主要是要防止
I. 任意命令执行
II. 利用被执行的程序进行攻击

任意命令执行也可以分两种情况
1. 直接从外界接受命令名，这是一定要避免的
2. shell 语言注入。理想情况下，如果能直接用 execve 搞定的事情，就不要调用 shell, 这样就不会有注入问题。我写 python 的时候也是这样做的。可 php 这智障没有 execve 接口，只能调用 shell. 一定要调用就做好 escape 啦。

第 II 点就是说，你调用的外部程序可能设计和编写的时候没考虑那么多安全问题。尤其是 DOS 攻击，面向本地用户的程序是不会考虑这个问题的。

自定义 header 肯定能防 csrf, 但是，但那毕竟要用 ajax 才能实现，如果不用 javascript, 就只能用 csrf token 了。

卡是 ssd 换成了 hdd 的原因吧，和内存没关系

openvpn 的安全性是很好的，能是实现保密和消息认证，无法通过监听来发现你访问的是什么网站。
但你要保证

1. 你的主机是干净的，没有被安装后门程序
2. 在客户端和服务器之间传递 ca 证书和客户端证书申请的过程是可靠的，没有被篡改。

这个不是算出来的，而是做压力测试测出来的
简单的应用还能估计，应用越复杂，瓶颈越可能出现在你想不到的地方

感觉类似分配寄存器的问题？

上 iPhone 吧

你用过 github 吗？

去互联网公司吧

redis 就可以做分布式的信号量

感觉以后这些重复性的工作都可以直接交给 systemd, 再也没有必要自己搞守护进程了

你这里 %edx 是个变量啊，就是在循环里面做右移，当结果不为 0 时， ZF 为 1, 执行 jne .L0, 循环
直到 %edx 为 0 的时候， ZF 为 0, jne .L0 不执行，退出循环

void f(uint32_t val) {
uint32_t sum = 0;
while (val != 0) {
sum ^= val;
val >>= 1;
}
sum &= 1;
}

这个很复杂吗？标志寄存器表示的是上一条指令的结果的属性，所有算术指令都会修改标志寄存器

并发的单位为什么是 s^-1, 这个单位是吞吐量吧
这个锅确实得执行模式背

任务队列

用「因噎废食」形容 WAF 确实也没错啊

/bin/sh link 到 dash 是没问题的， dash 符合 POSIX 要求，如果你需要用 bash-only 的功能，就应该写 #!/bin/bash.

如果自带 vim, emacsers 会不会去炸 Canonical?

@kava 看大段代码吧，不过我买了以后也从来没有真的把它立起来过。。