@yuan321 2023 年，USB2.0 ，过剩
真的，这要是个 SE3 SE4 什么的低价机也就忍了
iPhone15......

当然是复读　再考　上一本了……
一本都找不着工作了提什么三本

别这样。公司如果有基于 Intel ME 定制的管理（外面见不到，具体效果可以参见刷了自定义主板固件固件的小米互联，平板控制电脑），可以随时窥你屏，录像，push 不 push 都是证据。

＠ mdn 被脚本或插件控制的时候不会发出签名信息
说的是因为浏览器验证用户是真人这段是闭源的。
主要因为大家有 Chromium 和 Webkit 是开源的的印象，这里是段闭源验证，套壳浏览器没有

当然可靠性没测过（没见人用过），所以不知道怎么样

附：知道对错是指用户能明确知道自己是否误输入，自愿承担多次误输入造成的封禁惩罚，知道看不清点刷新
如果明确的要拒掉错误输入的服务器请求，估计办不到的

@geelaw 形式化验证虽然不万能，讲个笑话，验证码：１＋１＝２，黑客：等等，那只是个猜想，还没有证明！不能形式化验证！但其实该用一样用……
但形式化验证也并不是完全没用，但凡客户端有台 Loseless qubit 量子电脑，最次也是租了点超算时间，那什么 hash 或者 salt 都没有用。有没有一定要客户端可以知道对错的实现呢？
有！

……
只是估计是有的。
我们把判断对错的任务交给用户，不交给计算机了。
考虑两个滑块，每个 5-6 张验证码，其中有两个是一样的，两个滑块图片风格不一样，都做成渐变视频，让用户把两个数字拉一样了，点提交……
判断只需两个滑块的位置阈值……
这样本地计算机就不知道验证码对错了，只有用户知道……
是不是形式化验证要的是这样的答案？我觉得是，但很可能用处不大……

还有最新的Ｅｄｇｅ和Ｃｈｒｏｍｅ免验证，由浏览器随时验证用户是否是真人，然后数字签名过去一个消息证明用户是真人，只要验证是Ｃｈｒｏｍｅ的签名就行了。开源的Ｈｅａｄｌｅｓｓ因为开源所以没证书也没签名，具体实现原理我也不清楚，可以参考下。

比如那种定点滑块或者变异一点的二维滑块，客户端绘制，但是不是把验证结果发回去，而是把自己的绘制参数和用户的鼠标事件轨迹同时发回去服务器验证，用户就不知道验证逻辑是什么，而且为什么脚本自动滑有时候会失效。

@geelaw 我的意思是，服务端只需算出他生成的那些张的 Hash ，而客户端需要枚举所有。而且等客户端枚举完，服务端可能以及换了一批 Hash 组合了
或者如果不在意服务端亲自 Hash 一下的话，可以每次给客户端随机的Ｈａｓｈ组合算法用于验证……
比如
md5(sha1(salt(sha1(salt(md5())))))
salt(sha1(md5(sha1(salt(md5())))))

还有真的很多人说成熟第三方，确实。为什么非得验证码。滑块不好么……第三方验证很贵么

@geelaw 要说非经典计算机，要有用的话肯定是把验证部分扔ＴＥＥ里然后非对称加密握手拿到密钥，但又要买证书巨贵而且小程序之类还不能用……

@geelaw 我不太懂离线枚举，但是不是可以把 Hash 设置复杂点（比如多 Hash 嵌套几十层），客户端用户点提交后基本１秒之后才验证这种……
反正服务端验证明文又不需要验证 Hash......

但是离线反重放真的完全靠运气，对面上工具的话绝对没戏，所以只能防小白

机场用户杂，IP 特别容易污染（比如被 GFW 屏蔽了，被各种论坛/OpenAI/网站屏蔽了，被 DMCA 了等等），没人愿意搞


……
当然钱多什么问题都可以解决

@dusu 这个方法和我刚才说的方法都有一个问题，就是 replay 攻击。
都是可以填一次验证码，然后 5-10 分钟内利用一个序号无限申请，因为没状态……
我那个还应该加上一条，不仅应该根据系统时间，还应该根据请求 ip 分段，最大程度防止 replay 。

对了，扔 CDN 的话加个报复保护的 ip 限流……有很多人 cdn 被 D 的。

你自己就可以做一个
首先图片是可以预生成的，你可以一次生成它 100W 张，扔服务器，扔ＣＤＮ甚至让客户端预下载了都行
然后你根据系统时间给出一个分段随机序号
让客户端填完了把明文和序号发回来
根据系统时间规则是因为对方如果 replay attack 会在 5-10 分钟内失效
如果你想让客户端自己能判断对错，把明文的 Hash 也发过去让他自行验证。对面抓包看代码永远只知道 hash 不知道该填什么
必须看图
还不用维护状态

好吧认个错吧，虽然没用过 Chatmind ，但是用过 XMind ，不管 kuaiman.com 运作看起来多蠢，我对那种新技术出来一晚上时间就写出工具的工具 hacker 们还是挺有好感的。
另外不知是不是我记错了，这个域名好像在 V2EX 上出售过……有谁还记得么