@luckyrayyy #6 这几个月企业不用缴纳，但是记账的时候记上已缴纳，可不就是减免吗。

其实优惠政策远不止这些，各地方还有很多不同的补贴，估计那些代缴社保的公司这回用客户信息申请到不少补贴，天上掉馅饼了。

广东这边很多城市直接全部减免近几个月的单位缴纳那部分，也就说减免超过一半。

购买小米超过 3000 块的电视都要慎重，不过，如果钱多，那开心就好

看看运营商的通话记录能不能查到六个月前的

@maooyer #5 有一说一，友商也不全是落后的，我用的 Realme 早就已经能返回空的通话记录、联系人、信息、日程，权限设置“仅使用时允许”也有，不过好像是今年更新的，剪切板这个就还没有。

日常崩溃，哪个月不崩溃那么一两次反而要怀疑知乎是不是没人上了。

@darknoll #11 这个工具也支持阿里云的解析 API，去 github 看文档，我发不了链接了。

```
export Ali_Key="sdfsdfsdfljlbjkljlkjsdfoiwje"
export Ali_Secret="jlsdflanljkljlfdsaklkjflsa"
acme.（防止被识别成外链） sh --issue --dns dns_ali -d *.域名
```

如果你怕 API 密钥泄露，你可以只允许 API 设置 _acme-challenge.域名 ，因为验证的时候是给 _acme-challenge 添加 txt 记录，只需要用到这个。

这方面在 DNSPod 的做法是可以 _acme-challenge 子域名共享给另一个账号，然后那个账号就只能更改这个子记录，就可以放心用那个账号的密钥。阿里云的操作估计类似，你研究研究。

@syuraking 你用的啥，我用 acme.sh + DNSPod 可以自动配置泛域名证书啊。

@tencentcloud 来看你家无用接口是怎么增加个人信息暴露的风险。

是个商机，赶紧自己撸一个

@diaosi #14 这我倒没想到，有空我提交个看看他们处理不。

@lanternxx #15 这个更严重，你提交个工单反馈看看。

@dingyx99 #16 这个银行卡信息在前端都没有入口了，好像是早期认证方式，我新账号也没有填过银行卡。根本用不着的东西他们也读出来，增加无端风险。

@jin7 #17 所以得用上多用户功能，建两个 chrome 快捷方式，一个 –profile-directory=”Default” 一个 –profile-directory=”Profile 1″。默认的尽量少安装，而且只安装自己审查过的或者在 chrome webstore 上架的扩展，敏感网站都用这个上。另一个就随意安装，但不上敏感网站。

@Jaosn #18 看不见绩效的东西，有时候反而是小公司比较有原则。

@also24 #5 可惜很多人意识不到无用的暴露会增加潜在的风险。

@lanternxx #6
@chotow #8

腾讯云控制台首页看 /cgi/capi?cmd=GetCurrentUserInfoV2 这个接口的 data.data.authInfo 有姓名、身份证号、身份证地址。

@wangxiaoaer #9 看过国产区视频吧？那么多“百度云泄露”你知道怎么来的吗？有一部分就是浏览器恶意扩展偷了分析链接和密码去下载的。

@mejee #12 浏览器安全很重要，但这不是能随意暴露无关用户信息的理由。像手机号、身份证、银行卡这些信息在他们前端网页都脱敏了，说明他们也知道这不能随意展示，那为什么 API 就完整读出来呢？网站完全用不着的，根本不用读，读了只会增加用户信息被泄露的风险。

@loading #1 看样子就是调用微服务获取用户信息，然后未经脱敏，也不按需过滤就直接返回了。

@opengps #2 对，这种 API 就是某些网站获取访客 QQ、手机号的渠道之一。

@shansing #3 个人信息被泄露，防不胜防。

@yyh0808 #33 不用知道具体数值，只要知道跟普通应用比起来耗电量巨大，然后跟其他差不多使用时间的 APP 对比一下就知道了，如果差不多就 100%巧合，如果严重超过那才有可能真的监听，但这个可能性是非常非常低的。

另外，说到你在公司电脑搜索过，如果你这段时间手机也连了公司 WiFi，那被认为是同一用户不奇怪。不过最近很多人都经济困难，贷款广告本身就增加了，就算一点没接触过也很大概率会收到类似推销。

@GM #17 我说了，看你的标准和用法。如果你把 OpenID 作为查询参数且链接没有加密就暴露给用户，这时候用户又得到了你其他用户的 OpenID，那他就可以构造针对其他用户的假请求。

巧合而已，不信你看 APP 耗电量。

命令词识别做是做得到，但没有系统支持要做到实时监听提交是很耗电的，看耗电量就能判断出是不是巧合。

@GM #15 你只向用户暴露他自己的 OpenID 就不敏感，你要不小心批量暴露了就敏感，具体怎么个敏感法看你的标准和用法。

@GM #12 OpenID 只对你的应用敏感，对用户不敏感，因为每个应用获取到的值是不一样的，在你这里拿到某个用户的 OpenID 只能在你这里用，去别处用不了。

头像、昵称是用户隐私，很多人的头像昵称可以用来社工搜索。

OpenID 是脱敏的，不同应用获取同一个用户的 OpenID 得到的值不一样。