界面细节

public/about.html

@@ -47,7 +47,7 @@
     </p>
     <p>
     第一，采用第三方认证而非邮箱验证进行注册，从根源上避免新T树洞接触到敏感信息（如果你像某人一样担心树洞和认证提供方勾结，则安全性退化为了直接使用邮箱）。目前实际使用的是闭社，因为闭社提供了授权接口，而且支持匿名注册应用(<a href="https://docs.joinmastodon.org/client/token/#creating-our-application" taget="_blank">参考文档</a>)。
-      候选方案还包括：T大树洞、未名BBS、清华统一身份认证。前两者的主要问题是没有授权接口，未来可能考虑使用一些特殊的方法，例如发布一段指定的随机内容到指定位置，以证明自己拥有这个帐号。清华统一身份认证的问题是似乎并不开放，没法申请，更不太可能匿名申请。
+      候选方案还包括：T大树洞、未名BBS、清华统一身份认证。前两者的主要问题是没有授权接口，未来可能考虑使用一些特殊的方法，例如发布一段指定的随机内容到指定位置，以证明自己拥有这个帐号。清华统一身份认证的问题是似乎并不开放，没法申请，更不太可能匿名申请。(现已启用T大树洞登陆)
     </p>
     <p>
       第二，也是更核心的，采用随机盐哈希+不定期重置机制。不同于T大树洞使用一个“只有管理员知道”的盐对大家的邮箱进行哈希，新T树洞将在每次启动时随机生成一个盐，只存在于内存中。这意味着，即使是管理员也不可能通过正常手段获取该盐(会通过后端接口公示前三位和后三位，见系统日志栏)。用户所有有痕迹的操作，包括发布树洞、评论、关注、举报等，都只会记录这个随机哈希，而不会绑定到用户上。同时，每次重启就会重置这个随机盐，之前的洞将彻底和发布者失去联系(也许有军用手段可以对内存恢复历史信息？至少我没听说过)。当然，代价是如果你回复很早以前自己发布的洞，树洞也不知道你是洞主了，且每次重置后关注列表也会清空。（换言之，除了账号本身，你的一切都清零了）。

src/infrastructure/widgets.js

@@ -72,7 +72,7 @@ class LoginPopupSelf extends Component {
                 <div className="thuhole-login-popup-shadow" />
                 <div className="thuhole-login-popup">
                     <p>
-                        <b>通过第三方验证登陆T大树洞</b>
+                        <b>通过第三方验证登陆新T树洞</b>
                     </p>
 			              <p>
                         <a href="/_login?p=cs" target="_blank">
@@ -117,6 +117,7 @@ class LoginPopupSelf extends Component {
                       <ul>
                         <li> 无论采用哪种方式注册，你后台记录的用户名都是本质实名的，因为闭社/T大树洞的管理员可以根据你的闭社id/树洞评论区代号查到邮箱。但是这不影响新T树洞的安全性。新T树洞的匿名性来自隔离用户名与发布的内容，而非试图隔离用户名与真实身份。</li>
                         <li> 由于T大树洞仍未提供授权接口，使用T大树洞方式登陆需要用你的token在特定洞发布一段随机内容以确定身份。这是否违反用户条例由T大树洞管理员决定，需自行承担相关风险。完成登陆后建议立即重置T大树洞token。 </li>
+                        <li> 目前一个人可能有两个帐号。</li>
                       </ul>
                     </div>
                 </div>