flarum

@cbasil 可能和系统环境有关 我之前没出过

我觉得你这个提议就缺乏上下文 🙃

这一般是调浏览器内核截屏的(因为涉及到渲染问题)，php 的话有这个包可以实现 composer require chrome-php/chrome
需要配置 chrome ，可以试试下面这个命令安装的可以不

curl https://intoli.com/install-google-chrome.sh | bash

@sadfQED2 没用，获取声波就大有可操作的地方，毕竟人脑也不可能判断你取得参数是否正确。要想做到真正公平，就必须流程公开人人可计算，例如遵循密码学承诺的开奖方式

迫于没有发现类型小软件，已自写了个小程序，有相同需求的朋友可以取
https://github.com/del-xiong/datereminder


@oldboy627 苹果也在用 但是不满足要求

1800 买的飞利浦 4k 276E8VJSB 2 年了没翻车

你说的腾讯文档就可以实现，依托腾讯生态安全性便捷性也还可以，不过似乎没有过期机制

@hxy100
恕我直言，这跟 mime type 确实没啥关系，举个例子，一个 mp3 文件，你改成 php 后缀，那么你认为它的 mime type 是啥呢，如果你觉得是 php 那显然违背了 mime type 的定义，如果你觉得是 mp3 ，那自然就是承认自己错了。mime type 本身就存储在文件头中，web 服务器决定某个文件交给哪个服务去处理的时候，根本不会去读取内容，怎么可能判断 mime type 呢，你如果敢用 mime type 来判断转发服务，那你可能是还没被社会教训惨
现在别说 web 服务，各大平台读取文件判断类型都从来不会考虑 mime type 了-毕竟这是一种可以随意篡改的不安全的数据
新手一般喜欢用 mime type ，但是错了就是错了，痛痛快快的别强钻牛角尖

@baobao1270 那个时候应该 ip 资源很容易拿到了吧
电信：本月加入 499 套餐立享 2w ipv6 地址，每日签到送 10-50 个，每周还有幸运大转盘最高奖励 5w 个

这个。。。即使电脑小白也不会觉得有趣了吧，已经 web 3.0 了

@labulaka521 普通软件大多都是，但据我所知 rdp 是特殊协议跟 win 底层结合比较密切，可以在不截屏的情况下捕获元素、窗口的变化所以传输效率很高(第三方软件无法获取这类底层数据)
截屏类就比拼截屏效率和变动计算算法了，有些效率也很高比如 teamviewer，可惜不支持离线直连

我还是选 rdp 直连，输入法和一些特殊键不会干扰

在用 lastpass，因为担心有些风险自己本地额外加了层加密，安全性升级脱裤也不怕所以敢存储敏感信息
https://github.com/del-xiong/lastpass_dopass

https://camo.githubusercontent.com/e543c84f03b4829e1b2c15c8c259070fb39adef3de0d5ce348e0e75322d02f95/687474703a2f2f70686f746f7a6f6f6d2d7374617469632e73746f722e73696e616170702e636f6d2f322e6a7067

缺点是要麻烦些，也没有做手机端

问题可以转换下，相当于淘宝用户都可以设置自己地址，然后问如何防止用户用工具模拟提交地址
答案当然是无法防止，只能通过各种手段提高逆向难度

毕竟对服务端来说，客户端都是“无状态”的，只要参数正确，无法识别是真客户端还是伪客户端

又考虑了下，写入用户密码的时候如果不依赖外部服务，可能是需要非对称加密才行，只需要隐藏私钥就行了，目前的计算环境下足够可靠，只要 github 自身不泄露的话...

@d5 这样应该可以，如果不依赖外部服务，盐起不了防范暴力破解的作用，但 secrets 可以，非对称也不是必须的，只需要用 secrets 也作为 hash 参数就足够安全了
举例，库配置定义个 TOKEN
```
SHA_SAFE_TOKEN=ec4fa26383768f35a34c3962faea2e91
```
公开库记录密码值 sha256("202104050006-abcdf"+SHA_SAFE_TOKEN)
登录验证的时候保证 sha256(input+SHA_SAFE_TOKEN) == 记录值即可
只要 SHA_SAFE_TOKEN 不泄露，就绝对安全