=====搏击俱乐部=====(情绪发泄专楼)
政治环境残酷,来品葱的朋友们难免有情绪。在讨论时,本来想心平气和地说事,却控制不了自己,非要钻进牛角尖争个高下。
这是人之常情。
因此,搏击俱乐部开张。
简单来说,就是个情绪发泄专楼,本楼允许一切政治不正确、脏话、扣帽子、人身攻击等不文明、无逻辑言论。
搏击俱乐部规矩有三:
1. 仅限文字,不发图片;
2. 不主动寻衅,本楼是用来发泄情绪,不是用来制造更多情绪的(发泄时请勿at、回复他人);
3. 不可因本楼内言论在其他地方争吵、报复。出了本楼,一切放下。What happens in the club, stays in the club.
搏击俱乐部潜规则:
不使用踩赞功能。如果你特别想踩赞,可以踩赞之后再取消,在投票纪录中留下自己的痕迹。
欢迎愤怒的人。
欢迎痛苦的人。
欢迎悲伤的人。
欢迎无聊的人。
不欢迎恶意的人。老板认识很多白道大佬,【警黑合作】可不是说着玩的。
时间倒序爱好者可走后门:https://pincong.rocks/article/id-5850__sort-DESC
这是人之常情。
因此,搏击俱乐部开张。
简单来说,就是个情绪发泄专楼,本楼允许一切政治不正确、脏话、扣帽子、人身攻击等不文明、无逻辑言论。
搏击俱乐部规矩有三:
1. 仅限文字,不发图片;
2. 不主动寻衅,本楼是用来发泄情绪,不是用来制造更多情绪的(发泄时请勿at、回复他人);
3. 不可因本楼内言论在其他地方争吵、报复。出了本楼,一切放下。What happens in the club, stays in the club.
搏击俱乐部潜规则:
不使用踩赞功能。如果你特别想踩赞,可以踩赞之后再取消,在投票纪录中留下自己的痕迹。
欢迎愤怒的人。
欢迎痛苦的人。
欢迎悲伤的人。
欢迎无聊的人。
不欢迎恶意的人。老板认识很多白道大佬,【警黑合作】可不是说着玩的。
时间倒序爱好者可走后门:https://pincong.rocks/article/id-5850__sort-DESC
31064 个评论
回复 但很明显现在这个验证码只能抵挡真诚用户了。挡住魔怔人的实际上是谷歌验证码。
了解。這幾天若還有管理未察覺這個情況,相互提醒一下。
您好,请问您可以告诉我什么是鹿党吗?我使用站内搜寻,但似乎没有找到相关信息。
可以說是一種站中站、黨中黨、樓中樓的存在,因為精神領袖(也就是我)非常懶惰所以毫無動員能力,黨員跟黨員間全靠眼神進行交流。目前能知道的,只有頭上會多了個圖示。
为尽可能减少对正常用户的误伤,处罚理由可以复制这段话哦
@熊熊
最近论坛遭到大量脚本攻击,因此暂时观察。如有误伤,可至此帖申诉解除:https://pincong.rocks/question/id-19424__sort_key-add_time__sort-DESC
@熊熊
为尽可能减少对正常用户的误伤,处罚理由可以复制这段话哦
好的,
我看到很多新手號是新手之間互相點讚,頭像用真人的,身上有臭味的基本都標記一個。
赌五毛,下一个号叫比尔克林顿😏
https://pincong.rocks/article/item_id-274218
https://pincong.rocks/article/item_id-274218
赌五毛,下一个号叫比尔克林顿😏
請問一下,如果每天只在品蔥上專注站務的話,
不在主頁回帖,是不是聲望就沒辦法增加了?
窝的一个看法,如果实在不行,品葱就开始邀请码注册和考题注册吧,把门槛拉的很高,主要是让人看,讨论门槛极高,品葱现在还有不少高质量用户,哪怕发展慢一点,也比被水军冲垮好。
@懦夫斯基
@懦夫斯基
敲黑板重点
我也发现bot大多都集中在某uid区间了😏
品葱 150秒 间隔注册 早先机器抢注 一天数百号 令到人类用户不可注册 因此全天无人报道
我也发现bot大多都集中在某uid区间了😏
請問一下,如果每天只在品蔥上專注站務的話,不在主頁回帖,是不是聲望就沒辦法增加了?
如果有高危 (望) 大佬点赞你回复的投诉处理结果,也是可以涨声望的😏
如果有高危 (望) 大佬点赞你回复的投诉处理结果,也是可以涨声望的😏
好的ww謝謝QAQ!
窝的一个看法,如果实在不行,品葱就开始邀请码注册和考题注册吧,把门槛拉的很高,主要是让人看,讨论门槛...
暂时不建议邀请码注册,如果品葱关闭注册入口限制新用户,正中对方下怀。
暂时不建议邀请码注册,如果品葱关闭注册入口限制新用户,正中对方下怀。
我觉得报道贴改问题这事儿,应该尽快由逛新人贴多的同仁或者站长拍板。
报道贴的原作者不在是有点尴尬啊。
开始玩全站抓网军了伤害更大。
其實有一個關於管理員權限的問題,有點不解。
就是為什麼管理員權限不像傳統論壇模式那樣,通過申請、提拔的方式獲得,
而是通過聲望到底一定水平再進行權限的逐步解封呢?
比如有一些蔥友,雖然權限已經達到管理員級別,但無心進行管理,
而有一些蔥油,希望成為管理員,前提是聲望達標,但因為聲望不夠很多權限無法獲取(比如我。)
很好奇,這樣設定是為什麼呢?
就是為什麼管理員權限不像傳統論壇模式那樣,通過申請、提拔的方式獲得,
而是通過聲望到底一定水平再進行權限的逐步解封呢?
比如有一些蔥友,雖然權限已經達到管理員級別,但無心進行管理,
而有一些蔥油,希望成為管理員,前提是聲望達標,但因為聲望不夠很多權限無法獲取(比如我。)
很好奇,這樣設定是為什麼呢?
@某人临时小号
那個,我私信回復不了…
沒事的w如果需要我,我會繼續的!
那個,我私信回復不了…
沒事的w如果需要我,我會繼續的!
窝的一个看法,如果实在不行,品葱就开始邀请码注册和考题注册吧,把门槛拉的很高,主要是让人看,讨论门槛...
这或许就是幕后主使的真实目的哦。
然而對方也是可以存不同問題的題庫的。
现在立马,先临时换一个题目!
起码可以止住机器人。
如果大家同意,有编辑权限的几位包括我自己都可以去改。
复读一下
“补充:
新人报道贴问题可以如何改进?希望常去审核的同仁一起想个改进出来。
防中共网军:敏感词相关问题。
习近平主席执政有什么做得不对的地方?
你对地方自治怎么看?
你怎么看国内的舆论/新闻环境?
你认为国内舆论环境有网军吗?
防其他魔怔人网军:考察真人思维能力(答得越认真越好啦
公民大学题库
sat/gre写作题库
缺点,会排除掉一些稍稍没有内容输出能力的用户。”
其實有一個關於管理員權限的問題,有點不解。就是為什麼管理員權限不像傳統論壇模式那樣,通過申請、提拔的...
看看鹿姨的水楼“大滥权”
还有这个当年使得我们临危上任的背景故事 https://pincong.rocks/question/2970
以前懦夫斯基有解答过,达到管理员级别可以:1.当没发生,不使用管理权限继续做会员 2.担任管理员 3.申请退休 (bushiwumao就是这样做的)
不过1现在不成立了,已经有了“3个月一个管理操作都没做过会自动退休,若以后有意拿回刺客称号和装备的话可以申请复职”
现在立马,先临时换一个题目!起码可以止住机器人。如果大家同意,有编辑权限的几位包括我自己都可以去改。...
暂时别改。看看他能玩几天。
暂时别改。看看他能玩几天。
也可。不过这段时间的投诉系统是否能承受得及?
是的,如果有什麼事情想回復,又不好在大庭廣眾之下@進行回復的話,就比較苦惱了。
你让对方用私信给你发AES128的密钥
然后你用密钥加密你的内容发出来
然后他用密钥可以解密
整个过程很安全
https://encode-decode.com/aes256-encrypt-online/
你研究下,你的智商可以的
看看鹿姨的水楼“大滥权”还有这个当年使得我们临危上任的背景故事 https://pincong.ro...
那么,有没有可能是有人不满现在的声望制度,然后用这一招重新回到大滥权?
顺便附我的一些胡思乱想:我有一个猜测:是不是有人因为什么目的,才使用这些非常明显的BOT攻击?
我在想,也许他们的目的,就是为了输送一些账号进来。
或者说是逼迫站长“封关”
或者是某位管理员为了“夺权”而造出这一麻烦
或者是站长为了关闭品葱每周备份达到垄断(这个看上去不太可能)
总之,最近的时期,要一万个小心。不要完全信任任何人,包括我。这是一出谍战大戏啊。。。
总之现在就是一个非常紧急的状态,不知道对方在干什么,目的是什么。
你让对方用私信给你发AES128的密钥然后你用密钥加密你的内容发出来然后他用密钥可以解密整个过程很安...
好的,雖然現在已經可以進行私信回復了,不過這個方法會有其他用途,謝謝你!
现在立马,先临时换一个题目!起码可以止住机器人。如果大家同意,有编辑权限的几位包括我自己都可以去改。...
我有一个想法,如果管理员的全时间值班人数够,反应够快,可以不可以注明临时采用一个方法,每个帖子报道后5-10分钟内会得到管理的回复(讨论),该回复包含一个或几个问题,如普通的简单数学题,报道着需要在另外一个专门的帖子回答答案或者通过编辑加到报道答案下方,请报道者等个10分钟等题目,然后回答。
这样的话,机器人要报到就要有人手动回答全部问题。等于管理跟机器人后面的人比拼人力资源。问题最好随意一点,不要太小众有些人无法回答的,又不要简单到能被总结丢机器回答的。
问题里面可以来一点点火星文什么的,类似墙壁内躲机器的方式,不知道有没有用。
我有一个想法,如果管理员的全时间值班人数够,反应够快,可以不可以注明临时采用一个方法,每个帖子报道后...
我和鹿儿有追问问题,我自己大概追问了7 8 个人,暂时我只收到一个回应。
不过不报道也可以发言,既然这周已经有异样,反正应该已经有很多网军在流窜了。
我和鹿儿有追问问题,大概追问了7 8 个人,暂时我只收到一个回应。 不过不报道也可以发言,所以应该已...
是的,如果在报道帖顶部说明会追问问题和回答的方法,大约需要等待多久能等到问题,怎么回答追问的问题,这样应该会比较多人回答你们的追问,这样不回答追问就一直发言的就比较可疑了。
记得一人不报道一天只能回复三个帖,不报道升威望还好,只有乘起人数时才麻烦。
真的是超级多挖墓的。
霏艺Faye
图书管理员
最开始,共产党没有重视pincong,只是单纯的对DNS进行污染
只要在hosts里增加记录就可以解决
后来改成TLS阻断,但发送TLS的client hello请求的时候,根据server name字段判断是pincong
就reset TCP连接
需要用火狐的TLS1.3 ESNI功能
通过TRR mode改成3 同时 esni 改为true
如果还要进一步阻断,就只能Google的IP黑洞了。。。
我想提个建议,把pincong改成UDP协议的,而不是TCP协议
简单讲,改成QUIC【http 3.0】试试看效果
只要在hosts里增加记录就可以解决
后来改成TLS阻断,但发送TLS的client hello请求的时候,根据server name字段判断是pincong
就reset TCP连接
需要用火狐的TLS1.3 ESNI功能
通过TRR mode改成3 同时 esni 改为true
如果还要进一步阻断,就只能Google的IP黑洞了。。。
我想提个建议,把pincong改成UDP协议的,而不是TCP协议
简单讲,改成QUIC【http 3.0】试试看效果
也可。不过这段时间的投诉系统是否能承受得及?
这个可以放心。
刚出投诉系统的时候那么多投诉也没瘫痪。
霏艺Faye
图书管理员
http 1.0 跑在 tcp协议上,明文传输
共产党,应该是检查head的host字段和body里的关键字屏蔽
http 2.0 跑在TLS协议上【TCP上的叫TLS,UDP上的DTLS】
最大的优势,我觉得是密文传输,头部压缩,多路复用
共产党目前没法破解密文,所以是根据TLS的握手消息里的server name字段来TCP 重置
http 3.0 据说改成用了UDP协议,貌似是自己实现了一套DTLS吧
目前叫QUIC。。。共产党好像无条件把QUIC协议都封杀了?
然后是DNS,裸的DNS只能走53端口,所以共产党是全网污染所有53端口的,还是DOH安全
UDP协议没有handshake协议,所以不像TCP会被链接重置
但是UDP无状态!
所以没有办法像TCP那样在服务端使用select poll epoll kqueue等方式多路复用
举个例子,如果是tcp协议,那么每一个浏览器来连接服务器,服务器代码都会新建一个client的socket
然后通过select方式,轮询每个client socket,实现多路
但是udp协议,服务端就没有这个socket了。。。
我也在看nginx的源码,思考nginx的现有框架如何实现quic协议
nginx的现有代码逻辑
所有的操作都是add event到一个队列,分r队列读队列和w队列写队列
然后在对应的线程执行process event
但是关键,我没有理解udp的select用法,很稀有的写法
我在stackoverflow里看到的都是推荐udp单线程,性能最好了
如果pincong移到quic协议,估计还有很长的路要走
如果是高并发的情况下,quic协议真的比spdy协议快么,对服务器资源的开销更低么?
为什么guic协议不直接跑在DTLS上呢?
共产党,应该是检查head的host字段和body里的关键字屏蔽
http 2.0 跑在TLS协议上【TCP上的叫TLS,UDP上的DTLS】
最大的优势,我觉得是密文传输,头部压缩,多路复用
共产党目前没法破解密文,所以是根据TLS的握手消息里的server name字段来TCP 重置
http 3.0 据说改成用了UDP协议,貌似是自己实现了一套DTLS吧
目前叫QUIC。。。共产党好像无条件把QUIC协议都封杀了?
然后是DNS,裸的DNS只能走53端口,所以共产党是全网污染所有53端口的,还是DOH安全
UDP协议没有handshake协议,所以不像TCP会被链接重置
但是UDP无状态!
所以没有办法像TCP那样在服务端使用select poll epoll kqueue等方式多路复用
举个例子,如果是tcp协议,那么每一个浏览器来连接服务器,服务器代码都会新建一个client的socket
然后通过select方式,轮询每个client socket,实现多路
但是udp协议,服务端就没有这个socket了。。。
我也在看nginx的源码,思考nginx的现有框架如何实现quic协议
nginx的现有代码逻辑
所有的操作都是add event到一个队列,分r队列读队列和w队列写队列
然后在对应的线程执行process event
但是关键,我没有理解udp的select用法,很稀有的写法
我在stackoverflow里看到的都是推荐udp单线程,性能最好了
如果pincong移到quic协议,估计还有很长的路要走
如果是高并发的情况下,quic协议真的比spdy协议快么,对服务器资源的开销更低么?
为什么guic协议不直接跑在DTLS上呢?
沉默的广场
休假中
除了私信,github,有没有什么保密的方式给品葱贡献代码?
我做过跟验证码识别比较类似的一些东西(社工回避),难度比验证码大得多,我对这方面有一定了解。我改进了一下品葱生成验证码的代码,机器更难识别。但是因为防火墙,私信无法发php。放到GitHub上可能会被攻击者恶意利用(生成数据集)。
建议开发人员公布一个PGP公钥,这样可以在不安全的环境(版聊)中传送加密消息。我用您的公钥加密以后再贴出来。
https://pincong.rocks/article/11717
我做过跟验证码识别比较类似的一些东西(社工回避),难度比验证码大得多,我对这方面有一定了解。我改进了一下品葱生成验证码的代码,机器更难识别。但是因为防火墙,私信无法发php。放到GitHub上可能会被攻击者恶意利用(生成数据集)。
建议开发人员公布一个PGP公钥,这样可以在不安全的环境(版聊)中传送加密消息。我用您的公钥加密以后再贴出来。
https://pincong.rocks/article/11717
除了私信,github,有没有什么保密的方式给品葱贡献代码?我做过跟验证码识别比较类似的一些东西(社...
品葱是开源的,服务器的代码是GitHub上下载下来的
霏艺Faye
图书管理员
现在谈下加密
先讲下异或吧,1^1=0 0^0=0 0^1=1 1^0=1
总结 a和b不同就是1 否则是0
第一章: 对称加密
代表算法AES 、chacha20
算法的原理,就不说了。就说具体操作抽象一下来讲,就是用密钥去异或加密字符串
加密过程,大概就是 密钥 ^ 明文 = 密文 ,不够就 for 循环 这个过程,直到整个明文都被加密
解密过程,大概就是 密文 ^ 密钥 = 明文, 因为异或的算法特性,所以可以得到明文
这个过程,加密和解密的密钥是同一个,所以叫做对称加密
我们平时上网,数据的加密都是用AES这样的对称加密算法加密的,手机端【老旧cpu】使用的是chacha20
第二章:非对称加密
代表算法RSA
对称加密算法是用来加密数据的
这个加密算法,不是用来加密数据的,是用来加密密钥的!
举个例子,我和AAA需要沟通,而且内容机密,得给他一个AES密钥,所以我得把密钥加密以后再给AAA
而不是直接给他AES的明文密钥
过程如下【抽象版本】
1.我告诉AAA,我们来生成一对密钥吧【第一次握手,client hello】
2.AAA给我一个很大很大的质数【第二次握手,server hello】
3.我根据AAA的质数,生成一对公钥和私钥,把公钥发给AAA【第三次握手,send 公钥】
4.AAA回复我,收到你的公钥了!【send 公钥 ack】
5.我自己在生成一个aes的密钥,用私钥加密以后发给了AAA【send aes 密钥】
6.aaa收到以后用公钥解密,得到aes密钥【send aes 密钥 ack】
之后的通信都是aes加密以后的了
公钥加密以后,有私钥的人才能知道发的内容!
哪怕第三方截获了我和AAA的公钥和密文,也没有办法知道AAA给我发了什么。
第三章:数据摘要
代表算法md5 、sha256
为了防止数据篡改,或者数据发送过程中丢失,乱序等情况
我们会对数据发送的时候做一次数据摘要!
大致过程【抽象版本】
第一种:
先对明文做md5,得到一个hash
然后明文后面拼上这个hash,一起aes加密得到密文
接收方,可以得到密文后先aes解密,在对明文算一次hash,和刚才得到的hash比对,是否一致
第二种:
反过来,先对明文aes加密,然后对密文算一次hash
接收方,略。。
然后,这些都不安全
于是乎,提出了AEAD
举例算法 aes-gcm、chacha20-poly1305
同时对明文aes加密和算hash,得到的字符串拼在一起
AEAD【AES128-GCM】翻墙必备!!!
第四章:cert证书机制
代表 x.509v3
举个例子,我和AAA通信的时候,凭什么相信对方是AAA呢?
所以需要一个第三方中间人,来证明AAA是AAA!
这个中间人叫根证书【中共一直在安卓和iOS,Windows,Chrome里添加自己的根证书】
模拟过程【抽象版本】
我问AAA,你是谁?
AAA给了我它的证书
我拿AAA给我的证书去问根证书,这个人是真的AAA么?
根证书校验了AAA的证书以后,告诉我是或者不是,
如果是的话,我就和AAA继续聊天了,否则我选择不聊天!
这里,我觉得太长了,有空给你们补课。
亦或者,你们不懂的地方说出来,我单独回答
先讲下异或吧,1^1=0 0^0=0 0^1=1 1^0=1
总结 a和b不同就是1 否则是0
第一章: 对称加密
代表算法AES 、chacha20
算法的原理,就不说了。就说具体操作抽象一下来讲,就是用密钥去异或加密字符串
加密过程,大概就是 密钥 ^ 明文 = 密文 ,不够就 for 循环 这个过程,直到整个明文都被加密
解密过程,大概就是 密文 ^ 密钥 = 明文, 因为异或的算法特性,所以可以得到明文
这个过程,加密和解密的密钥是同一个,所以叫做对称加密
我们平时上网,数据的加密都是用AES这样的对称加密算法加密的,手机端【老旧cpu】使用的是chacha20
第二章:非对称加密
代表算法RSA
对称加密算法是用来加密数据的
这个加密算法,不是用来加密数据的,是用来加密密钥的!
举个例子,我和AAA需要沟通,而且内容机密,得给他一个AES密钥,所以我得把密钥加密以后再给AAA
而不是直接给他AES的明文密钥
过程如下【抽象版本】
1.我告诉AAA,我们来生成一对密钥吧【第一次握手,client hello】
2.AAA给我一个很大很大的质数【第二次握手,server hello】
3.我根据AAA的质数,生成一对公钥和私钥,把公钥发给AAA【第三次握手,send 公钥】
4.AAA回复我,收到你的公钥了!【send 公钥 ack】
5.我自己在生成一个aes的密钥,用私钥加密以后发给了AAA【send aes 密钥】
6.aaa收到以后用公钥解密,得到aes密钥【send aes 密钥 ack】
之后的通信都是aes加密以后的了
公钥加密以后,有私钥的人才能知道发的内容!
哪怕第三方截获了我和AAA的公钥和密文,也没有办法知道AAA给我发了什么。
第三章:数据摘要
代表算法md5 、sha256
为了防止数据篡改,或者数据发送过程中丢失,乱序等情况
我们会对数据发送的时候做一次数据摘要!
大致过程【抽象版本】
第一种:
先对明文做md5,得到一个hash
然后明文后面拼上这个hash,一起aes加密得到密文
接收方,可以得到密文后先aes解密,在对明文算一次hash,和刚才得到的hash比对,是否一致
第二种:
反过来,先对明文aes加密,然后对密文算一次hash
接收方,略。。
然后,这些都不安全
于是乎,提出了AEAD
举例算法 aes-gcm、chacha20-poly1305
同时对明文aes加密和算hash,得到的字符串拼在一起
AEAD【AES128-GCM】翻墙必备!!!
第四章:cert证书机制
代表 x.509v3
举个例子,我和AAA通信的时候,凭什么相信对方是AAA呢?
所以需要一个第三方中间人,来证明AAA是AAA!
这个中间人叫根证书【中共一直在安卓和iOS,Windows,Chrome里添加自己的根证书】
模拟过程【抽象版本】
我问AAA,你是谁?
AAA给了我它的证书
我拿AAA给我的证书去问根证书,这个人是真的AAA么?
根证书校验了AAA的证书以后,告诉我是或者不是,
如果是的话,我就和AAA继续聊天了,否则我选择不聊天!
这里,我觉得太长了,有空给你们补课。
亦或者,你们不懂的地方说出来,我单独回答
我其實覺得還是搏擊俱樂部比紙牌屋頂用😂
霏艺Faye
图书管理员
第五章:数据混淆
数据加密归加密,但是在网络传输的时候,容易被流量识别!
所以,有了一个数据混淆的技术
例如TOR的obfs4协议
对加密后的数据,在传输的时候,进行伪装
一般就是把自己模拟成正常的http请求,显得自己是正常的上网。
这个还挺不好讲的。。。
例如前置域名啊,模拟http啊,使用wss啊
比如数据分片,ack包,padding包,然后会对多个代理进行负载均衡。。。
真实数据放在stream frame里
然后还有乱序整理,重传确认,RTT,窗口大小等。。。
逻辑上,我应该去看看迷雾通作者的代码的,毕竟人家也开源了,很配合
我一直没有去检查代码,惭愧啊。。。
总感觉这个翻墙需要很多的知识储备。。。
如果你使用Chrome浏览器,建议多看看BoringSSL的代码,其中证书,等过程都是chrome把相关函数指针传给BoringSSL当回调指针的,如果个人使用,可以用现成的,也就是回调指针为空,BoringSSL会自己用内部实现。Chrome的这个代码我看了用了线程池来提高效率。默认的是单线程阻塞。
BoringSSL代码应该是fork了OpenSSL
火狐代码来自NSS 代码没有看过!
我也只对DoH和ESNI有兴趣,稍微瞄一眼,大概出了bug,我知道怎么改代码
chrome和firefox的本地编译,我觉得都很痛苦
额外提一句,firefox的xpcom好复杂,用起来倒是挺好的
virtualbox也是基于xpcom写的
我觉得,写的挺多了
有什么需要补充的?
数据加密归加密,但是在网络传输的时候,容易被流量识别!
所以,有了一个数据混淆的技术
例如TOR的obfs4协议
对加密后的数据,在传输的时候,进行伪装
一般就是把自己模拟成正常的http请求,显得自己是正常的上网。
这个还挺不好讲的。。。
例如前置域名啊,模拟http啊,使用wss啊
比如数据分片,ack包,padding包,然后会对多个代理进行负载均衡。。。
真实数据放在stream frame里
然后还有乱序整理,重传确认,RTT,窗口大小等。。。
逻辑上,我应该去看看迷雾通作者的代码的,毕竟人家也开源了,很配合
我一直没有去检查代码,惭愧啊。。。
总感觉这个翻墙需要很多的知识储备。。。
如果你使用Chrome浏览器,建议多看看BoringSSL的代码,其中证书,等过程都是chrome把相关函数指针传给BoringSSL当回调指针的,如果个人使用,可以用现成的,也就是回调指针为空,BoringSSL会自己用内部实现。Chrome的这个代码我看了用了线程池来提高效率。默认的是单线程阻塞。
BoringSSL代码应该是fork了OpenSSL
火狐代码来自NSS 代码没有看过!
我也只对DoH和ESNI有兴趣,稍微瞄一眼,大概出了bug,我知道怎么改代码
chrome和firefox的本地编译,我觉得都很痛苦
额外提一句,firefox的xpcom好复杂,用起来倒是挺好的
virtualbox也是基于xpcom写的
我觉得,写的挺多了
有什么需要补充的?
BOT們,好狡猾…Σ( ° △ °|||)
霏艺Faye
图书管理员
我没有看迷雾通的代码,我对翻墙的技术是来自看lantern的代码【v2ray的代码更好,建议从v2ray开始看】
这里的学习包括http proxy 和socks proxy
了解http协议的代理用法,websocket 协议
socks v5协议
学习了PAC的原理和格式
还有我觉得lantern的核心吧 lampshade通信协议
https://github.com/getlantern/lampshade/blob/master/lampshade.go
https://github.com/getlantern/lampshade/blob/master/session.go
包括,lampshade是如何握手的,如何协商密钥。
负载均衡,还包括如何统计使用了多少流量
蓝灯的流量计算,特别单纯,使用的是mac地址,把mac地址不停修改,就可以一直用了。。。
我也不是一个程序员。。。
v2ex上也不都是程序员
我就是很好奇,大部分国内程序员都是普通人,工作也没有多高级,哪里来的优越感。。。
他们自己都知道面试造航母,进去拧螺丝。
在中国,当程序员,其实就是CRUD 增删改查,写写restful接口
国内程序工作无非就是
1.收发报文
2.拼装,解析json
3.拼装,解析sql
4.拼装,解析html
无非大家使用语言不同,java c c++ php 等等
当然国内也有很多大神级别的程序员,他们的工作非常厉害
比如研发OCR算法,语音识别,文本翻译,各种AI
自动驾驶。。。
但是这类程序员在国内很稀有啊
我觉得99%的中国程序员,应该想想退路了。
你们的工作能力,我觉得随便找个大学生都可以轻松取代你!
而你们失业以后大概率是找不到工作的。
云计算,区块链,大数据。。。说起来一个个很高大上,其实进去工作就发现
完全不是一回事啊,还是写restful接口啊
说好的openstack开发呢?说好的spark框架计算呢?
除了产品经理和营销部门的吹牛ppt,我看不到工作内容里有什么技术含量。
我谈谈我遇到的程序员吧:
1.键盘都不会敲。。。而且不止一个,是一群,现在的90后程序员,基本和没有摸过键盘一样,盲打都不会
2.连svn和git都不会用,甚至不知道github是干嘛的。看着公司里的gitlab也是一头雾水
3.学习能力低下,扔个项目给他们,没要求他们写代码,只要能把框架读懂就好。但是看到几百万行的项目,就怕的要死,一行不敢读
4.英语能力孱弱。英语论文和英文文档,是程序员经常要接触的,他们看到英语就害怕。老是去找中文版本,或者用chrome翻译再看
5.志大才疏,好高骛远。给他们简单的工作,他们觉得侮辱他们,不肯做。给他们难得工作,又抱怨自己这不会,那不会。完成不了
6.小孩子一样,老是撒娇。。。
不会,就会求领导来解决,自己不肯动手,通过撒娇让老员工来帮忙完成工作,自己却玩手机
不肯自学,老是期望导师像小学学校里老师那样,手把手教,还得反复教n遍!
很喜欢拖,类似作业暑假里不做,喜欢放到最后一个晚上通宵完成!
工作安排给他们一个月完成,前半个月玩手机,中间开始干活,然后最后一个星期开始通宵
搞得加班很正常一样。。。其实老老实实每天完成的话,每天都不用加班的
以上是我对中国当代年轻人的认识。。。
估计00后更差了。。。
中共的愚民政策,我很反感
尤其是把中国人训练的对英语很强的排异反应
大部分中国年轻人看到英语就很害怕,让他们读英语论文和文档,他们都会表现出恶心反胃等不适症状
现在的年轻人也吃不了苦,看到代码就害怕,长一点,就不愿意看,总是觉得代码20多行就行了
本事不喜欢学习,倒是很喜欢吹牛,天天把各个技术的名词挂嘴上,实际工作,什么都不会
给自己的虚拟机里搭建一个mysql都不会。。。
更别指望他们搭建分布式的mysql集群了
让他们学习docker的使用,也松松垮垮的。。。
这也不想学,那也不想学。这类人怎么移民?还技术移民?
更别说他们对日本的排斥了。。。
气死我了
这里的学习包括http proxy 和socks proxy
了解http协议的代理用法,websocket 协议
socks v5协议
学习了PAC的原理和格式
还有我觉得lantern的核心吧 lampshade通信协议
https://github.com/getlantern/lampshade/blob/master/lampshade.go
https://github.com/getlantern/lampshade/blob/master/session.go
包括,lampshade是如何握手的,如何协商密钥。
负载均衡,还包括如何统计使用了多少流量
蓝灯的流量计算,特别单纯,使用的是mac地址,把mac地址不停修改,就可以一直用了。。。
我也不是一个程序员。。。
v2ex上也不都是程序员
我就是很好奇,大部分国内程序员都是普通人,工作也没有多高级,哪里来的优越感。。。
他们自己都知道面试造航母,进去拧螺丝。
在中国,当程序员,其实就是CRUD 增删改查,写写restful接口
国内程序工作无非就是
1.收发报文
2.拼装,解析json
3.拼装,解析sql
4.拼装,解析html
无非大家使用语言不同,java c c++ php 等等
当然国内也有很多大神级别的程序员,他们的工作非常厉害
比如研发OCR算法,语音识别,文本翻译,各种AI
自动驾驶。。。
但是这类程序员在国内很稀有啊
我觉得99%的中国程序员,应该想想退路了。
你们的工作能力,我觉得随便找个大学生都可以轻松取代你!
而你们失业以后大概率是找不到工作的。
云计算,区块链,大数据。。。说起来一个个很高大上,其实进去工作就发现
完全不是一回事啊,还是写restful接口啊
说好的openstack开发呢?说好的spark框架计算呢?
除了产品经理和营销部门的吹牛ppt,我看不到工作内容里有什么技术含量。
我谈谈我遇到的程序员吧:
1.键盘都不会敲。。。而且不止一个,是一群,现在的90后程序员,基本和没有摸过键盘一样,盲打都不会
2.连svn和git都不会用,甚至不知道github是干嘛的。看着公司里的gitlab也是一头雾水
3.学习能力低下,扔个项目给他们,没要求他们写代码,只要能把框架读懂就好。但是看到几百万行的项目,就怕的要死,一行不敢读
4.英语能力孱弱。英语论文和英文文档,是程序员经常要接触的,他们看到英语就害怕。老是去找中文版本,或者用chrome翻译再看
5.志大才疏,好高骛远。给他们简单的工作,他们觉得侮辱他们,不肯做。给他们难得工作,又抱怨自己这不会,那不会。完成不了
6.小孩子一样,老是撒娇。。。
不会,就会求领导来解决,自己不肯动手,通过撒娇让老员工来帮忙完成工作,自己却玩手机
不肯自学,老是期望导师像小学学校里老师那样,手把手教,还得反复教n遍!
很喜欢拖,类似作业暑假里不做,喜欢放到最后一个晚上通宵完成!
工作安排给他们一个月完成,前半个月玩手机,中间开始干活,然后最后一个星期开始通宵
搞得加班很正常一样。。。其实老老实实每天完成的话,每天都不用加班的
以上是我对中国当代年轻人的认识。。。
估计00后更差了。。。
中共的愚民政策,我很反感
尤其是把中国人训练的对英语很强的排异反应
大部分中国年轻人看到英语就很害怕,让他们读英语论文和文档,他们都会表现出恶心反胃等不适症状
现在的年轻人也吃不了苦,看到代码就害怕,长一点,就不愿意看,总是觉得代码20多行就行了
本事不喜欢学习,倒是很喜欢吹牛,天天把各个技术的名词挂嘴上,实际工作,什么都不会
给自己的虚拟机里搭建一个mysql都不会。。。
更别指望他们搭建分布式的mysql集群了
让他们学习docker的使用,也松松垮垮的。。。
这也不想学,那也不想学。这类人怎么移民?还技术移民?
更别说他们对日本的排斥了。。。
气死我了
莫非是孙杨宣判引来了大量BOT?
霏艺Faye
图书管理员
TLS 1.0 /1.1 已经不安全了!!!
大家不要使用
现在起码得TLS1.2
TLS 1.3 更安全!
TLS 1.3 更新点:
移除RSA密钥传输——不支持前向安全性
移除CBC模式密码——易受BEAST和Lucky 13攻击,改用gcm
移除RC4流密码——在HTTPS中使用并不安全
移除SHA-1,md5哈希函数——建议以SHA-2取而代之
任意Diffie-Hellman组——CVE-2016-0701漏洞
输出密码——易受FREAK和LogJam攻击
在TLS 1.3版本中,重新磋商是不可能的。
现在大部分握手都会被加密。
更多类型的消息现在可以有扩展(这对定制扩展API和证书透明系统有影响)。
在TLS 1.3连接中不再允许使用DSA证书。
PSK(pre_shared_key)——新的密钥交换暨身份认证机制
HKDF(HMAC_based_key_derivation_function)——新的密钥导出函数
AEAD(Authenticated_Encrypted_with_associated_data)——唯一保留的加密方式
关于boringSSL代码,从上面代码开始读起的问题
我建议从状态机开始看起
每个状态对应一个处理函数
搜索do_start_connect,看客户端发起TLS client hello读起【客户端路线】
搜索ssl_server_handshake,看服务端收到client hello怎么处理【服务端路线】
如果不关心TLS的交互,只是需要学习怎么使用API
客户端学习下SSL_connect 这个API怎么用就好了,这个是连接服务端
SSL_read/SSL_write 这个是数据的收发
SSL_shutdown 关闭连接。
现在的年轻人啊,都不愿意学这些枯燥乏味的技术了
大家不要使用
现在起码得TLS1.2
TLS 1.3 更安全!
TLS 1.3 更新点:
移除RSA密钥传输——不支持前向安全性
移除CBC模式密码——易受BEAST和Lucky 13攻击,改用gcm
移除RC4流密码——在HTTPS中使用并不安全
移除SHA-1,md5哈希函数——建议以SHA-2取而代之
任意Diffie-Hellman组——CVE-2016-0701漏洞
输出密码——易受FREAK和LogJam攻击
在TLS 1.3版本中,重新磋商是不可能的。
现在大部分握手都会被加密。
更多类型的消息现在可以有扩展(这对定制扩展API和证书透明系统有影响)。
在TLS 1.3连接中不再允许使用DSA证书。
PSK(pre_shared_key)——新的密钥交换暨身份认证机制
HKDF(HMAC_based_key_derivation_function)——新的密钥导出函数
AEAD(Authenticated_Encrypted_with_associated_data)——唯一保留的加密方式
关于boringSSL代码,从上面代码开始读起的问题
我建议从状态机开始看起
每个状态对应一个处理函数
搜索do_start_connect,看客户端发起TLS client hello读起【客户端路线】
搜索ssl_server_handshake,看服务端收到client hello怎么处理【服务端路线】
如果不关心TLS的交互,只是需要学习怎么使用API
客户端学习下SSL_connect 这个API怎么用就好了,这个是连接服务端
SSL_read/SSL_write 这个是数据的收发
SSL_shutdown 关闭连接。
现在的年轻人啊,都不愿意学这些枯燥乏味的技术了
霏艺Faye
图书管理员
番外篇 同态加密
和前面讲到的加密技术不同,所以叫番外篇!
前面的对称加密和非对称加密,加密的都是数据。
而同态加密,加密的是计算。
不好理解,对吧?
举个例子!
我有一块黄金【明文】,我想把这个黄金给AAA。
但是我怕有人偷啊,就放到一个叫AES的盒子里【AES加密得到密文】,然后把钥匙给了AAA
这样运输的过程中,没人知道盒子里有黄金,运到AAA手里的时候,AAA就可以打开取出黄金【解密】
这个过程就是数据加密!保证了数据在传输时候的安全。
现在另外一个例子
我有一块黄金,我想把它加工成金项链!
但是我怕工匠监守自盗,私下把黄金切下一部分藏起来给自己!
所以,我造了一个密封的玻璃盒,上面挖两个洞,洞口安装上密封的手套!
这样工人只能通过这个手套操作玻璃盒里的黄金,同时也没法吧黄金拿走!
这个就是同态加密!保证了数据在计算时候的安全。
回归正题,那么具体上是什么鬼?
比如,我有400个学生的数学成绩,语文成绩,英语成绩,我需要计算400个学生的总成绩!
但是,我自己又不想算,我想让班长来算。同时我又不希望班长知道400个人的成绩。
这个就是同态计算的使用场景了。
再回归到业务场景:
我们公司有一个很庞大的数据集FectoMI【机密数据,不能曝光】,
我们公司是小公司,没有那么大的算力来处理。
所以,我们对数据集FectoMI加密以后,让百度云开始计算,算完以后给我结果。
我再使用解密程序,得到我需要的结果。
最费计算的过程提取出来让百度云计算,我只需要最简单的加密和解密过程。
这个就是同态加密的优势!
在未来云计算得到普及的情况下,同态加密将为更多创业公司提供帮助。
小公司没有算力处理的事情,现在可以通过云计算得到解决。同时,又不用担心自己的机密数据
被云计算公司给获取。。。
注:同态加密,加密和解密过程都在我自己这边,只有计算过程在对方这边。
对方只能出苦力计算我给的加密数据,而无法获取数据的明文。满足数据操作的隐秘需求。
具有同态性质的加密函数是指两个明文a、b满足Dec(Enc(a)⊙En(b))=a⊕b的加密函数,
其中Enc是加密运算,Dec是解密运算,⊙、⊕分别对应明文和密文域上的运算。
明文A + 明文B = 解密(密文A + 密文B)
微软提供的同态加密开源库
https://github.com/microsoft/SEAL/tree/master/native/src/seal
和前面讲到的加密技术不同,所以叫番外篇!
前面的对称加密和非对称加密,加密的都是数据。
而同态加密,加密的是计算。
不好理解,对吧?
举个例子!
我有一块黄金【明文】,我想把这个黄金给AAA。
但是我怕有人偷啊,就放到一个叫AES的盒子里【AES加密得到密文】,然后把钥匙给了AAA
这样运输的过程中,没人知道盒子里有黄金,运到AAA手里的时候,AAA就可以打开取出黄金【解密】
这个过程就是数据加密!保证了数据在传输时候的安全。
现在另外一个例子
我有一块黄金,我想把它加工成金项链!
但是我怕工匠监守自盗,私下把黄金切下一部分藏起来给自己!
所以,我造了一个密封的玻璃盒,上面挖两个洞,洞口安装上密封的手套!
这样工人只能通过这个手套操作玻璃盒里的黄金,同时也没法吧黄金拿走!
这个就是同态加密!保证了数据在计算时候的安全。
回归正题,那么具体上是什么鬼?
比如,我有400个学生的数学成绩,语文成绩,英语成绩,我需要计算400个学生的总成绩!
但是,我自己又不想算,我想让班长来算。同时我又不希望班长知道400个人的成绩。
这个就是同态计算的使用场景了。
再回归到业务场景:
我们公司有一个很庞大的数据集FectoMI【机密数据,不能曝光】,
我们公司是小公司,没有那么大的算力来处理。
所以,我们对数据集FectoMI加密以后,让百度云开始计算,算完以后给我结果。
我再使用解密程序,得到我需要的结果。
最费计算的过程提取出来让百度云计算,我只需要最简单的加密和解密过程。
这个就是同态加密的优势!
在未来云计算得到普及的情况下,同态加密将为更多创业公司提供帮助。
小公司没有算力处理的事情,现在可以通过云计算得到解决。同时,又不用担心自己的机密数据
被云计算公司给获取。。。
注:同态加密,加密和解密过程都在我自己这边,只有计算过程在对方这边。
对方只能出苦力计算我给的加密数据,而无法获取数据的明文。满足数据操作的隐秘需求。
具有同态性质的加密函数是指两个明文a、b满足Dec(Enc(a)⊙En(b))=a⊕b的加密函数,
其中Enc是加密运算,Dec是解密运算,⊙、⊕分别对应明文和密文域上的运算。
明文A + 明文B = 解密(密文A + 密文B)
微软提供的同态加密开源库
https://github.com/microsoft/SEAL/tree/master/native/src/seal
霏艺Faye
图书管理员
中岛美嘉的《仆が死のうと思ったのは》
我曾经也想过一了百了
中岛美雪的《銀の龍の背に乗って》
乘骑在银龙的背上
僕らの手には何もない
尽管我们的手中空无一物
滨崎步的《dearest》
仓木麻衣的《Tonight,I feel close to you》
煌めく瞬間に捕らわれて
捕捉闪耀的瞬间
Rage your dream【头文字D】
Bad Apple
aLIEz
心做し
镇命歌 しずめうた
姬神的《ひとひらの雪》《十三の春》《舞鳥》《Earthflame》
我喜欢的声优
早见沙织【鬼灭之刃 蝴蝶忍】【怕痛的我,把防御力点满就对了 霞,カスミ】
井上喜久子【乱马1/2 天道霞】【CLANNAD 古河早苗】
打字真累啊。。。明天补充下
我曾经也想过一了百了
中岛美雪的《銀の龍の背に乗って》
乘骑在银龙的背上
僕らの手には何もない
尽管我们的手中空无一物
滨崎步的《dearest》
仓木麻衣的《Tonight,I feel close to you》
煌めく瞬間に捕らわれて
捕捉闪耀的瞬间
Rage your dream【头文字D】
Bad Apple
aLIEz
心做し
镇命歌 しずめうた
姬神的《ひとひらの雪》《十三の春》《舞鳥》《Earthflame》
我喜欢的声优
早见沙织【鬼灭之刃 蝴蝶忍】【怕痛的我,把防御力点满就对了 霞,カスミ】
井上喜久子【乱马1/2 天道霞】【CLANNAD 古河早苗】
打字真累啊。。。明天补充下
番外篇 同态加密和前面讲到的加密技术不同,所以叫番外篇!前面的对称加密和非对称加密,加密的都是数据。...
我觉得您可以专门开一个文章讲这些,方便我搬好小板凳,准时听课😂
我觉得您可以专门开一个文章讲这些,方便我搬好小板凳,准时听课😂
葱不够了,没法发,才这里发
我其实不喜欢这样系统的讲一个个知识点
我更喜欢你们问问题,我再解释。。。
这样我可以少讲很多
如果自己讲,我哪知道你们懂什么,不懂什么,只能全部讲一遍
如果是你们问,我就有针对性,就可以少打很多字了
葱不够了,没法发,才这里发我其实不喜欢这样系统的讲一个个知识点我更喜欢你们问问题,我再解释。。。这样...
其实出去点一圈赞就够了,之后若发一个技术主题我们一起去点赞,应该不会亏太多,因此你应该不需要一直点很多赞吧。
我好多年没碰代码,看你的帖的内容,发现只认识一些名词,不过内容不难理解。
其实出去点一圈赞就够了,之后若发一个技术主题我们一起去点赞,应该不会亏太多,因此你应该不需要一直点很...
内容不难理解,是因为我讲的太肤浅,压根没有深入去讲。。。
毕竟只是讲了原理和使用场景罢了
底层的实现,相关论文,算法,全部都被我抽象掉了。。。
只保留了所谓的精华。。。
我还没有讲大数据的Hadoop,Spark,Storm这些
区块链技术的PoW,PoS,DPoS这些共识算法,内链/外链联合链
云计算的虚拟化【KVM,Xen】,容器编排【k8s】
人工智能的TensorFlow和PyTorch框架,以及各种网络
卷积神经网络,LSTM这些递归神经网络
还有量子计算,比如Rigetti公司的PyQuil框架
还有互联网的新技术WebRTC
新兴数据库,时序数据库,宽列数据库,图数据库。。。。
以上,我都不懂,也不会。。。
内容不难理解,是因为我讲的太肤浅,压根没有深入去讲。。。毕竟只是讲了原理和使用场景罢了底层的实现,相...
😅我也不会,以前碰代码的时候智能手机才刚出来不久,这些东西在那时好像都还是比较前沿的。
妮蔻
观察
各位有没有发现,自己身边人的眼界对自己的影响真的很大,甚至是一件涉及到世界观的问题。周围的人是井底之蛙的那种感觉,简直让人绝望的奔溃,
番外篇 同态加密和前面讲到的加密技术不同,所以叫番外篇!前面的对称加密和非对称加密,加密的都是数据。...
学习了
我更喜欢你们问问题,我再解释。。。
这样我可以少讲很多
如果对这个领域不了解,真的不知道该问什么……
沉默的广场
休假中
怎么・_・?大轰炸,全部人都躲防空洞这里了?
period1984
品葱娘创作者
朋友有反共倾向(墙内,且未来几年无法肉身翻墙),最近抱怨背习语录很难受,应不应该将品葱介绍给他?
朋友有反共倾向(墙内,且未来几年无法肉身翻墙),最近抱怨背习语录很难受,应不应该将品葱介绍给他?
为什么不呢
😅我也不会,以前碰代码的时候智能手机才刚出来不久,这些东西在那时好像都还是比较前沿的。
前沿不前沿,我不知道
但是市场上,这类程序员一抓一大把
HR现在把这些人都当骗子了
统一985/211 硕士起步
3-5年工作经验
对了,刚才忘了几个技术点
1.Google开源的量子化学计算框架 OpenFermion
2.计算流体力学(CFD)开源框架OpenFOAM
3.AI开源仿真训练环境OpenAI的gym
为什么不呢
朋友还要在墙内混一阵(辈)子,我担心上品葱会影响到他的前途(被社工)
朋友还要在墙内混一阵(辈)子,我担心上品葱会影响到他的前途(被社工)
用tor不就好了吗?
实在担心的话让他别注册就好了。
前沿不前沿,我不知道但是市场上,这类程序员一抓一大把HR现在把这些人都当骗子了统一985/211 硕...
看起来好专业…
我果然过时了,以前掌握的相关知识放到现在,估计只能勉强看和写普通的代码。
我今天觀察bot屠管理日誌的版了,好多…不知道怎麼回事
攻击吧,让我感觉回到了上个月。
我刚刚找到品葱和注册后一共两个月左右,就跟现在差不多,开几个网页或者操作太快就蹦出个Captcha,上个月突然感觉清闲了很多,不用怎么验证了,现在那验证又回来了,三五步一查岗。
攻击吧,让我感觉回到了上个月。我刚刚找到品葱和注册后一共两个月左右,就跟现在差不多,开几个网页或者操...
現在我手機登錄真是日了狗了……
昨天輸入驗證碼輸入了多少次都是錯的,唉,哭了QAQ
現在我手機登錄真是日了狗了……昨天輸入驗證碼輸入了多少次都是錯的,唉,哭了QAQ
还好我这几天刚好没登出…
现在也暂时不敢登出,不想玩验证码大挑战(千万勿学,我是因为在海外,风险很小,要谨慎的话,最好还是每次用完就清除浏览器的记录)。
