我是回复这个帖子: https://qqa5lomay6bqcmwr23urhajtfwuvxp7nczx4enqvetme6uryxrthrwad.onion/forums/topic/%e6%b3%a8%e5%86%8c%e9%a1%b5%e9%9d%a2%e7%9a%841password%e9%a1%b5%e9%9d%a2%e7%96%91%e4%bc%bc%e9%80%9a%e8%bf%87js%e5%9b%ba%e5%ae%9a%e9%97%b4%e9%9a%94%e6%8c%81%e7%bb%ad%e5%8f%91%e9%80%81%e8%af%b7%e6%b1%82/#post-2608
回复内容:
你发的这个链接经多次更换Tor链路都无法使用Tor Browser打开, 请注重自身安全不要在非Tor Browser操作, 不要像thphd一样吃同样的亏.
如果怕Duckduckgo是后端生成有记录, 可以页面内置JS生成密码, 这样不涉及第三方最保险.
按键敲代码嫌麻烦可以用大模型生成或直接网上搜现成代码复制过来.
如果要认真生成可靠的密码学安全密码, 相关文档: https://developer.mozilla.org/en-US/docs/Web/API/Web_Crypto_API
据称这个API在Tor Browser的HTTP的onion地址也能正常工作: https://github.com/brave/brave-browser/issues/13834#issuecomment-964846326

user6676e7b3a0366 评论 2024年6月22日

是反垃圾广告系统的锅,回复存在两个或以上链接就会自动进入审核队列,你的回复在后台能看见,这不是个BUG,但我会取消这个判断规则。

嗯,我准备自建一个对Tor友好的随机密码生成器。真随机密码生成器需要有随机源,不能单靠计算机生成,需要获取现实中的数据。等我研究研究吧

@admin_bot 建议在触发规则时提示, 用户不知道已进入审核队列, 会认为单纯是bug, 当然如果故意愚弄中共网军那是另一回事请自行思考我也不知道该怎么取舍.

@admin_bot 据我所知浏览器API应该是用的操作系统API来生成随机数, 现代操作系统会从各种渠道尽可能获取随机源进行混合得到初始种子, 只要初始种子无法被预测, CSPRNG(密码学安全伪随机数生成器)就是安全的.
当然, 确实会有特殊情况客户端的操作系统无法获取高质量随机源作为初始种子, 这种时候不仅是客户端的仰止密码生成会出问题, HTTPS, Tor, 几乎所有依赖密码学保护用户的软件都会被削弱安全性.
参考资料: https://en.wikipedia.org/wiki//dev/random

thphd也是给网站开设了onion版,却因未使用Tor浏览器导致IP被扒,这个失误太可惜了。

本站也应该好好设置CSP了,黑客使用WebRTC可以获取真实IP的。