@xenme

并非只有运营商能劫持你

你的本地网络上的用户
你的运营商
骨干网上的用户
服务器的运营商
服务器所在本地网络的用户

都有能力劫持你

“运营商劫持 DNS 篡改你 public key “，https 上，public key 又不用 DNS 来分发。public key 靠 PKI （公钥基础设施）来确保公钥来自真实的服务器。你劫持 DNS 劫持走了我浏览器早就弹出证书错误了。

@t6attack

对于 https 连接，我不需要信任 isp，因为 isp 没法修改在我的操作系统里的根证书

我只需要信任我的操作系统。我凭什么信任操作系统呢，因为我的操作系统使用 gpg 签名保护根证书来自操作系统开发者。

@xenme

sni 就是一个域名啊，中间人能拿到的就一个域名，和一点 metadata，传输的数据都是经过加密的啊，而且现在的基本都是支持前向保密的（甚至到 TLS1.3 强制支持前向保密），服务器私钥泄漏历史数据都没事。

除非有 TLS 的漏洞，密码算法实现的漏洞，否则你能从 TLS 里劫持什么数据出来。

TLS 漏洞一旦公开可以通过保持升级客户端和服务器操作系统，升级浏览器解决。

要是没有 TLS，岂不是随便一个人都能随便劫持，这根本不是一样的。

@est

问题来了，不依赖 TLS 的漏洞，中间人如何劫持你的 https 连接。

这个问题关键在于，https 标记暗示用户连接是比较安全的，用户登录 https 网站认为自己的数据不会以很低级的方法泄露，但是这个问题仅仅是因为网站开发者的疏忽导致数据轻易被降级泄漏，甚至可能用户毫不知情，这是最可怕的。

对了，这个选项在我的 Debian stable 的 chromium 上是默认开启的。

我一开始还纳闷为什么访问什么网站都提示 cookie 已拦截 XD

@est

中间人啊，本来应该只在安全连接中传输的 cookie 使用明文在网络上传输了。

再扩展一下，中间人在你的任何 http 流量中插入 alipay.com 的 http 资源引用，如果 alipay 没有设置 secure 或者 hsts，你的 alipay 就会可能会被盗刷

我理解的是：如果 a.com 的 cookie 没加 secure，然后用户登录 a.com ，再访问不是 https 的 b.com ，b.com 没有用 https 引用 a.com 的资源（浏览器就会访问 a.com ，并携带所有非 secure 的资源），导致 a.com 的 cookie 泄漏。

所以开发者不要忘了设置 cookie 时设置 secure 标记，或者启用 hsts。

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

@est
@hpeng
@airyland

自建 MTA 服务器

sendmail 或者 postfix

@LoliconInside #12

我说了，“内核默认会”

没有 ls 说的那么严重，旧 pc 做的服务器 2g 内存有时候不够开了 4g swap，需要大内存时确实很慢，但是这种情况不多见啊，Linux 内核默认会尽可能不用 swap，到万不得已才会开始用 swap，所以平时不需要大内存的时候并没有副作用，而需要大内存时又不至于让任务失败。

当然最好还是加 RAM，需要大内存时体验真的不一样

和什么框架无关

除非单独开发客户端，否则不上 https 无解。lz 的要求好像是”我不穿衣服怎么让别人看不到我的裸体“，就像皇帝的新衣。

就算你开发客户端，你是选择用经过无数人审计，经过大量实践证明稳定可靠的 TLS，还是要自己重新发明一个全部都是 bug 和安全漏洞的” TLS “？

再回到 lz 的问题

为什么会有地址，其实编译器也很无奈啊，本来设计的当的编译器不会给 const 分配地址，让他做立即常量来避免多一次的内存访问（要知道访问内存可是开销很大的操作呀），但是 lz 偏偏要 &const，这相当于创建 const 变量的一个引用，于是编译器就不能把它优化掉了，所以 lz 才看到地址输出

@raysonx #11

可能他说的是 RISC 架构的计算机吧，你说的 x86 这种 CISC 计算机自然不一样。

int x = 5，在 RISC 上是这样工作的

mov 5, 寄存器 1
store 寄存器 1, (寄存器 2)

确实需要“放在寄存器”上

@anonymous256 #5

但是说法非常有歧义且容易混淆，立即常量是先在机器指令里，再在寄存器里。

@shuax #15 我认为修改程序内存私有地址空间代码也属于"修改软件或软件的任何部分"

@shuax

我看了一下 greenchrome，建议你以后去搞一个 greenchromium，而不是 chrome，因为这种外挂式的插件可能违反 Google Chrome 的 EUL

"谷歌授予您一项个人的、全世界范围内的、免交使用费的、不可转让及非专有的许可，以使用作为谷歌向您所提供的服务的一部分而向您提供的软件（下称“软件”）。.......除非法律明确允许或要求，或经谷歌明确书面授权，否则，您不得（而且不得允许其他任何人员）复制、修改软件或软件的任何部分；对软件或软件的任何部分创作衍生作品；进行反向工程、反编译；或者试图从软件或软件的任何部分提取源代码。"

这涉及修改 Google Chrome 的程序私有地址空间代码

所以为什么用闭源驱动呢，试试开源驱动看看问题是否出现。

@Benson1212 普通路由器肯定没法开，需要能刷 openwrt 等的

最简单的方法，路由器上开个代理服务器，关闭 nat，然后都连代理服务器用

我直接映射到 Unix 系统用户和数据库用户上，完全不用自己操心