虽然 iPhone 信号可能确实不咋地，但是具体到你这个问题，严格来说第一背锅人应该是联通。

@MWLiu66 #3 有的梯子屏蔽 SMTP 端口 /域名（？），现象就是能上 Gmail 网页版（因为就是一个普通 HTTPS 443 端口的网站），但 Mail.app 不能发信。

#5 你 iPhone 上用的是 Gmail App 还是 iOS Mail App ？如果是后者且能正常发件，那还真不一定是梯子的问题了

你在中国大陆境内还是境外

@736531683 #131 北京这种，你多几天不采核酸只是进不了公共场所，一直家里蹲的话问题也不大，没人管。

深圳就厉害了，核酸过期时间短到 24 小时不说，居住登记在深圳，没采核酸，马上就打电话过来了问你为啥没有核酸记录，想居家躺平都不行。搞不好像 #112 楼说的那样，不采核酸追究“法律”责任

支持备份 2FA 密钥的两步验证器很多啊，Authy, Microsoft Authenticator, 还有一众密码管理器

@TsukiMori #4 Apple Pay 的绑卡判断逻辑你基本上可以认为是

if (发卡行国家 == CN && 卡组织 != 银联) return false

和 Apple ID 基本上可以认为没关系？

@liuidetmks #162 是存在这种可能，但我们围观者暂没看到直接证据。我是仅根据他视频里的信息那么说的（即他认为自己明文密码没泄露）。

**假如** 他被盗号、改 Recovery 信息都是因为 **不止** Session cookie 泄露了，他这一顿分析感觉白分析了 hh

Apple Store 更换配件的保修期是 max(90 天,原设备剩余保修期)

@exploreexe #65 我知道是盗取登录状态的 Cookie 啊，我不明白的点是：

比如我拿了别人的 Cookie ，于是我可以做到让自己浏览器里登录着别人的 Google 账号，可以顶着别人的 Google 账号搜索、看视频等等。但是，如果此时我想修改别人 Google 账号的 Recovery Email/Phone ，点击修改按钮之后，Google 难道不会要求我重新输入密码吗？

而且视频里他说他觉得自己的明文密码没有泄露。

有了 Cookie 真的可以为所欲为？不知道我理解的有没有问题。

@Windn0 #36 看完视频我也没明白。我自己即使在登录状态下，要修改 Recovery Email 也会让我再次两步验证。盗号者可以绕开这个吗

@totoro625 #1
+1 我 2015 年丢过一次笔记，后来还是继续用 OneNote 虽然 7 年了没出过问题，但是始终有心理阴影。最近还是决定使用基于本地文件的 Obsidian 之类的软件了。想怎么花式备份都行。

@superbai #14 https://twitter.com/waylybaye

实在有这样的顾虑，可以选择的替代品（不用自己编译）是 pass 而不是 1Password 等更闭源的软件
https://www.passwordstore.org

它就是一个纯文本文件，bash 脚本，里面无非就是不断调用 gpg 、git 、vi 等工具。抛开「你的操作系统、bash 、gpg 、git 、vi 等程序有问题」等这些极端情况，pass 相信可以完美解决 OP 对二进制分发的密码管理器的顾虑。

> file /usr/local/bin/pass
/usr/local/bin/pass: Bourne-Again shell script text executable, ASCII text

至于体验（尤其是手机上的体验），就别要求太高了。可以只用它来存重要的密码，放弃手机端。

@Kakarrot
@lang1pal #6 点进去看好像 Amazon 卖的礼品卡也没优惠？而且还是 US$ 25 起售。

官网 https://www.apple.com/shop/buy-giftcard/giftcard 也是原价，US$ 10 起售，也能用银联卡（可能游客不行？付款时可能需要登录一个已经绑定银联信用卡的国区 ID ？）

这么一对比，除非是重度 Amazon 用户，感觉好像没有在 Amazon 购买的理由

我现在自建 Vaultwarden 和 1Password 都在用，感觉自建 Vaultwarden 在加了一堆自动备份 buff 之后安全性（指不丢数据）也很不错啊😂

Vaultwarden 功能上比 1Password 简陋，不支持 Markdown…… 但是仔细想一下，也没有什么非 1Password 不可的，编辑体验好点儿差点儿也就那样

话说回来 iOS 1Password 8 我觉得最喜欢的更新就是解锁后那个震动😂

@xianzhe #6
#3 楼第 2.* 点「无法基于域名进行规则匹配」，这种情况其实 #4 楼也提到了。

也不是说 Clash 代理功能会失效。考虑以下例子。假如你 Clash 有这么 3 条规则：

DOMAIN-SUFFIX,google.com,proxy
GEOIP,CN,direct

MATCH,direct

====

然后，假设你浏览器要访问 www.google.com ，但是它没有把域名交给 Clash 解析，而是自己解析出来了，比如说 172.217.27.36 ，然后它把这个 IP 发给 Clash 说，我要连接这个 IP 。

由于 Clash 只拿到了一个 IP ，它无法匹配到第一条规则，当然第二条也不行因为这个 IP 不是 CN 的，最后就 MATCH 了最后的兜底规则，然后直连，然后连不上。

====

如果你的浏览器配置为，将域名交给 Clash 解析，那么浏览器就会把 www.google.com 这个域名不解析直接交给 Clash ，Clash 一看，好，匹配第一条规则，甩给远端 proxy 。这样你就能上 Google 了。

@mschultz #3 补充：

A. 看到 OP 说 Clash 似乎没开启内置 DNS ，那么 Clash 内部如果遇到需要 DNS 解析的情形（比如浏览器扔过来一个域名，且 Clash 判断为直连或者需要测试 IP-CIDR 规则），应该会直接请求系统默认的 DNS 解析。

B. IP-CIDR 规则后面如果加了 no-resolve 参数，Clash 拿着域名遇到这条 IP 规则的时候就不会尝试把域名解析成 IP ，而是直接跳过。

浏览器使用哪个 DNS 一般受到设置影响，这个问题涉及到的 cases 有点儿多，我以 macOS + Firefox + Clash 的组合举几个例子。假设 Clash 开启了内置 DNS 功能：

========

1. Firefox 网络设置中，Clash 为 SOCKS5 代理，且勾选了 "Proxy DNS when using SOCKS v5"，那么 Firefox 会将域名解析工作交给 Clash 。Clash 拿到 Firefox 给过来的域名后，开始自上而下进行规则匹配，又分为如下情况：

1.1.1 如果遇到了一条 IP-CIDR/GEOIP 类规则，Clash 就会用内置的 DNS 将这个域名解析成 IP ，然后继续比对规则，直到匹配到一条规则或者 MATCH 。

1.1.2 如果 Clash 在比对规则过程中，在遇到任何 IP-CIDR 规则 **之前** 就抢先匹配上了一条域名规则，且这个规则要求该域名走代理节点，那么 Clash 不会解析该域名，而是会直接把域名扔给远端代理节点去解析。如果这个规则要求该域名直连，则 Clash 会解析该域名然后直连。

========

2. Firefox 网络设置中，Clash 为 SOCKS5 代理，但是不 "Proxy DNS when using SOCKS v5"，那么 Firefox 会首先以自己的默认方式尝试解析这个域名（即请求操作系统解析）为 IP ，然后将建立连接的请求转发给 SOCKS v5 代理即 Clash 。

2.* 此时如果打开 Clash 的面板，你会观察到一个现象就是 Firefox 过来的连接全都是 IP 地址，看不出连了哪个域名。因此，在这种工况下，Clash 无法进行基于域名的规则匹配。

========

在 1 情况下，Firefox 内开启「浏览器内置 DoH 」没什么用。

在 2 情况下，开启浏览器内置 DoH ，Firefox 自行解析域名时会优先使用内置 DoH ，其次 Fallback 到系统（具体是否 Fallback 理论上取决于 network.trr.mode 设置 ）

========

你可以看一下这些过程里有哪些步骤发生了 DNS 解析。也可以顺着这个思路自己分析、测试、观察一下其他情况下浏览器实际使用了什么 DNS 。

2 个测试 DNS leak 的网站： https://www.dnsleaktest.com
https://www.astrill.com/vpn-leak-test

References:

- https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
- https://blog.skk.moe/post/i-have-my-unique-dns-setup/

@JimmyLX #7 虽然我目前用的是 Mastercard ，但我看到 Payments 有银联的标志

https://i.imgur.com/hEe8CEvh.png