@mintongcn "像是容器被重建",你的容器没有做持久化？

@TArysiyehua #18 “实际上你跟厂商好好沟通，大部分厂商都认并且发放奖金”，不一定会的，他们会想，他怎么发现的？为了发现/验证这个漏洞做了什么？在此期间接触到了什么？发现之后有没有做什么？如果我们认下了会怎么样？要不要给奖励？钱谁来出？要不要写进报告？奖金是不是得安全团队的绩效来扣？

至于后面的 如果不认，白帽子会不会泄漏出去，那就得看情况了。就算泄漏出去了，他自己没有保留足够的证据证明自己是善意的，或者没有造成损失，那就送进去完事儿。

不是说这种情况一定会发生，但真很危险的，白帽子不会反咬入侵计算机是因为他们有厂商的许可，如果没有这个许可，是真的会进去的。我当时报那个漏洞都是和一个很熟的小伙伴商量后才决定报的，而且报之前我是直接和公司架构师打电话经过同意才说的。如果不是有信任的伙伴能讨论，能为我作证，我是肯定不会暴出去这个漏洞的，最好的选择是自己利用，万一哪天出事了用这个漏洞无痕删除记录，留着用来保护自己。

对于外面没有许可的非白帽子，一个不小心就进去了，尤其是高压环境下，肯定不希望给自己惹事的。

@EthanDon #10 确实，是有些理想化。

我觉得公开寻找/讨论适合这种为大众提供服务的公司，比如 cloudflare ，腾讯云，tb 。首先，暴露在公众下面的服务肯定是要被挖的，既然漏洞已经被挖出来，不如摆出来赶紧结束掉，而不是让人们有其他的想法。就像高压锅一样，气体总是得出来的，只是取决于什么方式。

还有一种情况，现代的漏洞很少是单一攻击，更多的是组合漏洞。这种情况下，如果先前的爆出来并修复掉，就不会出现多个漏洞被同时利用，导致更大规模影响的情况发生。


对于一些很是封闭的场景才适用于这种禁止讨论，比如说内部使用的东西，或者正常人不会接触到的服务。这些服务接触的人也少，也很少泄漏出来。

@TArysiyehua #12 对于其他人寻找到的漏洞不就凉凉。。。白帽子是能寻找出来漏洞，但很多漏洞是偶然发现的，而且大多时候都是查有没有已知的漏洞，而不是费尽心思挖掘一个不知道哪里的漏洞。

我要是一个白帽子，你就算给我十个亿，我能保证的也就是没日没夜的帮你找，但没人能保证不知道的东西的。

举个例子，我前司自研国内信创产品，是真的有实力，公司全是大佬，每次产品发布前都通过各种检测，因为是给某些独立于常人生活体系之外的团体使用，但还是被我找到了一个致命的、任何一人就可以远程做到的、接管全部集群、可以做任何事情、查看任何数据的漏洞，但我当时的 title 只是文档工程师，别说 src 了，和开发都八竿子打不着的。当然，这里不是说产品垃圾，而是我看到了一个刁钻的东西，由此产生了灵感。（漏洞早已上报并修复）

@dilidilid #10 不是这样的，你理解的显示器协商有些许偏差。

举个常规的例子，比如 tls 版本协商，有个参数 version,如果 value 是 tls1.3 那就是 1.3,如果没有，那就尝试 1.2,还没有就尝试 1.1. 同理，显示器协商也应该是这样，查看最大分辨率，然后查看最大频率，一层一层逐级递减，直到找到最大的组合。

可显示器的实际情况很复杂，协商是双方的，显示器的行为也会决定系统能否正常识别。电脑端有兼容模式，显示器同样也有，比如我的 lg 显示器，显示器本身只能设置 4k60hz 的源信号，不可以手动选择任何其他输出分辨率，包括 4k60hz 下面的也不可以。但同时，该显示器却可以接受并正常显示 pc 端传入的其他信号，比如 1080p60hz 。

（注：可能有些乱，说明一下，显示器是支持 4k60hz 和 1080p 的，但它只会给 pc 传输 4k60hz 信号，这并不矛盾，因为显示器可以在 4k60hz 的显示器分辨率下显示接受到的 1080p 信号）

这就导致一个很奇怪的现象，电脑端可以随意发送信号，显示器以兼容模式照单全收（除非信号配置高于显示器最高），但同时屏幕会显示输入的分辨率与显示器分辨率不同。此时相当于源分辨率与目标分辨率不匹配，没有握手成功。这种情况下正确的做法是什么？应该显示器端切换为向下兼容的信号。为什么不是 pc 适配显示器？因为有时候我们就是希望在某个低分辨率下运行的。

再往下这个过程，既然协商没有成功，那就继续协商下面的。理论上来说，总有一个下面的参数可以协商成功，只是显示效果有多差的问题。但是先前提到过我显示器的行为是，————只能输出 4k60hz 的源信号。这种情况下，对于 pc 来说，面临两个选择，要么中断协商，要么不处理这个异常（无视显示器端的协商报错，强制提供用户设定的分辨率）。至于怎么处理，这就得看不同厂商的设定了。能确定的是，不只苹果这一家中断协商，其他厂商也会有，比如我的融合器厂商。

以上不代表你遇到的情况和我一样，只是用来举个例子说明显示器兼容协商的复杂性（我也确实有些怀疑是不是你的显示器没有给 mac 传输 60HZ 的信号？不太能确定）。

对于苹果来说，他们的宗旨就是，凡是支持的东西，要近乎于完美，给你极致的体验，对于没写着支持的东西，看都懒得看一眼，能用则用，和我无关，兼容性这种东西从来都是和苹果理念背道而驰的。

所以我当时选择显示器的时候就是按照苹果内置的显示器配置文件名单买的，所有功能全部正常，色彩也是最棒的。

@XDiLa #4 src 的作用有限，如果允许明面上技术交流，作者发现后会发出来，既能提升自己知名度，又能逼迫上游修复漏洞，毕竟影响范围很大，例如很古老的 sql 注入漏洞。

当不再允许正当的技术讨论后，很多漏洞确实被掩盖了，漏洞被挖出来，如果提交给厂商，国外的还好，有些还有奖金，国内的搞不好要被反咬一口说入侵计算机，那只好自己留着用或者卖出去咯。

src 再大，人数再多，也没有发出来共同解决来得快，大企业响应速度慢了去了，从发现到逐级上报，再到采取措施，最后还得看排期，实施完都不知道猴年马月了。

@dilidilid #7 我觉着吧，苹果的这波操作合理，但有些别扭。

合理的原因：
1. 苹果不适配它宣称支持规格以外的硬件，这很正常。
2. 你的硬件确实是它宣称支持规格以外的硬件。
3. 对于它宣称支持规格以外的硬件，无论是否兼容，是否有问题，反正都不在官方考虑范围内，不适配、不考虑、不测试，能不能用都不关心。
4. 你说的“至少也应该在我 macOS 里限制为 4K120Hz 之后识别第二台显示器”，这个操作是在说，苹果是否有某种兼容模式去兼容支持规格以外的硬件。或许其他有些厂商做了，可能苹果没做，又或者某些显示器在这种情况下是没问题的，但你这个品牌/型号兼容不了，也没什么问题。


说个我的经历，之前有买过融合器，就是 dma 那一套的，最开始完全不能用，1080p 也不识别，纯纯黑屏。后来换了个，写着支持 4k60,我显示器也是 4k60,只有兼容模式下才能识别 1080p 的分辨率，但确实其他人的显示器可以 4k60 。显示器这东西参数很多，即便协议一致也有可能出各种问题，对于如何处理拿到的不同参数，各家都有各家的应对方式。

也确实，切换成 144HZ 竟然还不能识别，真的有些别扭，一般来说降下来都能自适配的。

这。。写一个 bash 脚本就完了，curl xxx|sh -

@wogogoing 不读题硬推哦，op 例子中没有一个是图像文件。

哦对了，给你一个思路，我当年是先在外企做外包的（全球 top 5 游戏公司），后来跳到了另一家外企正式员工。外企外包和国内的外包不一样的，我们部门有很多干了十多年的老外包员工，福利薪资肯定比不上正式（正式给的实在是太多了），但比外面情况肯定好的多。

我在那里呆了三年，这也是人生中过的非常舒服的三年，同事之间关系很融洽，因为都是技术岗位，兴趣爱好大差不差，所以我们的关系比学校同学都要好。

后来老板有天突然找我，问我说有个机会想不想试试，经过 8 轮筛选+面试后，成功进入了我现在的印度外企。如果没有我在那里的三年，肯定进不来现在公司的。

@daimaosix 试了下 outline,感觉不太方便，登陆方式是邮件链接，意味着我需要在每个使用 outline 的地方登陆我的邮箱。而且还遇到了奇怪的问题，UI 提示发送邮件成功，后端什么都没有显示，邮箱也没有任何邮件，奇怪的是，invente 功能却正常可用。

@Junzh #19

“比如，一个咖喱口音就能把你搞崩溃。”

赞同，天知道我加入一家印度公司经历了什么。。。所有国外的都是印度佬，每句话都是咖喱口音，emmmm,导致我现在说话也是印度口音。。。

@geekvcn #12 如果只给 ai 喂各厂文档呢？这东西质量应该是最高的吧？

@MindMindMax 并不是网上查的，是我在一直用杜甫，全是我这么多年的经验总结，一个字一个字花了二三十分钟为了让你搞清楚打上去的，没有一个字是复制粘贴的。你不想知道可以不看。

如果你真知道我说的这些，那就不会说出什么 用来没啥不一样 这种话，别说内行，外行看了都知道是有区别的。不懂还不虚心学，还说对方好为人师，白瞎了我二十分钟的时间给你打字。已 ban 。

@pulutom40
@MindMindMax
@lscho
@klo424
@hnbcinfo

独立服务器是指 dedicated server ，简单来说就是 机器是服务商提供的，整机租给你用，不需要考虑电费，但同时配置需要在最开始选好，有些可以后期修改，但大多数肯定是不能自己随便加的，国外这种一般带宽是 G 口，国内不确定。

相对于 vps：
1. 性能强，只要选好配置，机器装个 pve 随便虚拟 vm ，你可以为每一个 vm 非配单独的公网 ip
2. 你来管理和分配机器的所有硬件，比如 raid1 还是 raid0
3. vps 几乎没见过不超售/超分的，不然会亏本，导致 vps 性能令人堪忧
4. 当你用量很小的时候 vps 是划算的（无论计算量、内存使用率、磁盘空间等资源），但当你的资源使用上升到 8/16 cpu 核，16GB+内存，500GB 存储，此时 vps 无论是性能还是价格，都比不上杜甫。
5. 不同配置的杜甫有着不同的用途，很多时候是一个量大管饱的选择。比如用于存储的杜甫，ovh 上面，带有 4*6TB 磁盘的机器一个月才 300-500RMB ，并且无限流量，这个配置下，vps 没有选择不说，即便你当前用不了 24TB ，留着给以后用也是很划算的，毕竟备份数据量就是一直在上涨的。


相对于托管：
1. 没有快递费、不想用了随时取消，不用考虑取消后机器放置的问题。
2. 没有硬件成本，任何硬件的损坏都由服务商来负责，你只需要给他们开票就行（至于多久处理你的故障那另说）
3. 没有电费，这点在国内无所谓，国外就不同了，电费比机器还贵的多。
4. 如果要对比 vps ，杜甫和托管，那么托管是为了放置你自己顶配机器的最佳选择，比如你的机器 cpu 9554 ，1TB 内存，还有 gpu 卡，此时托管比杜甫方便的多，不然租这种机器几个月的钱就够你买一台了。

@daimaosix outline 看着不错，我试试，感谢

@daimaosix 有用过类似的，名字忘了，但感觉太复杂了，不优雅，还是希望 immich 哪天能原生支持 s3 吧

我的自部署清单：
kubernetes （部署在一台法国裸金属机器上，底层 proxmox ，vm 层面是 3 节点 kubernetes ，主要为了升级 k8s 时候的高可用）：
- openwebui
- cloudreve pro
- confluence （作为自己的 wiki ，有点重，但没找到好用的替代）
- converter （订阅转换）
- vscode
- wallos （记录并提醒各种订阅）
- immich （可惜不像 cloudreve 那样直接支持 s3 存储，现在正发愁数据空间不够咋整。。）


vps：
- gitea
- bitwarden 付费版（当时 passkey 刚出的时候 vaultwarden 还不支持）
- checkmk （监控服务）

dmit （ cn2gia ）：
- proxy *2 （都知道干嘛的，不解释）
- httpd 中转站+dns 中转（有些国内机器下载东西网慢）

@usenix #19 能接受自建的话考虑 conflunence 么？这个确实有些重，但很多功能确实没有能替代他的