@geelaw 形式化验证虽然不万能，讲个笑话，验证码：１＋１＝２，黑客：等等，那只是个猜想，还没有证明！不能形式化验证！但其实该用一样用……
但形式化验证也并不是完全没用，但凡客户端有台 Loseless qubit 量子电脑，最次也是租了点超算时间，那什么 hash 或者 salt 都没有用。有没有一定要客户端可以知道对错的实现呢？
有！

……
只是估计是有的。
我们把判断对错的任务交给用户，不交给计算机了。
考虑两个滑块，每个 5-6 张验证码，其中有两个是一样的，两个滑块图片风格不一样，都做成渐变视频，让用户把两个数字拉一样了，点提交……
判断只需两个滑块的位置阈值……
这样本地计算机就不知道验证码对错了，只有用户知道……
是不是形式化验证要的是这样的答案？我觉得是，但很可能用处不大……

还有最新的Ｅｄｇｅ和Ｃｈｒｏｍｅ免验证，由浏览器随时验证用户是否是真人，然后数字签名过去一个消息证明用户是真人，只要验证是Ｃｈｒｏｍｅ的签名就行了。开源的Ｈｅａｄｌｅｓｓ因为开源所以没证书也没签名，具体实现原理我也不清楚，可以参考下。

比如那种定点滑块或者变异一点的二维滑块，客户端绘制，但是不是把验证结果发回去，而是把自己的绘制参数和用户的鼠标事件轨迹同时发回去服务器验证，用户就不知道验证逻辑是什么，而且为什么脚本自动滑有时候会失效。

@geelaw 我的意思是，服务端只需算出他生成的那些张的 Hash ，而客户端需要枚举所有。而且等客户端枚举完，服务端可能以及换了一批 Hash 组合了
或者如果不在意服务端亲自 Hash 一下的话，可以每次给客户端随机的Ｈａｓｈ组合算法用于验证……
比如
md5(sha1(salt(sha1(salt(md5())))))
salt(sha1(md5(sha1(salt(md5())))))

还有真的很多人说成熟第三方，确实。为什么非得验证码。滑块不好么……第三方验证很贵么

@geelaw 要说非经典计算机，要有用的话肯定是把验证部分扔ＴＥＥ里然后非对称加密握手拿到密钥，但又要买证书巨贵而且小程序之类还不能用……

@geelaw 我不太懂离线枚举，但是不是可以把 Hash 设置复杂点（比如多 Hash 嵌套几十层），客户端用户点提交后基本１秒之后才验证这种……
反正服务端验证明文又不需要验证 Hash......

但是离线反重放真的完全靠运气，对面上工具的话绝对没戏，所以只能防小白

机场用户杂，IP 特别容易污染（比如被 GFW 屏蔽了，被各种论坛/OpenAI/网站屏蔽了，被 DMCA 了等等），没人愿意搞


……
当然钱多什么问题都可以解决

@dusu 这个方法和我刚才说的方法都有一个问题，就是 replay 攻击。
都是可以填一次验证码，然后 5-10 分钟内利用一个序号无限申请，因为没状态……
我那个还应该加上一条，不仅应该根据系统时间，还应该根据请求 ip 分段，最大程度防止 replay 。

对了，扔 CDN 的话加个报复保护的 ip 限流……有很多人 cdn 被 D 的。

你自己就可以做一个
首先图片是可以预生成的，你可以一次生成它 100W 张，扔服务器，扔ＣＤＮ甚至让客户端预下载了都行
然后你根据系统时间给出一个分段随机序号
让客户端填完了把明文和序号发回来
根据系统时间规则是因为对方如果 replay attack 会在 5-10 分钟内失效
如果你想让客户端自己能判断对错，把明文的 Hash 也发过去让他自行验证。对面抓包看代码永远只知道 hash 不知道该填什么
必须看图
还不用维护状态

好吧认个错吧，虽然没用过 Chatmind ，但是用过 XMind ，不管 kuaiman.com 运作看起来多蠢，我对那种新技术出来一晚上时间就写出工具的工具 hacker 们还是挺有好感的。
另外不知是不是我记错了，这个域名好像在 V2EX 上出售过……有谁还记得么

@Stevenv 是啊，给期权，嗯。
实习生给期权

打开 kuaiman.com

找到

公司经营范围包括技术开发、技术转让、技术推广、技术咨询、技术服务；计算机系统服务；基础软件服务；应用软件服务；数据处理（数据处理中的银行卡中心、PUE 值在 1.5 以上的云计算数据中心除外）；工艺美术设计；电脑动画设计；企业策划；企业管理咨询；技术进出口；进出口代理；网络文化经营；基础电信业务。（市场主体依法自主选择经营项目，开展经营活动；网络文化经营、基础电信业务以及依法须经批准的项目，经相关部门批准后依批准的内容开展经营活动；不得从事国家和本市产业政策禁止和限制类项目的经营活动。）

翻译一下：公司目前经营范围什么都没有，钱也没有，想蹭ＡＩ的风口，但别让ＡＩ监管找上我，实习生来了想干什么干什么都行，我主页外包５０做的，懂前端帮我把首页弄得更唬人一点当然更好，反正不用给钱。

没错吧？

看主页公司是想做ＡＩ业咨询服务，且不问这个行业用得起ＡＩ的公司咨询都是向什么级别的公司咨询，是不是ＩＢＭ起步，就算骗傻子骗一个算一个的话，主页也不应该把 ChatGPT 给的名词定义直接贴上就完事吧？
还有好多工作要做呢

……
要是洗钱公司当我没说

@lurui45 和你同路的都看不清，有人不知道大数据的厉害上网搜了看不清怎么办，你因为开着定位权限被广告分类和那个人放在同一个分类盒子里了。
关定位吧。最好是买个移动 WIFI ，永远 wifi 上网，让基站定位也没法用才好

加 js 检测，检测合格为 wechat 内置浏览器发 nonce 继续，检测不合格为爬虫直接拒掉
怎么拒？加个 captcha 或者滑块就行，反正爬虫目前没有肯花 5 分钱请打码平台帮着划一下的，程序不要钱人要钱
美其名曰：为 wechat 内置浏览器深度适配。

@sunzhuo 或者你问他.net 的东西，因为代码臃肿很容易超出 token 限制。
比如你问怎么把一个 vlc rtsp 转发的树莓派的网络麦克风桥接到 windows 的语音识别上，涉及音频 codec 转码，代码量秒超……GPT 会拒绝回答
但是真人初学者查文档和 stackoverflow 东拼西凑是能凑出来的，也不难

@sunzhuo 你问他一个最低代码量超过 GPT token 限制 3 倍以上的大一点的系统，让他对代码中的随机一个小函数给出实现细节。
就比如 esp32 lora 蓝牙点对点非网关 DTU ，我要 LORA 和蓝牙收发纠错，主从机周期性休眠前接收 ACK 确认，要电源管理，好了，现在让他随便实现任何一个小部分，小部分要兼顾所有的特性，给出实例代码(主机-从机对应的部分都要给出)
GPT 的话会一直车轱辘话，笼统概括，拒绝给出任何细节，因为 token 周转不过来

别问我怎么知道的。我问过 GPT ，问不出来……