1. 买便宜点的，埋汰了就换掉
2. 买个大点的消毒柜，洗完放进去

站里质疑过 /t/1002435

我觉得在意识有个定论之前，就还是哲学问题，像 #13 #31 这种决定论观点确实容易陷入虚无主义，你所思所想也已经有很多人提出和讨论过了，所以别光自己思考到绝望，多去看看前人的思考。

https://en.wikipedia.org/wiki/Philosophy_of_artificial_intelligence

@0o0O0o0O0o #15 https://security.apple.com/blog/private-cloud-compute/

在 /t/1005995 单方面表达过我这种普通人的自保方式，确实见到一部分人在执行一个 exe 、msi 文件之前可能会很慎重地判断可不可信，但对于安装各类软件的扩展就会放松警惕

@Jirajine #14 你这种假设似乎很依赖传输中的安全性？但 Debian 的源可以不需要这种保障，我觉得 #6 提到的这种策略很好，紧急情况下也只需要管理员编辑一下该时间

@Jirajine #12 我的意思是故意不同步最新镜像，这样还是保留了一些旧的、经过签名验证的、有已知漏洞的包，不过根据 #6 是有应对措施的

你可以用 inputs ，灵活点
https://github.blog/changelog/2021-11-10-github-actions-input-types-for-manual-workflows/

@taoky #6 学到了

@Jirajine #2 但是不是可以故意给有很多已知漏洞的旧版本？顺着请求的 IP 打过去…

V2EX 自己的 1brc

对我来说没有吸引力，我连苹果自带的钥匙串都很抗拒，因为：
1. 跨平台体验问题
2. 如何备份到多处？这种重要数据只在 iCloud 存一份不带历史、无法确定是否和本地一致的数据我是绝对不放心的

@tangshuier #19 我不了解早期是什么样，但在我看来只是因为 chromium 是浏览器里绝对的主流。我认为反指纹不只是随机几项参数来生成不同的指纹就行，还应该追求隐匿在海量真实用户之中，所以如果要基于 firefox 做，除了考虑对抗那些常规的浏览器指纹检测点，你还要想办法把 firefox 伪装成 chromium 或是其它用户占比高的浏览器（举个例子就是 firefox 自带的 privacy.resistFingerprinting=true 会在 Linux 上伪装成 Windows 的 UA ），而 Firefox 和 chromium 之间的差异太多了，例如 TLS 、HTTP/2 、QUIC 这些指纹全得处理，工作量太大了吧。

@raw0xff #24 不是大佬，不过很喜欢讨论这些

https://gchq.github.io/CyberChef/#recipe=From_Base64('A-Za-z0-9%2B/%3D',true,false)RSA_Decrypt('-----BEGIN%20RSA%20PRIVATE%20KEY-----','','RSA-OAEP','SHA-1')&input=b28zSlNNRnl4QVVaaEJlVXZIOHU0MHVXQWxGN2gxcmJxaTF5ZElCNUxZdWZDUndXdzNybEJjWk5aR0FzSUp6Z3JybFE4aTBTdlNOMXVCd3BKUjIyOGR0TWlxQ0ZGVFdxS2hxNjR3TWNUN29SWWgva2FWMW9kZ0tkQUw3dkh6eituZDJwd3MvcGUrdlkybkpPc0t5ZEJUcVBmaCtNQmtwSEhaajFON2dycHhVPQ&ieol=FF&oeol=NEL

需要深入理解浏览器指纹原理，知道怎么对抗；需要能搞懂 Chromium 这个庞大的项目并且找到用来 patch 过各种检测项的合适位置，能给 Chromium 设计和添加好用的 API ；需要应对可能存在的法律风险，我不觉得它和你说的一样一定是合法的

随便哪个都很难吧，何况确实很多人做，只不过你只能看到成功的 ads 、紫鸟等

翻墙和 VPN 回家

@busier #38

我在 #33 并没有将你的应用跟“所有 Web 网站”对比，我是将你的应用与常见的 E2EE 应用做对比。它们解决了，而你的方案或者说浏览器没解决，在这个重要问题没有解决的时候说 "解决服务器不可靠"、"管理员也获取不到明文信息，包括 CDN 也是" 就是不对的。

> 加解密部分的代码是静态不改变且开源的
> 用户只要校对这部分代码(或设计个校对功能)便不是问题

首先，我认为不可能只审计一部分代码，而是你的网站前端的所有代码都要审计，而目前 Web 的运作方式让这个事情失去它应有的意义，因为作为用户根本没办法保证下一次请求的代码不会变。除非你自己分发前端 HTML 文件，或者用个外部软件来提供保障，那这也就和你原文中 "客户端浏览器纯前端"、 "浏览器加载页面时" 矛盾了。

推荐这篇讨论 https://news.ycombinator.com/item?id=39436238 浏览器有往这方面发展的趋势，但并不够

E2EE 可以让用户只信任客户端，我个人对 E2EE 应用的要求是：开源的客户端、客户端会执行的代码在编译后就是确定的、客户端经过审计。而对于你的 "纯 Web 界面的端到端加密"，用户还必须信任浏览器每次加载的页面，你作为网站管理员被胁迫了或者你服务器被黑了怎么办？你用的 CDN 被黑了怎么办？还是说你打算单独分发前端源码文件？