@Jooooooooo 这你就不知道了，我国从事对应相关工作的也是 9 点上班 5 点下班，放假从来不搞。

放出这么详细的报告了，IOC C2 和跳板都放出了地址，你们还是有意见。打码是惯例，表示不适合公开的敏感信息，不代表不敢公开数据是虚构的。

当然就算 360 和国安把所有分析报告都给你们看，拿着样本送到你们手上，你们也是不信的， 毕竟我 NSA 肚子里就不可能有这碗粉。

只要能硬件接触你的机器，极端情况下你怎么加密都没用，内存中的东西都是明文。

所以你既然把机器托管到别人那，就只能考虑常规情况的安全了，极端情况不用考虑，那个你防不了。

git 不关注应用层的安全性，所以原则上是有风险的。

主流的 SaaS 服务商部署的 git 都是走的 SSH 或者 https ，这两个协议能够较好的防止中间人，如 github, gitlab 等。 但你如果自建 git 服务器，那就无法避免被中间人。

最重要的就是推送。

日常接收 gmail ，protonmail ，telegram 消息和告警推送，还有其他乱七八糟的。 如果没有及时的墙外推送真的非常影响生活。

站内搜索坚果云，你能看到很多出问题的主题。

虽然暂时用不上，但楼主的分析和测试很严谨，有说服力，我收藏了。

放弃使用浏览器保存密码，如果你真的介意你的密码安全。信我工。

首先，肯定是存的照片和视频，大厂基本都是这样做的，而且不会给你的数据加密存储。
其次，楼上有人说得对，担心腾讯泄露不如担心 gov 泄露，gov 泄露的更多更全，安全做得更差。
最后，我国法律现在没有明确禁止收集人脸识别等个人信息，只要求用户知情，数据妥善保存不能泄露。也就是说腾讯这么做是完全合法合规的。 当然，即使数据泄露了你也没办法证明是谁泄露的，不然上次 10 个比特币的事儿早就应该有人被处理了。

感觉替代品都不如 heroku ，heroku 免费版流量也挺多，很适合当下载器

Chrome 无法关闭插件自动更新，Firefox 可以。

不开源的“渗透”工具，还有人敢用吗，我是不敢的，可以让其他人来。

拒绝肖战，从我做起，因为他放弃了石头，选择了云鲸，还不错。

云盘不能只拿国内的云盘举例，也要考虑国外的云服务。

国外的成熟 SaaS 服务能够做到 6 个 9 甚至更高的可靠性，个人从成本的角度出发很难超过这个值。 将本地的数据用 GPG 加密后上传到国外的网盘服务或者对象存储，如 backblaze ，我觉得是比较合理的方案。

使用 restic 对存储内容加密，再推送到对象存储中。

https://github.com/restic/restic

@lr3800 #10 外行能体验到脚本小子的乐趣，说明整体环境对安全不重视，网上到处都是漏洞。 现在你攻击不了了，说明整体漏洞变少了，漏洞利用门槛更高了，特别是现在好多都上云，更减少了攻击面，这对所有企业来说都是好事。

现在一样有分享自动化攻击的工具，甚至开源的工具比以前只多不少，从 SQL 注入到一键扫描，C2 远控全都有。 乌云和论坛关闭这些事，都跟网络安全法没关系。 唯一影响安全从业者分析和研究的法律是，《网络产品安全漏洞管理规定》。