OP 真的是好脾气好耐心

@TedYin 我可以接受，甚至可以再贵一些。但如果是电商购物的话，希望有一种平台化的机制让我加钱，而不是遇到不送上门时再跟具体包干片区的快递员去商量私下给小费。

客户端证书是服务器验证客户端身份用的，可以通俗类比为银行的 USB key ，在你这种情况下似乎并不需要。

4:3 也算是常用比例了……在宽屏流行以前几乎就是电脑屏幕分辨率的标配，从而也是壁纸和其他各种电脑用图的标配，需要有特殊理由吗？

因为你的本机和服务器是两台不同的计算机，台不同的计算机，不同的计算机，同的计算机，的计算机，计算机，算机，机……

然后“又一个运维同事离职了”…

secureboot ？

卖码农

1. 理想情况下是用 sudo 或 doas ，并且详细配置具体被授权的用户可用什么命令（然而很容易不小心配错，让用户有更大的权限），不提倡用 su ，因为 su 太粗放了
2. OpenSSH 的 sshd.conf 可以配置 AuthorizedKeysFile 参数来指定用户的可登录公钥文件位置，甚至可以用 AuthorizedKeysCommand 来指定运行一个外部程序来获取用户的可登录公钥文件，这样可以把可登录公钥放在 LDAP 等外部数据库里，集中管理并动态替换。一个私钥对应多个公钥是不可能的，但是可以一个用户配置多个可登录公钥。
3. 各云厂家的策略不同。印象里 GCP 是生成了一个维护专用的密钥对，你不要删掉它即可。

恕我直言，“二十来岁”作为“上半生”和“下半生”的分界点还是偏移太大了。

有一种炒股追消息股的感觉

file /etc/hosts
cat /etc/hosts
都显示啥？我感觉像是某次编辑时在 vim 里不小心把文件加密了。

用面试排除掉你，录用比你牛叉很多倍的人，但他们干的是你也能干的活，因为从业的人太多了。

果然 PUA 这个缩写传着传着就变成了 CPU……

经过搜索，这个环境变量是来自 Netscape NSS 库。从 NSS 3.24 开始，用 Makefile 构建的默认关闭，用 build.sh 调用 gyp 构建的仍然启用。Firefox 官方版本重新启用了，而 Debian 拒绝启用。

有说 OpenSSL 也遵循了 NSS 的这个惯例。但是细节我还没搞清楚。

我倾向于认为是开发人员脑子抽筋导致的 bug ，而不是后门。这个是 Chrome 开发人员为了方便调试 Chrome 本身用的，不是给业务系统的 web 开发人员调试网站用的，跟你说的“要调试代码，可以用自签名证书”没关系。

文不对题，不安全的明明是 Chrome 这个具体浏览器的密钥日志行为，又不是 HTTPS 本身。