见识太少，钱太多。

双拼 .com 我都有过，用不着，不是常见词也卖不了好价格，照样丢了。

估计是腾讯云的问题。我几个月没异常的长期内存在 50%以内的轻量，前两天也炸了，报内存不足。我还没看过日志，重启恢复了暂时不管。

办理居住证是三个条件满足其一：

合法稳定就业、合法稳定住所、连续就读证明

半年以上就可以，有工作的直接用工作证明就可以了吧，还要租房证明？

因为天津的政策宽松。

宽松到什么程度呢，具体你可以搜下一个叫“云账户”的公司。第三方企业可以通过他们在天津的平台给自己员工批量一键注册成个体户，线上秒批营业执照，把工资变成劳务费、营业收入等等。不注册个体户也可以合法给员工免税打钱，包装成业务分包等等。说白了就是专门给企业提供规避劳动法和税法监管的业务，而且是合法的。

这个帖子可以预定水深火热了。

%3D 是等号的转义，有加号有等号应该是 base64，但是 base64 decode 之后也不一定是原始数据

@angcz #37 不是你随便发个证书给服务器，服务器都会接受，必须是服务器信任 CA 签发的才会被接受。具体来说，客户端给服务器发客户端公钥证书，然后服务器用 CA 根证书从客户端公钥证书里解密出客户端公钥，你随便发一个是解不出来的。

在不可信网络中建立可信连接是 SSL 的根基，你知道你这个问题是在质疑被全世界密码学专家广泛接受的 SSL 的根基吗？别浪费时间了，没有意义的。

如果想学习可以去找文章或者教程看看，在这里讨论，大家就算懂，一时间也很难系统全面地阐述。

@angcz #30 对，默认情况下同一个 APP 版本用同一个客户端证书，如果泄露了，任何账号的请求都可以抓包。

双向认证已经可以排除只会用代理工具抓包的脚本小子了，APP 加固提高反编译难度也可以排除大部分破解了，加上一些用户行为分析基本够用。

更高级别的可以像支付宝数字证书那样一个用户设备一个证书，在多因素身份验证登录之后，给当前用户设备专门签发私有证书下发到 APP，接下来该用户就只用自己的证书进行通信，只有客户端证书也代理不了了。这也不是 100%理论安全的，照样可以通过 APP 目录文件破译找出证书，只是说难度又高了一点。如果真到那程度，不如双向认证配合自研协议，让抓到包也解不出来内容。

另外提一下你在#31 说的中间人介入协商，不可能成功的，这点你不用想了，在不可信网络建立可信连接是 SSL 的根基。协商过程中服务器会用客户端公钥加密协商方案发给客户端，收到数据要用客户端私钥才能解密，你没有客户端私钥是解不出来的，结果就是协商失败。

普通 HTTPS 是单向认证，信任系统信任 CA 签发的证书，所以在系统添加自签 CA 证书之后，通过自签证书代理请求就可以监听。

为了防止上述情况，可以在 APP 代码内置信任 CA 指纹，通常叫公钥固定或者 SSL Pinning 。这样一来，在系统信任了中间人自签证书也不管用，因为 APP 不信任。

但是 SSL Pinning 可以通过 hook 系统 API 去关闭（现成工具很多），一旦关闭，又回到普通单向认证了。

这时双向认证就要上场了，生成 CA 证书部署在服务器，然后使用 CA 自签客户端证书给 APP 使用，开启双向认证后服务器就只接受客户端证书的请求。这样一来，替换证书进行抓包就不管用了，只能先脱壳拿到真实的客户端证书。

没有 100%理论安全的，双向认证也只是加大难度而已，双向认证排除脚本小子，APP 加固提高脱壳难度。

一般双向认证的 CA 是自己生成的，客户端证书是拿这个 CA 自签的，内置在 APP 里。APP 不同版本可以签发不同的客户端证书去用，迭代到一定程度就把老版本的证书进行吊销（版本更新 API 不用双向认证，确保无证书也有提示）。

@3dwelcome #2 想要每次都检查更新，max-age 必须是 0，否则在指定时间内是不会发送请求的。

很多人误以为 no-cache 和 max-age=0 是禁用缓存，其实不是。这两个还是有缓存的，只是要求客户端与服务器进行验证，确认内容无更新后才可使用。真正禁用缓存的值是 no-store 。

缓存分两种，一种会检查内容更新的缓存，一种是不会检查的缓存。

你写的 Cache-Control: public, max-age=31536000 在一年内只要缓存资源有效都会直接使用，不检查更新。

Cache-Control: no-cache 和 Cache-Control: max-age=0 才会在使用缓存前检查内容更新。

检查更新又分两种，一种是 If-Modified-Since 检查时间，一种是 If-None-Match 检查 etag 标识符，如果支持 etag 则会使用 etag 从而忽略时间检查。

所以你改成 Cache-Control: no-cache 就能看到浏览器 304 通过 If-None-Match 检查，然后把 etag 关掉就能看到通过 If-Modified-Since 检查。

@silencil
@shyrock

买过几次优衣库 T，不同型号 100 块两三件那种，一个季度左右必定破洞，全部破了。

怀疑是烘干的原因吧，就它家的全破，同时穿的其他家 T 又没事。怀疑是一个批次的原因吧，我买的又是不同价格不同型号不同批次。

这妥妥的，不是质量问题，就是计划报废，不值得买，同价格的可选项太多了。

从个体画像到群体画像，对隐私保护有进步，对广告推荐影响不大，算是折中方案吧。

Nginx 所属 F5 公司官网合作伙伴查询显示国内有 24 家，连 Dell 和 IBM 都是，属实没想到。

https://www.f5.com/zh_cn/partners/find-a-partner?partnerLocation=China&partnerPage=1

Chrome 、Edge 、QQ 浏览器这些通用，都是 Chromium，用 JS 开发，我开发过几个，还挺简单。

Firefox 和 Safari 是另外两种。

需要支持中文就无脑 utf8mb4，很多旧系统不支持生僻字就是因为不支持 4 字节，升级起来麻烦

正常，长时间精神高度紧张的结果。

我打星耀、王者局几局就感觉累了，队友不配合的时候，自己打不了，一局就心累了。

打黄金局就不会，因为没有难度，可以走神，一个人也能翻盘，边打边休息，边打边聊天，不会觉得累，只会觉得无聊。