国家局域网研究所

那可要确保量子计算机大规模使用以前，GFW赶快清除网络日志。问题是你怎么让GFW赶快删日志？

ECC应该用512位或521位密钥，然后你把公钥发出来以后，我们可以这样：我们自己也生成一对512位或521位ECC密钥，用你的公钥来加密我们自己的公钥，再发给你；这样一来，我们的公钥就不会泄漏，只要暴露一下你的公钥即可。

https://telegram.org/blog/ultimate-privacy-topics-2-0

On Telegram, your phone number was never visible to strangers – our users control who can see their number and whether others are allowed to find them by their phone number.

Today starts a new era of privacy. You can have a Telegram account without a SIM card and log in using blockchain-powered anonymous numbers available on the Fragment platform.

Telegram官方支持 Fragment.com 平台的号码，比起一般虚拟号，不会出现买了号无法注册的情况，或者号码被他人占用导致Telegram被销号。该号码的缺点是只能用来注册Telegram，且价格略贵，一个号码大约14美元，算是匿名的一点代价。

目测这个改动主要是为了推销他们的币TON，因为该平台只支持TON，要做到真正的全匿名，要用XMR去换TON。

其实上对性能要求高、对技术比较精通的同学可以使用QEMU（一款虚拟机软件），只不过很麻烦（要折腾各种SHELL，搞GUI麻烦得要死。），但是可以解锁某些关键成就（如安装macOS这种要求显卡的系统（虽然VM\VB都可以，但是体验较差。），或者是训练AI这种对性能要求高的任务（基本上用不到））（虽然我不会用，但是……还是不推荐好了）。

仅当你因为不得不用的专业软件/游戏需求而使用双启动/Windows虚拟机时使用。学不会不是不学习的理由。

最好的选择肯定是放弃Windows，但总有原因让我们在特殊情况下不得不使用。尽管如此，我们也不是完全没有办法的，以下是Windows 2016 LTSB（官方精简的企业长期支持版，只有重要的安全更新）的安装到加固流程。大部分操作对其他Windows10版本应该也有效，但是它们本身就足够臃肿了。

下载和安装

需要提前准备的软件/镜像：

win10 2016 LTSB x64

(ed2k://%7Cfile%7Ccn_windows_10_enterprise_2016_ltsb_x64_dvd_9060409.iso%7C3821895680%7CFF17FF2D5919E3A560151BBC11C399D1%7C/)

win10 2016 LTSB x86

(ed2k://|file|cn_windows_10_enterprise_2016_ltsb_x86_dvd_9057089.iso|2817034240|67C3865D03E765BDD4845BA2CB7649F8|/)

Librewolf    WPD(最重要的一个，主要就是这个)

镜像还是很好找的，不过我就直接把ed2k链接丢这了，你用迅雷还是amule都无所谓，反正ed2k是自带校验的。

找个U盘，从rufus.ie下载这个启动盘制作小工具。或者喜欢用PE工具箱的可以考虑下微PE。选择目标U盘，写入我们刚才下载的安装镜像。重启，狂点F2/F12/你的BIOS设置键（请用搜索引擎查一下），将Boot顺序的第一位设置为USB设备或者直接指定从哪个设备启动。

接下来你应该进入了官方默认的安装向导了，一路跟着走即可。

重启完成配置向导，设置时区为协调世界时UTC并选择一个复杂的账号密码，然后喝杯茶，等待30-40分钟让系统自动安显卡驱动和其他乱七八糟的运行库和安全更新。

现在你有了一个干净，但是还没激活的官方精简版Windows 10。

高级配置调整

加固账户登录策略防止暴力破解：打开组策略编辑器，转到计算机配置的安全设置——账户策略，将密码策略中：

    “密码必须符合复杂性要求”改为已启用；
    “密码长度最小值”设置为8个字符；
    “强制密码历史”设置为0个记住的密码；
    “密码最长存留期”设置为“90天”；
    “密码最短使用期限”设置为0天；
    “用可还原的加密储存密码”保持默认的禁用

将账户锁定策略中：

    “账户锁定阀值”设置为10次无效登录;
    ”账户锁定时间“设置为120分钟;
    “重置帐户锁定计数器”设置为120分钟之后

设置本地策略——用户权限控制访问：

    “允许本地登陆”只保留Administrators
    “允许通过远程桌面登陆”全部清空
    “取得文件或其它对象的所有权”只保留Administrators

设置本地策略——安全选项：

    “交互式登陆：不显示最后的用户名”设置为已启用；
    “交互式登陆：登陆时不显示用户名”设置为已启用；
    “关机：清楚虚拟内存页面文件”设置为已启用

设置管理模板—控制面板—区域和语言选项

    “允许输入个性化”设置为已禁用
    手写个性化——“关闭自动学习”设置为已禁用

设置管理模板—windows组件—Bitlocker驱动器加密—操作系统驱动器

    “启动时需要附加身份验证”设置为已启用，子条目保持默认。

这将允许你使用U盘Keyfile在没有TPM的情况下启用系统盘加密，如果有TPM，这也是更安全的选择。VeraCrypt的隐藏加密盘/系统可能并没有什么意义——政府只会认为你肯定启用了这个功能并疯狂折磨你。不如不给自己留后路，一旦遭到逮捕直接毁掉U盘（推荐使用TF卡+转换器，一捏就碎）

接下来打开事件查看器，将各种类型的日志在右侧的“属性”选项卡设置为最小值。

其他

然后运行之前我们下载的WPD一键关闭微软的遥测并添加防火墙规则封锁遥测服务器IP。

安装LibreWolf,然后按照一般的浏览器加固流程加固，也可以用Tor Browser。之后可以去启用和关闭Windows功能顺手卸载IE11和Windows Media Player了。

安装VirtualBox——你不会希望直接在电脑上运行国产间谍软件吧，然后再安装一次LTSB。其他请参见Whonix的安装与中文化(由于本文位于2047，请使用Tor浏览器查看)

激活

使用激活工具安全风险自负。 当然你一直不激活其实也没事，但是有些人就是看不惯水印和不能修改个性化设置。去下载图吧工具箱并解压，里面的Win10数字权利激活小工具可以激活几乎所有的Win10，包括LTSB。

软件

一个大问题是，以上的措施缓解了Windows系统本身的遥测，却不能解决系统上运行的软件的脆弱，所以你仍然应该尽量选择FOSS软件。以下是较为安全的软件名单：

*加粗字体说明你应该使用一个单独断网的保险库虚拟机来安装这些软件，虽然这不能阻止宿主系统的脆弱...

OnlyOffice——MS Office的开源替代品。

Marktext——简单优雅开源的Markdown编辑器，Typora的优质替代。

Sandboxies-Plus——如果你不想用虚拟机隔离软件，沙箱会有所帮助。总比裸奔好不是。

TCP——轻巧独立的全功能Tor控制面板，但使用Tor网络最好的方式永远是直接安装Tor浏览器

KeePassXC——最好的密码管理器，但也务必不要在运行了危险软件的虚拟机内使用

Gpg4win——Windows上的GPG套件，包含GPA和Kleopatra

尾声

显然这不是很高端的措施——任何人都可以做到。这能大幅度缓解Windows的隐私灾难，但对于敏感人士来说GNU/Linux仍是最佳选择，保持谨慎！

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

署名 4.0 协议 (CC BY 4.0) 

您可以自由地：

    共享 — 在任何媒介以任何形式复制、发行本作品
    演绎 — 修改、转换或以本作品为基础进行创作
    在任何用途下，甚至商业目的。

本许可协议为“自由文化作品（Free Cultural Works）”所接受。

    只要你遵守许可协议条款，许可人就无法收回你的这些权利。
-----BEGIN PGP SIGNATURE-----
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=SHxd
-----END PGP SIGNATURE-----

用迷雾通作前置代理不就得了？没有前置代理，Tor的速度你受得了？我是受不了

有传播力影响力才是高价值对象。观点独立不独立倒是其次。这决不是搞学术，非要有创新性，非要与众不同。

网警抓人也分情况。有的是要抓特定对象，某个影响力大的反贼。有的是针对一项舆情，要抓关联的人。后一种情况就是你最好别留下关联的把柄。未必你是始作俑者，但是人家就是要抓一个人去作数，恰好你有关联证据。

所以，不要那么笃定说哪个人对网警的价值是0

网警看不到你用tor，网警不关心也没有必要关心你是不是在用tor……

很多翻墙用户高估了自己对网警的价值，这些翻墙用户没有也不打算也不可能发表任何有价值、有争议的政治言论，不存在独立的opinion。类似于看完电视新闻之后跑到你面前，跟你复述主持人用到的新词。他们对“网警”的价值几乎为零。

但是这部分用户却因为恐惧中共，在加固网络安全上投入了不成比例的精力，这种做法不仅是自己吓唬自己，也吓唬其他人。宣传中共的技侦手段多么强大、多么高明，客观上起到了帮助中共维稳的作用。

我的建议是，翻墙软件足够掩盖tor流量，如果不放心，里面设置obfs4网桥一样可以起到混淆的作用。有兴趣的还可以试试i2p。

Tor团队的开发人手有限，TBB换装Arti还要几年。不过Arti已经发布了1.x版（production ready），Arti的代码库里有官方的Arti+TBB教程： https://crates.io/crates/arti

推广Tor作为普通翻墙的意义是避免形成"网警只要看到Tor就能确定是反贼甚至是编程随想"的局面.
Arti那么好为什么Tor Browser不更换?那个东西只是alpha级别吧?

先用迷雾通翻墙，再用tor浏览发帖就足够了，tor自带的可插拔传输未必比迷雾通安全性更高。

普通人上网，应该多关注社会工程方面的安全，关注网络安全是好事，但也不必对一些安全特性太较真。

真要较真的话，Tor的代码经过十多年的开发已经很难维护了，事实上很多人追求的“安全上网”的根基就建立在屎山上。如果可能的话，可以用Arti（tor团队开发的rust版本）作为tor的替代品。

1.Tor Browser是开源非盈利, 迷雾通是开源盈利, 根据编程随想的说法开源非营利的软件服务靠谱程度要好于开源盈利的软件.
2.Tor Browser本身又是匿名工具, 又是翻墙工具, 更多人用它翻墙可以起到掩护编程随想等真正需要Tor保护的人, 且菜鸟无意中使用Tor Browser翻墙也是对其自己的额外保护, 推广迷雾通则没这个效果.
3.Tor Browser支持更广泛的平台, 比如32位的Linux系统.
因此如有可能, 翻墙都应该尽量推荐Tor Browser.

https://github.com/EtherDream/jsproxy

老项目了，不过确实好用

使用 CloudFlare Worker 免费部署，再用自己的域名指向Cloudflare worker 解决workers.dev被墙问题

Jsproxy +GitHub Pages实现在线代理

VPS自编译教程：https://github.com/EtherDream/jsproxy/blob/master/docs/setup.md

jsproxy 的 docker 版镜像：https://github.com/manooog/jsproxy-docker

官方示例：https://etherdream.github.io/jsproxy/

说得不错。直连2047没有意义，直连翻墙软件官网可以

为什么不先搞个迷雾通？ https://github.com/geph-official/geph4-client/wiki/%E8%BF%B7%E9%9B%BE%E9%80%9A%EF%BC%88%E5%85%8D%E7%BF%BB%E5%A2%99%E9%95%9C%E5%83%8F%EF%BC%89

github的链接现成的啊，发邮件获取干啥？https://github.com/TheTorProject/gettorbrowser

还有TOR的镜像多了去了，https://2019.www.torproject.org/getinvolved/mirrors.html.en ，多找几个先存起来

迫不得已直连时也要注意不要登录或浏览跟自己有关的信息, 而且首先应该确定是否真的"迫不得已".

非常同意。如果不得已直连，千万不要发言。

关于gettor的介绍:https://gettor.torproject.org/
简单来说就是发邮件获取链接, 其中会获取到github和gitlab链接, 由于安全原因我没有亲自尝试下载, 有需要的可以试试看.

迫使用户放弃匿名手段是典型的去匿名手段.
鉴于这两个网站的敏感性, 访问和使用只应该全程Tor, 否则就不要用.

技术角度来看不错。比如当你的翻墙软件都失效了。哪些翻墙软件可以用这种方式下载到呢？

技术角度上不错, 十分感谢分享技术信息.
不过从安全角度上来说我宁愿直连Tor也不愿意去直连2047和品葱等反贼网站.

如果要顺带直连品葱，可以这么写: --host-resolver-rules="MAP 2047.one who.int, MAP pincong.rocks who.int" --origin-to-force-quic-on="who.int"

不需要运行第三方软件，对所有 Chromium 内核的浏览器适用。

• Windows: 在浏览器快捷方式的“属性”-“目标”后加入参数 --host-resolver-rules="MAP 2047.one who.int" --origin-to-force-quic-on="who.int"后，关闭浏览器，使用该快捷方式重新打开浏览器。
• MacOS/Linux: 在命令行使用 ./Chromium --host-resolver-rules="MAP 2047.one who.int" --origin-to-force-quic-on="who.int" 启动浏览器。

原理: --host-resolver-rules 参数指定 2047.one 域名到同样使用 Cloudflare 的 who.int 的 IP上；--origin-to-force-quic-on参数使到该IP的连接强制使用 HTTP3/QUIC 连接，而目前 GFW 目前无法封锁使用 UDP （因为基于UDP，重置攻击是不可能的）的 QUIC 协议，要封锁只能将Cloudflare IP加入黑洞路由，而这就会误伤其他使用 Cloudflare 的网站，比如“世界卫生组织”的网站who.int。

我理解的钢铁雄心的意思是:品葱本身就对Tor限制严格, 而他的攻击让这种限制更加严格, 体现为验证码难度更大, 更容易超时等.
这里有两方面, 一方面是破烂梯子+tor本身就是"慢+慢"组合(梯子好的挂上Tor就不容易超时, 梯子不好又加上Tor就容易超时.), 另一方面我怀疑可能超时等限制也比普通梯子IP更严格.
我这里的多次实测结果也是提示非预期超时之类的.
本站的reCaptcha和hCaptcha就相对容易注册许多(品葱除了这两个似乎还用了cloudflare验证码).

用啥梯子都是tor出口，钢铁雄心的意思不明确，难道他说是用后置代理借tor连接？这种情况下不能视为"用tor注册“

当时是这样的对话(大致意思):

钢铁雄心:品葱被我弄到无法用Tor注册了
消极:我仍然可以用Tor注册品葱
钢铁雄心:那是你梯子好, 梯子不好的直接就验证码加载超时了

TOR的话就无所谓梯子了，你可以再尝试一下

我这里已经无法注册, 不过按照根据消极和钢铁雄心在拜登的讨论, 可能是我的梯子太烂?

Tor自己可以充当独立的DNS服务器, 用端口重定向(端口转发)工具把普通的DNS端口转给Tor的DNS端口就可以了.
https://2019.www.torproject.org/docs/tor-manual.html.en#DNSPort

v2raya最新版编译安装即可

或者配置dnscrypt-proxy

俺的Host OS是Linux，使用场景为直接在Host OS中上网和用双虚拟机隔离上网

Firefox的设置页面可以选择使用Socks5代理时让DNS请求通过代理服务器，但是HTTP（S）代理就不行，DNS请求会直连

命令行下使用一些软件，比如curl、wget，设置http、https或socks5代理环境变量后，DNS请求依然会直连。

俺目前的缓解方法，开启Firefox的DoH，但是墙外的DoH服务器易受干扰；命令行暂时想不到办法。

不过俺更希望能让DNS请求通过代理，或许可以利用，但俺不知该怎么办

是，这四个是公共IPFS网关，但数据存在于所有进行了缓存的IPFS节点上

这一个下载链接不够还多三个。。。。

各位都是戴套上网吗。还要注意防止社工攻击呀。毕竟现在是一个永久保存的时代。

其实是携带大量跟踪器的智能电视

弄错了，抱歉

还在啊。

这年头没有电幕寸步难行。

自费买电幕，比大洋国先进

手机就是新时代电幕。既可以查看信息，同时你的一举一动都被永久记录在大数据里，被用来了解你的历史你的喜好。

我认为原因是C/C++存量代码大，毕竟有过去30多年的积累，rust要短时间“替代C”几乎不可能，很多老项目还会招C++程序员来做。

还有一个原因是人才问题，一代的CTO都是学C++过来的（例如编程随想），他们做技术选型的时候当然愿意选技术更成熟、自己更熟悉的C系语言来做。

从招聘需求也能看出来，传统技术，老项目用C系的多，新技术、新项目用rust的多，例如加密货币、分布式数据库。

我个人认为学C++和学rust完全不矛盾，用过C++以后，用rust的感觉是：真香。而且学rust也可以反过来加深对C++的理解。

楼主如何看待 rust 的排名一直止步在20名？而与此同时它想取代的 C / C++ 却一直雄踞编译语言前三甲？

谢谢分享！

zlibrary官方推荐的是i2pd（C++ i2p），阁下对i2pd有没有了解？i2pd也内置了一个修改版的firefox

https://i2pd.website/

Logo looks evil

没人逼你下载短视频应用啊