ssh/https 保证了传输的数据流是安全的。

github 上代码不想别人看到可以用私有库。即便免费账户也可以受限使用它。


gpg 干的是另外一些事情。如上一楼提到的。

@frylkrttj
没懂...

https://s2.ax1x.com/2019/01/16/FzvrVS.png

不能创建私有仓库？现在免费用户也可以创建私有库了吧。


@whileFalse 已经转的帖子已经说得很明白了。此外，网上还可以找到很多说明

https://security.stackexchange.com/questions/120706/why-would-i-sign-my-git-commits-with-a-gpg-key-when-i-already-use-an-ssh-key-to



首先介绍两个概念。

authorization 是 “身份校验”，它就好像以房卡。有了房卡。马蓉可以进酒店，王宝强也可以。
签名 (signature) 是密码学中的一个概念。
在非对称加密算法中，公钥和私钥都是一个大素数，它们的不同名称只是公钥是给所有人知道的，而私钥只能自己知道。本质其实是一样的。这对素数可以通过一个加密一段内容，通过另一个解密。
若别人通过公钥加密，得到一个东西，我们称为密文，我们通过私钥解密。这个被称为“加密”，理论上，只有掌握那个私钥的我才能读取那段密文。这个让那个消息作为隐私。
反之，要是我用私钥加密一段内容，而公众使用公钥解密，这个被称为签名。它的好处是证明这段内容是我发出的，而不可能是任何其它人。
不过，RSA 的加密和解密都很复杂，而且我们有时候并不需要那么复杂，那么我们可以基于散列（ hash ）生成一个信息摘要（ message digest ）。它长度会比较短，我们不能从摘要中生成原文，但是我们可以用它检查原文的正确性和完整性。
比如我们准备一个王宝强的摘要，照片，身高，声音等等。那么宋 JJ 跑马蓉房间，我们抓住他，然后和摘要对比，那么很容易可以证明进马蓉房间的不是王宝强。



简单翻译下上面那个链接的内容，作为补充说明：

当你使用 ssh 密钥对 gh 身份验证后，验证信息本身不会存储起来。github 只是临时提供了一条让你读写的途径，但不会和任何不在 github 的人证明任何（身份相关的）信息。

当你 gpg 签名一个 tag 后。这个 tag 就是这个库的一部分，它可以被 push 到其它仓库。因此，clone 这个库的别人也能很容易验证这是你签名的，然后就可以像相信你一样相信那个内容。

然而，对每个 commit 进行 gpg 签名是不必要的。但在发布带 gpg 签名的 tag 是明智的。它提供了一些明确的保证:

+ 这个代码若有问题和你有关
+ 这个代码是你提交的
+ 在你签名后，这个提交没有修改过

这个并不是说你干了这些事，而只是提供追踪和确认的一个正确方向。

这个我也收到过。和楼上说得其实不太一致。它其实是利用了邮件过滤器规则漏洞发送的。我可以提供一个稍微马赛克了下的样本:

Return-Path: <[email protected]>
Delivered-To: <[email protected]>
Received: from mail.mail.bar.orz
by mail.bar.orz (Dovecot) with LMTP id QWEASDBEF
for <[email protected]>; Tue, 15 Jan 2018 01:02:03 +0800
Message-ID: <[email protected]>
DKIM-Filter: OpenDKIM Filter v2.11.0 mail.mail.bar.orz 5EBBC5C2D0
Date: Mon, 15 Jan 2018 12:02:01 -0500
Reply-To: "Foo" <[email protected]>
From: [email protected]
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.0.10) Gecko/20070306 Thunderbird/1.5.0.10
X-Accept-Language: en-us
MIME-Version: 1.0
To: <[email protected]>

内容略，大致就是说知道了我的密码，用我的邮箱发个信给自己证明一下（错，检查 log 我发现发信方是直接投到我的收件箱的，没有通过发件箱。），黑了我的路由（错，我用的是 google 家那个圆柱体，和 cisco 没有任何关系），发现我看了很多牛逼的网站（我也觉得...），所以要寄一点比特币给他。

检查 log 发现，发信方是在远程，收件人使用了一个构造的，外部的 return path。当然，这个地址其实不存在，只是为了骗过滤器的。
然后在 From 字段显式的是你的地址，reply-to 里面的字符串也是你的名字，不过简单把我的用户名首字母大写一下不太走心啊。
这是因为粗陋的邮件服务提供商（自己骂自己），即便有过滤器，没有配置好过滤规则，所以给发进来了。其实和其它垃圾邮件没多区别。

此外，这个邮件漏洞还有很多。比如我自己是有配置 DKIM 的，spf 也是 hard reject。它要是直接把 Return-Path 真设置为我自己的邮箱，那么 DKIM 和 SPF 那两关都过不了。不过配置 sieve 规则太麻烦了，要是有比较方便的自己写脚本，我能把这种弱智邮件当场顺着 tcp 骂回过去。

@mathzhaoliang 一楼是 hexdump 的输出…
分别是一地址，内容，尝试转义为 ascii 码后结果

哪里有“奇怪的字符”

好奇怪，ssh-keygen 完了 ssh-copy-id 下，之后直接就进去了，那些 duangduangduangduang 每次都输入十几位口令的，是觉得自己手速特别快，不展示下可惜了么？

要是普通用户想要 root 那太简单了，配置下 sudoer 即可控制免密码。

@lunatic5
HHVM is an open-source virtual machine designed for executing programs written in Hack and PHP. HHVM uses a just-in-time (JIT) compilation approach to achieve superior performance while maintaining the development flexibility that PHP provides. 这是 fb 的
ab 是 apache 的… 你说的“我的”是哪个

wp-super-cache 安装下？

hhvm ( https://hhvm.com/ ) 试试？
升级到了 php7 了？

------

另外，vps 的 cpu 普遍弱。单核的话来个 100% 太正常。其实 htop 那也是闪一下。benchmark 是算 qps 来着。
试试这个工具: https://httpd.apache.org/docs/2.4/programs/ab.html

Linux 是很好的操作系统。
git 是很好的版本管理工具。
emacs 是不错的编辑器。虽然我用 vim，textmate 还有 jetbrain 全家桶。

但无论哪个，都是学习编程的既不充分又不必要前提。程序就是程序，上面那一切都是有趣的工具，是在未来某个时候可能提高你效率的重要手段（除了 emacs ）。但不要因为一时的卡住而忘记学代码本身。

@frylkrttj 那为啥不用私有仓库

对了，我 15 岁高一就有借记卡了。户口簿完全没问题，哪来的 16 岁限制。身份证是高二还是会考前夕办的。不过收入账务完全和家人透明。某次压岁钱忘了报备了，被怀疑想要黑了这笔钱，被教训了一整天。

若我回到过去，恐怕也不会有任何改变。

但是，高考的专业我独自决定，只是通知了一下家人，完全不商量。后来工作也是。工作后，拿到的钱年底给一笔分红完事。

我二十岁的时候家里每个月给我 500 生活费。央求了好久，叔叔给我买了人生第一台笔记本。我终于不用网吧装 VS 了。
我爷爷给我买的很多中华书局，人民出版社的书，一直藏在我的书柜，给我爸送给了熊孩子。

楼主现在好好学习，未来能好好赚钱，自己赚的才有权支配。

----

不过啊。即便如此。借记卡有身份证 /户口簿就能办理吧。

感谢各位。

我也不知道是不是巧合，或者什么原因。只是正文中提到的一些迹象让我感觉有特殊的处理。然后不由考虑如何才能在保证性能的同时可以抓住这个 feature 然后加上。

很多人说潮汐，其实无可无不可。且不说 CS 是 computer science，范围远广于互联网。之前我还打算学理论物理来着。就算 CS 未来工资再低一些，我只要干我喜欢的事情，其实一样自得其乐。一切只会看钱，哪有功夫去玩代码啊。

但是就此事而言。我觉得楼主管得太宽了。
我妹考大学，问我选什么专业，我说要选自己喜欢的。她选了个不是 CS 的。我说好，专业我不懂，不过我周围正好有这专业的博士生。然后拉一起聊聊实际前景。然后她觉得很有意思。就选了。
平时我只管给点钱，劝她尽量买正版软件（唯一专业相关的干涉），多参加参加社团活动，多试试不同的好吃的，有好东西要和别人分享。但具体钱花到哪她问我我都拒绝收听。

我的姓名.com KINGCOM $8.88/yr Retail $10.98/yr

没给注册啊, 快去注册别给人抢了

//// 以上只是皮一下..

其实现在域名也有很多语义。比如做组织可以用 org, 教育用 edu, 个人的话，其实用 me 多好。

@uu011001 很多人买房子不眨眼，买台电脑笔记本恨不得是 100 手的，舍不得。
钻石同理。

> 给媳妇买颗钻石都这么难吗
这种话术太老套了。

https://s2.ax1x.com/2019/01/15/FziNMd.png



我建议楼主买 $1785 的钻石，然后再买 $26.06/gram 的铂金 1024g 大约总价 $26686 也送给媳妇证明不是钱不钱的问题。

我觉得没那么复杂。英文里面也有个很常用的词“ interesting ”。你和人巴拉巴拉半天，人家觉得这什么沙雕，那么可能会礼貌回一句，interesting，意思是别啰嗦了。

公子是公侯的子嗣，后来可以称呼随便谁，现在马云被称为帅哥毫无不自然。
开始叫拉屎，后来叫净手，出恭，更衣。

总之规律很复杂，在于你不知道下一个在某个方向上“更强”的词汇是什么。但也很简单，方向总是一致的。

interesting 本来用来解决“你说的嘛玩意儿，闭嘴吧您呐”这句话的
我洗澡去了 本来是解决“烦死了别和我说话”
呵呵 本来是解决“你开心就好，懒得和你鬼扯”


小时候老师讲台上讲故事，其中不得不提到 rape 这件事，我插嘴道“我知道，是强奸”，老师狠狠白了我一眼“知道你又会一个单词了”。
总有人觉得还需要“更强”的词汇的。虽然会导致二义性问题，乃至本来就是蹭那个意思，但天下大势浩浩汤汤，普通人只能避免一下使用造成歧义的话了