@echo314 有，叫 微信扫码登录

@qzhai UGC 不允许国内没有各种 xx 许可证的情况下上线。这种 xx 许可证需要大陆实体，很显然折腾老外。

@totoro625 +1 同步冲突丢数据。

离线存储的问题也是一方面。

@juejinloop 来，我告诉你，BitWarden 的 Desktop Client ，在你登陆解锁之后默认的 Vault Lockout 是 Never ，而且默认的 Clear Clipboard 也是 Never ，意味着什么？意味着只要你打开系统，解锁 Bitwarden 之后就是可以被任何人随意读取操作的，甚至你复制了密码，都会被任何能读取剪贴板的程序读取。

那么按照你的逻辑，Windows 下任何应用都可以读取 Clipboard ，在你的终端 Compromised 的情况下，任何人有权随时使用 RAT 操作你的电脑，接下来 Bitwarden 也是不安全的。

建议别用密码管理器，用脑子记着，忘了就自己认栽。

复习一下身份认证的三个要素：
- something you know
- something you have
- something you are

1. 你的终端是 something you have ，那么你主动运行了解密的程序，算是一种授权
2. Windows 系统账户登陆密码是 something you know ，你主动输入了密码 （ Windows 10 登陆状态下通过浏览器查看明文，需要二次输入账户密码。但是用了系统的 DPAPI CryptUnprotectData 函数解密是没问题的，你的终端都 Compromise 了，就好比：你家里已经进了贼，你跟贼说，别看这里。或者说：你家里已经进了贼 = 你已经把钥匙 /密码给了贼，然后你说 “贼，别看我小本本”，可能吗？是 Google 家的工程师是 SB 还是楼主半瓶醋？

你告诉我一下，如果你的终端已经 Compromise 什么有用？ Master Key 加密后（ 1Password ）在本地的缓存密码同样是可以解密的，那按你的逻辑类推，1Password 只是用了不是系统从你的账户密码 Derive 出的 Key 而已，其他的都是使用了同样是公开的算法和 API ，网上有大把的解密程序，是不是 1Password 这样都不安全？

3. 你或许会说 Windows 有问题，为什么调用这种函数不二次验证？那么系统 Keychain ， 也就是 @ysc3839 提到的 Credential Manager 里面的东西也是用这个函数加密的。系统里还有大量的需要加密的数据，这个过程是用户无感知的，如果每次都要这样验证对应的 Windows Desktop Session Token 对应的 Password ，那么我估计你下一个帖子就是微软的工程师是 SB 。

@juejinloop 至于你说 Linux / Mac 的就更是扯淡了，Mac 的系统 Keychain 依然是需要二次验证密码 / touch id / face id 。Linux 默认的 Chrome 密钥存储依赖于 org.freedesktop.secrets 的实现，狭义来说，目前 API 完善，使用广泛的就是 Gnome Keyring 和 KDE Kwallet ，也是类似的算法。也不是明文存储。

不要把其他家的工程师和 Security and Compliance 团队当 SB 。

@cocoking vmtools iso 镜像在哪？之前装过的 win11 arm 现在要准备关闭 kernel debug 网卡肿么办？

Copilot 开源授权这事没洗的，垃圾。

但是 Gitlab 自己也提供企业版本，微软和 GitHub 也有员工要养，商业公司要赚钱要吃饭有什么问题吗？

https://echo.paw.cloud/

执行啥，掉字了。

然后 就我踩了大概一个月左右的坑的经验，k8s 官方文档里面 troubleshooting kubeadm 页面的东西能解决你 99.99%的问题。剩下 0.01%是网络环境的问题。

没有日语 要么…还是日语是硬性要求？

https://support.github.com/contact/report-abuse?category=report-abuse&report=murphysecurity&report_type=user

请大家帮忙一起 Report Spam ，直接让 GH ban 了他们生产账号吧。

之前他家才起步的时候，发 Spam Issue 和 PR ，然后大半夜的给我吵醒了，说我的漏洞靶场项目有漏洞...请问一下您，靶场项目没漏洞叫什么靶场...

然后去圈子里群里怼人，才停了。看起来消停了没两个月，又来了...

大家一起 SEO 吧：

墨菲安全垃圾
墨菲安全滥发垃圾邮件
murphysec 骚扰开发者

他家不是第一次这样了，之前才出来的时候就这样。

ieltscat[.]xdf[.]cn

Free!

@xy90321 冷知识：云上贵州的运营方叫 云上艾珀

@wym0823 放屁。zt 哪里没开源？没开源那么多第三方 controller ui 怎么来的？

挺好的啊，时不时 shortcuts 触发一个 play sound ，把他听歌的耳朵震聋就行。