赞同楼上两位，我是 r5s 跑 openwrt ，启用了 openclash 翻墙、adguardhome 做 dns 和禁用广告、kms 来激活内网 windows 和 office 、ddns 到 cloudflare 解析、vpn 和 tailscale 都是用来回内网，剩下服务类的都在 nas 上 docker 部署。平时非常稳定，我可能想起来的时候会手工重启一次，通常两次想起来间隔都在 2 个月多吧。

@ouqihang 是的，这个就是根本原因之一。为了解决这个问题，海外的做法是直接打包成保险。反正为服务付费这个事情海外是比较能推的开的。国内的做法是，尽可能从源头杜绝（各种风控），如果实际发生了，也有保险...但是想让大多数人为了潜在的风险多付费是不可能的。

@dilidilid 这么说吧，端侧我不担心，我自己就做端侧的各种合规认证，安卓上指纹一定走 tee ，面部大概率不走 tee ，ios 都走...另外端侧都是自己主动注册，特征值保存在端侧用来匹配。
不过支付宝的刷脸支付终端，我不认为每个人都需要在终端上注册面部信息，那这个时候是不是可以理解为面部特征在支付宝有存储？掌纹同理。我不担心支付宝和财付通对数据存储的安全性，但是出发点是方便支付这个，我认为没必要给出来面部和掌纹特征。

@dilidilid 至少不需要指纹面部和掌纹啊...SSN 当然是实名，除了上边说的这几个信息之外，SSN 也没那么容易关联你的社交关系和购物习惯，所以实际上从风控的角度，我是觉得支付宝和财付通做的能比所有银行捆上 cybersource 以及 worldpay 都要好的。当然就像我上边说的，因为你自觉不自觉的提供了大量的实名信息，所以做的好是应该的。

@sjqboss 那哥们总体说的没太大问题，细节上有出入。现在很多银行可能日终结算或者签约每月结算，结算的时候就已经收到款了，但是在商户入网的时候是会收保证金的，而且有一堆罚则可以从保证金里扣款。另外如果是 visa 的收单机构，还会有更严格的 GARS 要求对入网商户的监控和过滤。不能说卡品牌不关注盗刷，只能说确实因为几十年的系统使用下来，目前的无卡支付方案在非大陆地区是最理想的方案。当然现在也在不停地往上打补丁，EMV 是第一代补丁，3DS 是前几年的补丁，MPOC 方案是近几年以及短期未来的补丁，长远来看可能还有其他补丁，这些都是在现有三方/四方支付的基础上在增强无卡支付的安全性和便利性。
但是，你要说这套系统和支付宝财付通相比较哪个更好，我只能说没办法直接比较，就好比说烤鸭和烧鹅哪个更好吃一样。不同的信任体系，不同的技术架构，不同的资金方案，目前看来是双方在用户感知层面越来越靠近（卡片 -> NFC / 二维码 -> NFC ），不过底层架构、用户架构、资金架构上都不一致。
说回到楼里那么多不信任国内行拒付的，我用信用卡接近二十年，肯定不是论坛里时间最长的，内卡外卡我都有，国内海外线上线下我也都刷，甚至早年的压卡支付我都用过，这些年来盗刷的总计不会超过 10 笔，都拒付掉了，并且没有超过两次电话的，从不扯皮，包括招行、中行、交行。国内可能会以信用卡设置了刷卡密码密码为由拒绝拒付，不过我确实从不设密码，另一方面即使设置了密码，走金管局投诉应该也是可行的，只要你能证明这比交易确实不是你做的。3DS 我也没开过，就是传统的卡号有效期 CVV2.
反过来再说支付宝财付通，确实至少我从没遇到过“盗刷”的情况，不过代价当然就是为了做到“足够的安全”，你需要全套实名的活在他们的风控系统里，甚至远超实际需要的实名信息。
再次但是，不论是卡品牌、收单行、发卡行、蚂蚁、腾讯，这些机构在做风控时候的最后依赖都还是保险......赚钱嘛，这没什么可丢人的 2333333

非常感谢！！！作为我的 console 之类的等宽字体使用已经快两年了

我用 timewarrior ，不过没有一个好看的 bashboard 或者 report 。只是自己关注趋势的话足够了。

搜索关键字：CSP 、SRI ，看看是不是你需要的。这两个技术目前在有些信息安全相关认证方面是强制要求的。

这个怎么说呢，首先碰一碰和闪付、quickpass 、applepay 以及各家手机 pay 的原理是不一样的，只是都走了 nfc 通信而已。
闪付、quickpass 、applepay 以及各家手机 pay ，实际上是使用手机 nfc 模拟了一张银行卡，在支持 nfc 的 pos 机上是作为银行卡出现的，里边存了你的卡号（实际是虚拟的 token ）以及各种银行卡相关信息。支付的时候是 pos 机读你的手机（银行卡），然后 pos 机发起交易。地铁卡的交易流程一样，只是收单从银行变成了地铁而已。所以这个时候手机 nfc 可以设置为“只读”，因为就是一张卡。有些手机还支持关机读卡都是一个道理，没有哪个银行卡带电池。
碰一碰，实际是使用手机 nfc 模拟了 pos 机的 nfc 读卡能力，贴在那里的才是卡片。所以首先手机 nfc 设置为只读是没用的，你不能拿一张银行卡读取另一张银行卡。其次发起交易是手机 app 来执行的，这也就是为什么各种 pay 可以不用电量或解锁手机，但是碰一碰不只需要解锁还要打开 app 的原因。但是另一方面碰一碰的贴纸原理上应该和二维码类似，只是商户号或者额外的一些信息，没有任何敏感数据，也就不会因为使用碰一碰带来任何额外地安全隐患，因为他就是把“摄像头扫二维码解析商户号”变成了“手机 nfc 读贴纸获取商户号”这么个流程流程是安全的，那么碰一碰也是。
不过这个在教育用户使用 nfc 方面是个挺大的进步，至少在一二线城市，正常的各种 pay 支付要比二维码方便，一样不用带银行卡只要有手机就行。

可能对楼主没什么参考价值...我是 2000 年做的近视手术，当年只分为 lasik （切角膜基质）和 prk （切角膜）两种，我做的是 lasik 。做之前大概是 600 度的样子，戴过 4 年框架和 2 年隐形，做之后一直到现在都是 1.0~1.2 ，取决于我想不想仔细看视力表...
怎么说呢，我现在可以选择戴墨镜平光镜或者防蓝光镜拗造型，也可以选择什么都不戴打羽毛球网球，已经完全忘记不能脱离近视镜的感受了。我个人不存在干眼或者夜视不清楚地情况。
周边还有两个人在 10 年内做的手术，一个是 1000 度近视+400 多散光，现在矫正回来没有近视+100 多散光，另外一个也是差不多 600 的近视，现在完全不近视。
当然这个不作为手术建议，请遵医嘱。我只是简单分享一下我的感受。

我是直接装 nginx proxy manager 做反代+ssl 证书自动更新，openwrt 的 ddns 自动更新，https://url:port 这样访问 vaultwarden ，额外开了 vaultwarden 的多因素认证，使用上没有任何问题。

电子表都是查询晶振的次数来计时，就像上边说的查够 32768 就加一秒。所以如果晶振的频率因为各种原因变化了，那么这一秒就不准了。所以就有了温度补偿晶振、电压补偿晶振之类的。但是考虑到手表都是戴在手腕上，所以温度总体会比较恒定，所以可能大家都不用温补电压补偿，而是用更简单的思路，假设这个晶振在 37 度时候偏差是-0.1 秒，那就每十秒额外增加一秒就行，就像闰年。所以这种操作当然会带来不准确。想要电子表准确，要么电波表，要么 gps 授时，要么手机同步。

我记得 unraid 论坛里有说过因为 shfs 的性能拉胯，smb share 不能跑满带宽速度，需要使用 disk share ，楼主也可以试试看。

@netnr 那看你们自己身份认证系统的实现了啊，举个例子，假设你们接收到身份认证请求，第一步到密码验证系统去完成密码验证，通过后第二步到 MFA 那验证 TOTP ，通过后第三步通知其他系统说身份验证完成。正经的 oauth 应该是直接接入到第三步位置告知其他系统身份验证完成才合理，如果你拿 oauth 挂在第二步前头用来代替密码验证系统，那当然在 oauth 之后就需要 MFA 了，可能的好处是你们“可以”不用管理用户名密码这些东西。

oauth2 是从第三方带着身份验证完成的信息返回的，本地的没必要再额外做身份验证了，也就不存在输入 MFA 的情况了。如果有强制 MFA 的要求，在第三方处做。
单纯只有 TOTP 的传输原则上不限制通道加密。但是总不会你密码传输走 HTTPS ，TOTP 走 HTTP 吧？这东西一起走 HTTPS 不就行了么？

我自己在用 vivo pad pro3 + 原配键盘壳 + 原配震动版手写笔，配合自建的 vscode server 做 ssh 或者 tunnel 都还可以，但是我不是正经程序员，所以只是简单项目的前提下是挺好用的。远程到 windows 用 android 版的 rdp 没问题。
我也配置了 spacedesk 的扩展桌面，不过还是 moonlight + sunshine 扩展桌面更流畅，但是不像 spacedesk 那么开箱即用。
当然我拿 pad 的主要用途是现场审核的底稿记录，直接 obsidian + syncthing 同步回家。
当前长时间用 pad 的最大问题，一个是键盘的输入法切换需要使用 shift 而不能 win+space ，另外就是触摸板的三指单击是后退而不是中键，这两个我很不习惯，不过对鼠标（我主要是各种轨迹球们）的支持很好。
再另外，配合 lightroom 订阅出差或出游选片修图一绝。传统的影音需求当然就更不用提了。

@coldle 明白了，多谢多谢

@coldle 能不能细说改键，我就是在用 android 平板连 windows