@pryhub 24 寸 4k 什么鬼，你准备抱在手里用啊

@1069401249 下载代码问题不大，做双份切换就行，甚至 fetch 后再本地移动 merge 也不是问题，重点还是 #16 说的，对外服务器权限过大
@julyclyde 可以带 SSH 证书传递进行 pull ？感觉上可行但太过诡异了，甚至可能还不如 scp

说起来前段时间在培训的宾馆，那电脑带恢复卡所以我必须选择 portable 的浏览器，那我就默认了 chromium。
结果竟然被 B 站的兼容性劝退回 Firefox Portable 了
有生之年竟然被兼容性从 CR 逼到 FF

@n1dragon 那我推荐一下附加组件 Tree Style Tab，用 Sidebar 当标签页并树状显示，容器用户基本都能受益于此，因为标签页实在很多。

慢点这是 Google Analytics 的数据？那 Firefox 是虚低
一来 Firefox 和开 Adblock 系的反追踪高度重合，二来自带严格反追踪，一键可打开

@XavierXJ 最后三个分句铁定没了
分析鼠标路径已经是至少 5 年前的技术了，鼠标疯狂瞬移直接拜拜

你被描述误导了，它没说不给权限不让用，而是
“你给不给权限？顺便一提，你还可以不用。”
这是三种情况：不用、不给权限用、给权限用

至于误导有没有违反苹果的规则，我不知道
至于误导对不对，那肯定是不对的。

@manami
一来保证的含义还包括 “作为担保的事物” http://www.hydcd.com/cidian/1098.htm
二来法律含义上 http://www.npc.gov.cn/npc/c2418/flsyywd_flwd_list.shtml http://www.npc.gov.cn/npc/c2418/200204/e4dc95222d71403a87c2f661085dd408.shtml
三来现在的 SSL+CA 机制确实是万中无一失的，甚至可以说是百万无一失的。你连一百万次免费 Wi-Fi 都不会产生一次渗透，因为这除了极低成功率的广撒网（会被 SSL pinning 轻松防住）就是 APT （一般人根本接触不到，我有幸被预警邮件发到过；并且支付宝通常不是 APT 的目标）了

@manami 我 #102 #103 说得太绕了，大概是不适合脑筋转不过弯的人。分论点表述：
1、分数不代表能力：
http://www.paulgraham.com/lesson.html
https://news.ycombinator.com/item?id=21729619
“For example, it's long been known in the physics education research community that students come away from introductory courses with very little physical understanding, even if they can do the plug and chug problems on typical tests just fine. Students can all recite Newton's third law, but immediately afterward claim that when a truck hits a car, the truck exerts a bigger force.”
“Goodhart's Law (Popular formulation): When a measure becomes a target, it ceases to be a good measure.”
2、risk 表示的是潜在风险，但风险这个词在中文太强了，risk 更中性，并且是在一定程度上 “必定存在” 且 “必要接受” 的，“投资有风险” 的意思不是 “应当没有人参与任何投资”；
3、就 risk 来说，你连接一个未知 Wi-Fi 可能增加攻击面，但同样，甚至你只是把 Wi-Fi 开关打开而不连上任何网络，你依然也有增加攻击面，你在不进行任何数据交互时保持连接到自家 Wi-Fi 同样是攻击面，这一风险等于废话；
// 另外回应下 #104
4、什么叫 实体 A 对 行为α 作出保证？即是指 实体 A 对 行为α 的风险有认知，且认为承担此风险和相应的收益比较下来可以为此收益承担该风险，并承诺承担此风险。它并不要求 “绝对安全”，而只要求 “足够安全”。

@manami
1、 @mxT52CRuqR6o5 #19 提出：支付宝号称随便连 wifi 也能保证安全
2、 @manami #21 提出： “随便连 wifi 也能保证安全” 不可行，并请求来源
3、 @no1xsyzy #26 提出：数据交互即一切，保证安全是可行的
4、 @manami #27 提出：《任何国内外的一个黑客论坛》认为 “随便连 wifi 也能保证安全” 错误（注意此处已抛弃主体该句主体），并且视同 “笑话”（嘲讽）
5、 @no1xsyzy #47 回应：“Wi-Fi” 和 “代理” 没有差异，都是将自己的网络出口交给第三方
6、 @manami #48 突然论坛降级成 Quora （神奇吧），不过至少给出了链接和截图，其中指出「
“there is always a risk” —— “所困”，翻译错误；提出方法《 POODLE 》
“Maybe not Snowden safe as Tony mentions but good enough for most.” —— “也许斯诺登并不安全”，翻译错误，应为 “也许没有 ‘斯诺登级’ 安全”
“Short answer: Yes.”
“In general, yes. ”
“(In contrast to the paid version of VPN,) The free versions may be slower, with more users and have more advertising.” —— 这不就证明了免费 VPN 更不安全吗？
“Most of the modern proxy servers now comes with dedicated SSL inspection engine. This can de-crypt and re-encrypt the page with its own SSL certificate. So, its always advisable to check the padlock sign details on the browser address bar for any discrepancies.” —— 假证书前面说过不可行了。
“Yes, you should use HTTPS everywhere ” —— 这是 sslstrip 的防御方案。
“MITM is one the example of this” —— 笼统地使用 “中间人” 一词，可以想见能力。
下一个卖 VPN 的就算了
还有一个卖 VPN 的
一个充满广告的视频
」总结全部 11 个回答，基本是 yes，接着来点 risk，然后是大量的学术不精学词就用型，最后几个广告机。我难以想象这怎么叫视同 “笑话”，反而这些回答更像是笑话。
7、 @no1xsyzy #98 嘲笑 @manami 的英语水平，指出 risk 的词义理解错误，并对《 POODLE 》攻击进行反驳，回归主体《支付宝》，指出支付宝可以很容易地使用 SSL pinning 来杜绝 POODLE 攻击。并指出翻译软件只会简单的和错的。
8、 @manami #100 提出：其自己六级分数 583 （我不知道这是高是低）以此来想要证明自己英语不差。
9、 @no1xsyzy #102 提出 pg/lesson 进行反驳；
10、 @no1xsyzy #103 提出 risk 的正确含义，并再引一种极端例证 “非对称加密本身已被破解”。此外提出 “随便连 wifi 也能保证安全” 的主体应是支付宝，而不是一般安全含义，并以 “黑天鹅” 相关原理为证（脆弱性）。

看不懂对方的隐喻就说对方逻辑混乱，你，学到了吗？

@s04 先跑个题，关于 gist 的正确使用，加上 .py 后缀名可以调用代码高亮，还有 v2 能认识链接本身不要加 html。

然后，思维混乱，三分之二的代码是执行不到的
还有花式 premature optimization 和 premature design。
我不知道从哪开始说，先起手廖雪峰吧。
先把问题说清楚，不然就像这样：

「我现在碰到个难题，你来解决吧。」

@manami risk 是 “风险”，即没有实际证据表明其存在或不存在。
指不定现在已经有人做出量子计算机能够一秒破解 HTTPS，那 HTTPS 确实是不安全的。就宽泛而言的安全来说，拒绝连公共 Wi-Fi 减少攻击面也无可厚非，但拿一般情况（浏览器）套特例（支付宝）和拿特例套一般情况不都是错的？相比之下，前者更可能自认为聪明，所以也更脆弱。

@manami 所以说你分不清 risk 是什么意思吗？拿成绩谈水平是不是还要我掏出 pg/lesson 及该文在 yc 的评论跟你讲讲？

@swiftg 不要黑 CNNIC 和 WoSign，Symantec 也错误签发过不少（一说 127，一说 3 万），前几年被各大浏览器群封了，这个是实锤，不是 CNNIC 和 WoSign 的 zz 背景问题。

@manami 老哥你英文水平有点捉鸡啊
risk \neq threat，本身连 Wi-Fi 确实存在创造攻击面的潜在可能，那都叫 risk，你在没 Wi-Fi 的地方开着 Wi-Fi 就是 risk 了。
POODLE 降级虽然对浏览器可行但可以被 SSL pinning 修复（锁定证书和加密方式），支付宝，一个可以执行代码的 App，当然可以做 SSL pinning，说自己能防这种没问题啊。

能别看翻译？我从来没见过翻译软件翻译整句准过，**一次都没有**，因为简单的我根本不求助翻译软件，难的翻出来就是各种错的。

心智不成熟才是问题的根源
> 为了自己开心,亲妈爆炸也没关系
这能叫 “做自己” 吗？

“他人即地狱”
说的不是其他人的道德水平不行或者你应当假定的其他人的道德水平不行。
而是沉浸于自我的状态会因为你意识到他人的观测而被破坏。
重点在于 “你会在意别人怎么看” 这一事实本身导致了你陷入地狱。

“为了自己开心,亲妈爆炸也没关系” 实际上也是在意别人怎么看的表现。
实际上是因为在意别人如何看你，你才会提出 “也没关系”，是一种你期望别人如何看待你的主张。

@mxT52CRuqR6o5 #35 你说的这个是指安卓默认浏览器吧，实际上是否支持 HSTS 是浏览器说了算而不是设备。似乎目前存在一些 “云浏览器”，因为没有本地记录所以根本无法保留 HSTS。

@mercury233 #40 还有恶意 CA 或者 CA 错误签发，虽然有黑名单但总归是慢半拍的，金融相关稍微注意一下问题也不大（ App 可以用 SSL pinning ）。除此以外还有引导到假域名（ IDN homograph attack ）

@manami #27 首先，别拿 0day 说事。其次，过层 Wi-Fi 和过层代理在易受攻击性上有什么区别？
然后，黑客与骇客分分清楚？你说的到底是哪个论坛能这么异想天开？
只要没有数据交互，还能主动渗透？是随便哪个人会在自己手机上留 sshd 或 TCP adb ？

@xiangyuecn 在一定程度上，是我眼花看错了……
然后被那个人感谢了……过于尴尬不敢回应

@mxT52CRuqR6o5
@mercury233
时至今日，依然有用户使用不支持 HSTS 的浏览器
也不是每个网站都进了 Preload List。