楼主想的是流量不大，不就一 css 吗，通常也就传输 20 到 100kB ，其实比较教科书的说法是：延迟优化。

我有一个网站。HTML+CSS+JS 总共 300kB 需要传输.
但是我的服务器在地球的另一端，有一个自己编写的脚本，30kB. 这个请求一来一回，加载时间 500ms 。
但是有另一个 CDN 上的脚本，80kB ，可是 CDN 会就近加载，只需要 30ms ，这个脚本就已经加载完成。
更大的脚本，用 CDN 加载速度却快了十几倍。
你当然希望你的 css 能更早，更快地加载完成。少看几百毫秒的白屏，让用户体验更好。
这是很多 web 实践书里（教科书）会推荐 CDN 的原因。

另一方面，带宽真的不是问题吗？
国内的 VPS 通常只有 1-4mbps 。
我的 HTML 本体 7kB 不到，但是加上 CSS 和 HTML ，就算是 4mbps 的带宽(512kB/s)，对于 300kB 需要传输的数据来说，似乎只要有用户同时访问，那么带宽就容易成瓶颈。
所以我当然会考虑，如果我只需要传输那 7kB 的 HTML 本体，剩下的将近 300kB 的 JS 和 CSS 都扔给 CDN ，带宽不足的问题是否会有很大的缓解呢？
还有，其实我的网站已经不大了。HTML+css+js 超过 512kB 的比比皆是。楼上有人提到 1mbps 的小鸡，那么 30 到 100kB 的 CSS 是否应该节约就很显而易见了，对不对？

简而言之，CSS 用 CDN 是一种可以不花钱，让响应时间快一个数量级，还能节省带宽/流量的方法。

1. 没事。
2. 少喝咖啡多睡觉。某天喝了 4 大杯咖啡后我完全理解。
3. 如果无法控制焦虑，非常推荐找心理医生，或者检查肾上腺是否过于活跃。

Badusb?
你可以淘宝上买一个人家用 Arduino 之类的做的。
笔记本的话可能硬件上需要支持 USB OTG 才行。

支持一下，嘿嘿

@asdgsdg98 是这个样子的。其实卡巴已经很严格了，WD 就更牛逼了。


@proxytoworld 也可能是我比较菜，不过我还是想解释一下为什么我说好。

你看到的这个程序只是一个加载器，只有 196kb 。真正的恶意部分不在这里。莫名其妙混淆加壳只会增大嫌疑。
本体其实是在网络上的机器码。和 0x69 按位异或(简单加密一下)，伪装成图片被它下载下来的。这个“图”有 4.5MB 。

好，那么从哪里下载下来的？沙盒分析出来了。但是你要自己逆向的话也可以。这个 URL 没有加密，但在.data 段里故意被拆分开来。应该是为了防止直接被杀软识别出程序里打开 URL 的 API 直接有对应的 URL 。编写的人应该是有经验的。

然后这个加载器会在内存里开辟一块空间，然后把解密后的机器码放进去，加执行权限，上个函数指针，而后调用。

这个开辟空间用的函数都是动态加载的，但是也没有用 LoadLibrary ，感觉挺别致的。这个技术我真不会。

那为什么一个加载器对 dingding 和 QQ 感兴趣？
这里我没有逆向出原因，但是我猜测这是为了精确攻击的一个方法。没 QQ 或者钉钉的机器可能不是他的目标，哎，我就直接把自己删了，而后退出。防止搞到处都是被人捕捉分析。毕竟免杀马要花钱的。但是不知道为什么似乎在沙箱里没被激活这个 kill switch.当然功能上我也没有继续分析了。

简单说一下那个 4.5M 的机器码吧，解密后翻转，里面东西就很丰富了。有 C2 地址，还有很多杀软的名字和路径，还有很多预先定义好的命令......甚至有一个开票软件的下载 URL ，所以不排除在成功运行后下载一款真的增值税开票软件......

顺便，那个 c2 也下了一点功夫隐藏自己。
我不想说整个攻击链的下游水平怎么样，但是我觉得这个马是可以的。算是有花心思策划过的而不是直接上个 CS 或者什么玩意儿。
我就不继续深挖了。

网站伪装成什么税务检查，要下载什么玩意儿，给弹一个 exe 马要下载。
部署的有点好玩，云下载但他加了一个 php 访问计数。所以访问计数器的时候你这可以把他 php 计数器脚本直接下载下来。不知道是因为批量部署还是因为攻击者没有 web 技术。
然后这个计数脚本像 chatGPT 生成的，你发的那个链接那部分 AJAX 可能也是 chatGPT 生成的。

马还不错，看着沙盒分析这个马走的流程挺漂亮的，反调试反沙箱，加密的 shellcode 伪装成图片下载，本地解密后加载。但是感觉好像有人修补过像二创或者几创了。沙盒猜这个是银狐。

回答你的问题：这个网站就骗你下载 exe 马。背后人应该就是对公司企业商业数据有兴趣的那种。

等等，DNSSEC 的问题为啥要折腾这个转发？
你退回到 1.8 的版本试试。我记得 1.8 没有 DNSSEC 要求。

你既然放进教育话题里了：

教育：大家都是第一次做人，年长的人将会告诉你一些经验，让你明辨是非善恶，学会与人为善，遵守规则，融入社会。学习技能，发挥你的价值。

我们的教育：你要服从我，我告诉你怎么得分。

中国人的情商基本靠家长，而后就在走上社会以后慢慢锻炼。中间很长一段时间训练是缺失的。

高考和家庭决定了未来在社会上的起点。hummm ，至于你未来能走到哪里，那的确也和高考没什么关系。


不过我也想说，楼主，这不完全是您太太的问题。这年头奇奇怪怪的人挺多的。职场人心险恶。您太太可能还没适应。
她不是感觉要抑郁了，我觉得是已经抑郁了。你应该鼓励她换一个环境。
我说社会锻炼情商其实也不准确。有些人在痛苦以后锻炼出来了，有些人想开了，还有一些人可能就变得比较.......

我不知道您太太会不会和你分享她工作里的不愉快。您得多问问她，关心一下。
她可能是个要强的人，不要让她一个人扛着。san 掉到底人会坏掉的。

不要听什么”强者的孤傲，有错吗？“ 这是借口罢了。又不是强到不用混社会了...强者应该是能放下傲气的人。

我有个同学，能力也很好，做业务的，书看的很多，人多少有点自闭，一直和同龄人也处不来。毕业混了好几年，发现他和他公司某一派领导反而玩得不错。他现在他正在节节高升...

我也不是说就让您太太和领导玩...我是想说出路总还是有的。出国慎重，出去以后依旧不可能躲开这种问题。国外也有职场。

我相信您太太这么聪明的人应该有一天能行。

@bigbigeggs 其实我觉得你说的是很有趣的。不知道为什么现在人们戾气这么重。
这是很好的思考，这种质疑，是搞信息安全的素养。但是很明显基础知识不够。
然后结论说的比较武断了，防止重放是必要的。但是你说的这种方法的确不是好方法，你对它的质疑是正确的。
一般对抗重放都会引入随机和一次性。引入 Nonce 和速率限制可能是更有意义的做法。而不是用大家都知道的内容比如时间戳之类的 hash 得到 token 。
如果有 HTTPS 也不用特别担心中间人搞重放了。

话说你面试被问这个问题...你准备的这个答案可能就不好...

好几年前，有一个下雨天，我在外面骑电动车，等红灯发呆的时候一阵恍惚。
每个人都披着五颜六色的雨衣，像飞着的幽灵一样。一边飞，一边甩着路上的泥水。
空气里是泥土味和人们不耐烦地讲电话的声音。
穿过一个又一个明亮气派的房产中介和培训机构广告牌下，忙忙碌碌的他们没有人知道他们从哪里来，又要到哪里去。
最后一切都淹没在雨点敲打雨衣帽子的噼啪声里。

黑客看到普通登录框，没验证码：先上 burp 爆破
黑客看到楼主登录框，没验证码：咦？这个 burp 好像跑不了。（看源码） md 这个人怎么实现登录都搞这么 xxx 复杂！不搞了! burp 关闭！

黑客看到 md5: 查查 cmd5 ，没有？字典跑跑。还没有？算了。(他甚至没注意你有没有加盐)
黑客看到 bcrypt: 字典跑跑(五分钟以后)admin123

楼主你的安全不是因为你 hash 方法牛逼防止拖库后被破解，
而是实现方法足够复杂直接让黑客从开始就放弃。
退敌于千里，治病于腠理。实在是高！

底下讨论：
有些人正在重新发明 TLS ，
有些人说一些有的没的，
只有 Chad0000 在努力证明楼主这样做不值得。

实话说，我也觉得没必要。但是想想也不是不行，理由如上。

唉...又要写很长了
看楼主刚刚入行安全，我这个没有入行的说一句：其实安全和方便（可用性）是要做 Trade-off 的。
这不算漏洞，这是一种灵活。WIFI 甚至允许你不上密码，完全开放。
你要说客户端怎么验证 AP 是否是正常的也有方案，有，就是 EAP-TLS 。这个就要验证 AP 的证书了。可以抵御 Evil Twin.
至于 uuid 那些，SSID 作用就类似 uuid 。但是 uuid 完全没有身份验证的能力。就算有设计，uuid 这种也是可以轻易伪造的。你想，域名是唯一的，如果能身份验证那 https 还要证书干嘛？

至于能不能从客户端骗密码，我说一个极度简化魔改的过程，你学信息安全的，你应该能看懂：
假设你是客户端，你要连 AP 。但是你怕 AP 是假的，怎么办呢？
1.首先让 AP 给你发一个随机数。
2.然后你计算哈希 sha(密码+随机数)。就像加盐一样。发回去。

如果 AP 是真的，它应该也能算出来一样的结果。如果是假的，那它也拿不到你的密码。
这就是一种零知识证明。只不过 WIFI 连接过程比上面这个复杂。

思考题：
上面这种方法能抵御中间人攻击吗？

我最近在写一篇博客，讲这种东西的。定位就是给程序员看的。这个例子我可能写进去。