 之后 cluster ，还是验证一个签名
然而对密码来讲， hash 越快，字典出来的就越快。即使加了盐，现在连带盐的字典都有。毕竟我们不需要覆盖所有密码，绝大多数用户用的都是弱智级的弱密码而已。有时候就是暴力硬上。
PBKDF2 等 Key derivation function 无法做到多快，却可以保证够慢。

@Livid this may move to /go/jobs

技术上很简单，完成时触发脚本，重新压制为 mp4 ， chrome 可以直接播放，其他浏览器做一个 html5 的 video 页面也可以轻松看。如果是自用的话， vlc 等播放器可以直接播 http ，连转码都省了
麻烦的是 dmca

@hedaors jego 乙烷。绑定手机号已经不能办了

裤子被脱了还能嘴硬
撞库能撞出 md5 ？能撞出生日？

@msg7086 yum 党表示不服！

crontab 关闭 WiFi 的时候创建一个文件
rc.local 如果发现该文件就关闭 WiFi
crontab 开启 WiFi 的时候再删掉

@taresky 并不是，这是国外的教育网

@crab
@taresky
@luili
你们搜一下 rensselaer polytechnic 就明白了