热门机的 ROM 还可能有很多维护者，风险稍微低一些但也低得有限，毕竟像 xz utils backdoor 这样的源码丢我们普通用户或者开发者面前我们也很难看出来毛病。冷门机目前几乎没有可能解决你说的这些信任问题，更毋论一些个人的、闭源的 ROM 、软件了。并且你说对了，这对很多人来说不重要，用得爽更重要。

OP 仿个跨平台的这个吧 /t/930597 ，这样我就可以用上了，我做不好🤗

别等回应，用这个 https://v2ex.com/t/1007898#r_14194224

我导入的是这个 https://github.com/blackmatrix7/ios_rule_script/tree/master/rule/Clash/SteamCN

@OleJienNor #24 真实

@drymonfidelia #35 害怕 RCE 的话应该不能只看单个 CVE 吧？ Apple 为高级保护禁用了 JIT ( https://news.ycombinator.com/item?id=32842749 )，JIT 在 Chrome 漏洞利用中也非常重要，project zero 说的 ( https://googleprojectzero.blogspot.com/2021/01/in-wild-series-chrome-exploits.html )：All vulnerabilities used by the attacker are in V8, Chrome’s JavaScript engine; and more specifically, they are JIT compiler bugs. While classic C++ memory safety issues are still exploited in real-world attacks against web browsers, vulnerabilities in JIT offer many advantages to attackers. 当然我不专业，并不确定 Firefox 是不是有什么特别原因让它在这方面天然就比 Safari 和 Chrome 安全。

> 在什么都没点开的情况下也中了勒索病毒、盗号木马，造成了很大损失

尽管我也用 Firefox ，但如果真的在意这方面，我觉得应该用官方最新版 Chrome ，Chrome 一年支付多少赏金 Firefox 一年支付多少赏金？ Chrome 多少用户 Firefox 多少用户？一个软件不会自动变得安全的，是要人要钱的。对于这种角落里的版本，我赞同 #11 ，我认为这是虚假的安全性。

这么担心被 RCE 的话，考虑禁用 JIT 吗？

@agood 看来只是我这出 BUG 了

@hallostr 你的这个月的挑战是已完成状态并且还显示吗？

@Mithril 是的，会加量，而且它为了相邻月份挑战内容不同，会导致难度骤增，我实在扛不住了就摆烂了一个月，次月变简单了

我的理解，有不对的地方欢迎楼下指正：

1. proprietary blobs 可能提取自厂商固件，也可能是在别的一些相似设备上拿来的。简单点的办法就是看源码吧，追溯到第一次添加进来的地方看看相关的代码注释和讨论，或者直接问当初添加的人
2. 理论存在，但为了不发散问题，你可以认为是没有办法
3. 视情况而定，一般是不行

我的建议是如果你不是想玩、开发、贡献，而只是一个有信任恐慌的普通用户，那就换一款设备，省心省力效果好。

- https://wiki.postmarketos.org/wiki/Devices
- https://github.com/hexdump0815/linux-mainline-on-arm-chromebooks
- https://mrchromebox.tech/

例如你 yarn build 之后，我觉得你就可以挑选一个合适的 base image 然后 COPY --from=build 来只包括真正需要的东西，而不是直接拿 builder 跑。

serverless framework

小建议： https://github.com/github/gitignore/blob/main/VisualStudio.gitignore

> 例如有人借用你电脑的时候给你设置了个代理或者装了马

威胁如果来自客户端，那我觉得目前提到的所有措施都没办法保证安全，我建议讨论的时候默认客户端是安全的

至于常见争辩的密码加密传输还是明文传输还是前端传个哈希。。。或许可以搜索关键词 PAKE ZKPP

@diagnostics #37 不是，就是封号，你可以在源码页面搜 user_id ，改名是不会变化的