看了下，1 核 1G 40GB 1M 三年 262.8，这价格也不便宜啊。用券买的？

腾讯云云+校园 轻量应用服务器 1 核 2G SSD 40G 5M 每月 1000G 一年 108 可以买 4 年，不过得 25 岁以下。

你用腾讯云国内服务器也得接入备案，没要求你接入备案可能是没识别到而已，我之前的就识别出来要求接入备案了。而且接入备案之后必须产生流量，如果长期没有流量，会被取消备案。

Nginx 高并发是经过验证的，不少 CDN 厂商都在用就是例证。

缓存命中还是慢的话，我首先会怀疑硬盘 IO 然后才是其他，先去掉后端，直接用服务器本地文件压测，逐一排除。

@nicevar 我认完错了。不过我最后还是要更正你一次，通过 ROM 分发的 APP 跟诱导安装是两个渠道，两回事，不管预装还是预置。

@nicevar 是是是，你全都对，你是进油盐的圆茄子，我不是。我错了。诱导安装非常不要脸，我给国内外几个大厂推广 APP，这些大厂也不要脸，我也不要脸。你非常要脸。

@tmado #2
@hoyixi #3
@miaoxinwei #4

刚问了个中学语文老师，她说就这话来说，是按我这样理解。

现在看来我的问题就是没往他吹嘘自己的方向去想，我以为他后面举例是为了证明他比我更懂诱导安装，没想到是在吹自己的资历。

算了，是吵上头了，没必要较真这种讨论。不管了。

@coderluan #1 对，我理解的就是他后面在举例说明，但举的例子却是另一种东西，所以我就反驳说这跟我说的是两种东西。我没往他吹嘘自己的方向去想。

提醒一下各位：按往年经验，搜狗输入法也会弹，QQ 输入法现在也是搜狗的，可能也会弹。

能咋办，token 被盗跟 cookie 被盗就一回事。

只能定期续存和注销，没别的办法。在存续期间被盗就是被盗了，服务端没办法分辨出来是不是被盗了，除非绑定 IP，IP 一变就失效，但是这样用户就要经常登录了。

@nicevar 第一，是你把 ROM 捆绑跟诱导安装扯在一起。你在#85 的原话我都贴出来了，你看不到吗？你说我不懂诱导安装，说这种你十来年前就在玩了，然后拿刷机 ROM 捆绑来说。然后我告诉你这不是一回事。你居然好意思反过来说我是扯在一起的。有意思。

第二，“诱导安装是不是恶意攻击的一部分，你稍微去问下真正搞安全的就知道了”，在这句话的前面我说有一种攻击方式是诱导安装，你说我分不清漏洞和攻击，我就让你去问下搞安全的这是不是攻击的一部分，这很难理解吗？

诱导安装攻击之所以是攻击，是因为安装的东西是木马。现在各种大厂都有 APP 通过发红包的方式诱导安装，但安装的是正经 APP，所以不算攻击，而且诱导方式不是假面，所以我说搞这些推广不是赚黑心钱。这很难理解吗？

你 ROM 推广是我几年的量，这跟我说的诱导安装有什么关系呢？顾左右而言他，你硬扯到 ROM 这块，我说这两者不是一回事，你又说是我扯到一起的，真有意思。

再说一次，这个帖子第一次提到 ROM 捆绑的是你在#85 的评论，是在说我不懂诱导安装之后的话。你但凡有点自信就回去看看你自己的评论，看看是谁失忆。

@nicevar 是我失忆还是你失忆啊？我说的是诱导安装，ROM 捆绑是你说的。

我在#83： “一两块钱一个安装的软件 APP，我个人累计收入超过十万了，现在每天新装都还超过 100 台，怎么诱导用户安装我会不懂吗？我全部都研究过，各平台的安装难度我有清晰的排名。”

你在#85：“懂不懂不是你说了算，你弄的这种我们十来年前就开始玩了，当时第一批去跟中关村卖手机刷机合作的就是我的同事，到后面他自己单干定制 ROM 捆绑”

看清楚了吗？这个帖子里，你是第一个提出 ROM 捆绑的，用来反驳我说你不懂诱导安装。我说你不懂诱导安装有问题吗？懂诱导安装的人会用 ROM 捆绑来反驳我说诱导安装？这完全不是一回事。

还有，我说大厂也有诱导安装，是在区分黑产的诱导安装。像抖音通过聊天功能把用户引流到多闪，这叫大厂的诱导安装。像外卖 APP 、电商 APP 、视频 APP 让用户发红包给朋友，对方登录 APP 后才可领取，这也叫大厂的诱导安装。

我研究的就是这些，懂了吗？如果你认为这是黑心钱，那我没什么好说，我只能承认你是全世界最白莲花的人。

诱导安装是现在国内外移动端厂商都有的活，你干移动端 10 年不懂这些，还用近十年前的刷机啊 ROM 啊的办法来理解 APP 推广，笑死人。

@nicevar 我说诱导安装，你说 ROM 捆绑，我说这两个根本不是一回事。你又说 ROM 捆绑不一定固化。请问我说捆绑一定固化了吗？你又自己强行加戏，树一个假靶子自己打。

我现在不是做黑产，挣的不是黑心钱。诱导安装是黑产特有的活吗？现在几乎所有大厂都干这活，我是接的大厂的任务。做移动端的能不了解这个情况？你又暴露了自己不懂装懂，我现在不仅怀疑你是不是做安全的，我怀疑你连移动端的运营都没有真正接触过。

你水平真强。

@nnnToTnnn #93 我没说 CVE-2017-17171 是安卓的问题，后面的内容不是回复你的，是回复后面那位。我说更多用户更接触到的不是 0day 漏洞的攻击，而是被诱导安装未知来源应用，他一直把这两种攻击情况混淆来说，我说他分不清两种攻击，他说我分不清漏洞和攻击，我就给他举例。

再推荐也不可能推荐上千个吧？一般最多就一百多几十个，一两百多个。

干脆像 2 楼说的，一次查完，随机输出。如果查询比较耗时，就二次查询的时候加上前面出现过的 ID 作排除查询，一百几十个 ID 也不会让 SQL 变多长。

同意楼上银行存款产品的观点。

去支付宝或者狗东金融之类的大平台买银行存款产品，收益普遍在 3.5%~4.5%，保本保息，跟 5%差的那两三百块随便省省就出来了，没必要为两三百块去操心。

如果能接受不保息，就拿 4 万买存款，拿 1 万去买表现好的中低风险基金。这样配置，万一基金亏了也就亏几百块，存款利息正好可以对冲掉，保本但没收益。如果基金继续表现好，就能达到 5%以上收益。

双方自愿结婚应该不成问题，生育可能不行，去问下民政部门吧。

@nicevar #85 通过 0day 之类的漏洞攻击，这是技术的活。通过诱导安装未知来源应用进行攻击，这是社工的活。我研究的是后一种。

我很懂漏洞跟攻击的区别，不懂的是你，你连 ROM 捆绑都能以为是诱导安装。通过 ROM 捆绑实现攻击的那叫供应链攻击，或者叫供应链投毒，跟诱导安装甚至都不是一个类型。正因为你不懂，所以你以为我不懂。

我话说完了，你可以继续硬拗了，不过我不会回复了。不客气地说，就你这水平搞移动安全，当你的产品用户还不如裸奔。

@nnnToTnnn #84 这种攻击方式是存在的。几年前安卓浏览器出现过提权漏洞，打开恶意网页，别安装软件，连 root 都能被获取。视频作者在评论区说了不是 adb，大概率是那类漏洞。

@nicevar #85 说你不懂装懂还不认，你说的 ROM 捆绑跟我说的诱导安装完全是两回事，在传播层面是完全不同的渠道。你要真是安全公司的，那你知识储备是相当低。诱导安装是不是恶意攻击的一部分，你稍微去问下真正搞安全的就知道了。我看你这不懂装懂的模样，怕是也拉不下来面子去问了，我给你提供几条信息你自己去找资料吧，别硬装了。

CVE-2017-17171 华为手机漏洞：攻击者通过诱导用户安装恶意的 APK，并通过特定权限预装应用发起攻击。

2019-12-23 红雨滴团队：发现多起疑似针对韩国地区 Android 用户的恶意代码攻击活动。攻击者通过将恶意安卓应用伪装成韩国常用移动应用，从而诱导受害者安装使用。

360 烽火实验室：为了诱导用户下载安装运行，勒索软件通常会伪装成各种极具诱惑力、通过不正规手段牟利的软件，例如游戏外挂、代刷、盗版应用、WIFI 密码破解、抢红包等等，这些软件拥有一定的用户群与传播途径，勒索软件正是利用了其易吸引用户、传播快的特点玩起了“假面游戏”。

腾讯安全：病毒木马伪装成银行应用、系统应用、照片等方式诱导受害者进行安装，通过隐藏图标潜伏在用户手机，激活设备管理器导致无法卸载，最后通过监控手机的银行短信验证码，实现窃取用户银行卡里的金钱。

@nicevar #81 视频里的 0day 攻击跟诱导安装未知来源应用本就是两回事。

我第一个评论说的“这种漏洞本身就不多见，普通人遇到的情况就更少了。普通人遇到的更多的攻击类型是被忽悠安装了恶意 APP”，前后是转折关系。你理解错了。

然后我第一次回复你又明确说了“这个 0day 漏洞是跟安装未知来源应用没关系”，“多数安卓用户会遇到的攻击是被诱导安装未知来源应用”。你还一直混淆这两种攻击。

一两块钱一个安装的软件 APP，我个人累计收入超过十万了，现在每天新装都还超过 100 台，怎么诱导用户安装我会不懂吗？我全部都研究过，各平台的安装难度我有清晰的排名。

现在是你不懂。你说你是某上市安全公司的，我不知道你负责什么方向，但我可以确定你的工作内容不涉及传播。

@nicevar #73 一份礼物.apk 只是一个传播例子，我不是让你了解这个应用有什么内容，是让你了解安卓的未知来源应用传播起来有多么容易。

安卓允许安装未知来源应用跟 iOS 信任证书有多大的区别？区别就是安卓用户未授权就安装未知来源应用的时候，系统会提示开启授权的方法并提供引导按钮，普通用户顺着点几下就开启并完成安装了。

而 iOS 打开企业签应用被拒绝的时候只有一个取消按钮，普通用户不专门去查资料根本不知道怎么信任证书。

你们产品数据不能说明用户不会开启这个权限，只能说明用户不愿意安装你们推荐的应用。我说多数用户允许安装未知来源应用的权限，是在说明用户在愿意安装的时候会很轻易安装成功，不是说用户是来者不拒的傻子。像我前面说的，要用户安装恶意应用是靠忽悠、诱导的，不是弹个提示用户就会点安装了。

如果你们产品真有上百万用户，那至少有一个负责安全的吧？你不信我说的，可以去问你们搞安全的。我虽然有几年没接触这块了，但我依然觉得你的了解远不如我，说实话，我没有说再多的兴趣，我们聊天像鸡同鸭讲，无法有效沟通。