最近无非就是上海封城和几个公共安全事件而已，与其说是民心思变，不如说是对这10年来社会毫无进步的失望。对未来的预期变差是真的，但远没有到大多数人活不下去的程度。

更何况中产和脑子活络的底层，还可以走移民这条路，没必要留在国内和共产党死磕。

请先定义什么是“牺牲自由”并举例。

六四事件中的学生得到了相当一部分政治局常委和军头的支持。邓小平在镇压前夕已经预料到自己跑路的可能性，进入北京的戒严部队，也做好了和其它部队交火的准备。换句话说，六四事件差点颠覆掉共产党政权。

邓小平在六四事件只担任中央军委的党职，并不是共产党的总书记，也没有担任任何公职，但是邓小平在六四事件时却强行废除赵紫阳的职务，并提拔对学生态度更强硬的江泽民作为接班人。从这个角度讲，现在的二共领导体系，从六四后推是不具有程序上的合法性的。纪念六四，就是质疑二共的合法性，此事当然是绝对敏感的事件了。

我对楼主表述的理解是：境内部署一批分布式的节点，通过P2P的方式中转流量到境外服务器，以规避地区性白名单。

这样的做法至少有以下几点问题：

• P2P流量无论怎样混淆、伪装，对端的IP总是可见的。如果你的翻墙服务对公众公开，网警就一定可以运行客户端程序，获取境内节点的IP地址。

  由志愿者运行的节点会对志愿者构成法律风险，网警可以很容易恐吓、处罚运行节点的志愿者，让流量无法在境内中转。

• 这种方法无法隐藏境外服务器的IP地址。如果境内节点是由可信的人部署的，那么他们就面临着被逮捕、处罚的危险；如果任何人都可以参与部署境内节点，那么网警就可以运行中转程序，获取境外服务器的IP地址。

现阶段最有效的翻墙方式，我认为仍然依靠密码学方法消除流量统计特征，海量境外IP池避免IP定点封锁，这就离不开中心化部署和运营的服务器。

翻墙本质上是政治问题，而非技术问题，所有翻墙手段都基于【中国离不开西方】这一事实。比方说，中国不封锁域名前置，是因为很多非政治敏感的西方网站也部署在这些域名下，中国要和西方开展贸易、技术交流，就需要这些域名可以正常访问。如果有一天信息封锁升级到全国域名白名单，甚至IP白名单，那什么技术都没有用了。

两级分化可能和胜者全得的选举人团制度有关。

美国大多数州会把所有选举人票分配给该州普选得票最高者，因此一个政党推出的候选人要么拿到全州最高普选票，要么落选。这种制度下即使小党拿到了一定比例的普选票，但只要竞争不过大党，就没有生存空间。

如果把选举人票按普选票比例分配，那么得票不高的小党也有机会瓜分大党的选举人名额，这种制度下小党就可以获得充分的话语权。

不渴不喝的路过……

应对公众媒体是现代政治家的基本素养，江泽民面对张宝华一串提问，语无伦次，恼羞成怒，很明显素质不够格。

膜蛤表面为膜，实质为辱，目的就是解构中共塑造的领导人权威。《怒斥记者》本来就是拿江泽民开涮的段子，结果还真有红小将膜出感情了。

反贼普遍说中国GDP造假，实际早就衰退了.

请先找出“反贼普遍说GDP造假”的证据来，不要虚构指控。

这个，推特质量低……好像不是中文推特的问题吧。

推特又不像微博那样去强迫你关注什么人的帐户，新用户注册以后的默认推送都不错，中文圈里端传媒、CDT、大翻译，以及一众香港活动人士的推文质量也很高。换句话说，你看到什么样的内容，完全取决于你关注了什么人的帐户。

就比如我们的刘大使上班时间看什么黑丝，那是你自己去关注的，赖不到推特头上，对吧。

当然我得说推特的搜索结果确实被黄推污染的挺严重，但是第一推特搜索本来就不好用，第二不关注不就好了。

中国科技的体量在发展中国家中是顶级水平，即使和发达国家相比也不逊色。

世界知识产权组织发布的《2021年全球创新指数》显示，中国的创新指数在2016年进入全球前30名，2019年进入全球前15名。2021年，中国的创新指数排名全球12名，低于法国，高于日本，香港，在中等收入国家组中排名第一。

全球创新指数主要体现创新环境，属于综合性指标。全球创新指数包括监管环境，商业环境，基础设施，信贷投资开放程度和知识型劳动力。

例如，中国的科技公司要采购任何上游设备，绝大多数均可在本地解决，这反映了中国的基础设施和产业链优势，是创新指数的加分项。但同理，中国相对不透明的监管环境则变成了创新指数的减分项。各项综合，中国排名全球12名，既非“全球唯一的完整工业体系”这样厉害，也非“遍地贪污腐败”这样不堪。

中国的R&D经费占GDP比例为2.401%，排名全球13，低于美国，日本，台湾等国，高于法国、荷兰，挪威，也高于其它所有发展中国家。

R&D经费占GDP比例和一个国家的产业结构有关，R&D经费占GDP比例越高，说明知识型产业的比重也越高。考虑到中国的GDP体量，中国的知识型产业体量为世界第二，仅低于美国。

因此中国的科技创业环境不像很多人想象的那么不堪，科技产业的体量确实庞大。

但是从很多第一手的经验看，中国在半导体，精密仪器，医疗设备、高端化学品上仍然非常依赖发达国家的技术，中国目前的科技体量，有赖于庞大的人口技术和承接全球产业链。但是“科技水平”只有一线人员的一手经验，这个指标很难量化，目前也没有见过这方面的定量研究和报告。

如题，听说洗地是底薪+每平米5角加成，多洗多赚，清场是每月定薪+退职补助，固定工资。

缺点是工资被拖欠不敢讨薪，会被其他同事洗地的洗地，被清场的清场。

rust虽然复杂，但看官网上的教程就能学会

rust是系统编程语言，要用rust写出有实际价值的程序，只学会语言还不够，需要有高并发编程/系统编程的经验。比如很基础的进程通信、锁机制、async/await、socket这些都要掌握，否则单线程下只能写出玩具程序。

不清楚楼主的学习阶段，楼主可以自己试着实现一个高性能网站后端，或者网络代理协议（比如geph），如果能写出这样的软件，相信很多公司会抢着要人的。

python也是一门工夫在诗外的语言，python编程不难，难的是应用领域。比如数据科学至少要熟悉numpy、pandas、tensorflow这些包，除此之外还有相应的算法，简单如PCA，复杂如DNN。举个例子，现在的业务需求是训练神经网络，用无人机摄像头识别特定行人并跟踪，那么工程师应该能想到使用哪种技术架构并自己实现之。

对外部知识依赖最少的领域就是前端HTML+CSS+JS三件套了，不需要懂任何数学或计算机系统知识，就可以写出像样的程序。另外，除了网页前端、APP开发也比较容易上手。绝大多数成功的转码经验都是转到这两个方向的。

一下子放开选举，会不会选出个小鲜肉当总统？

这就掉入网评员的话术陷阱了，选小鲜肉当总统有啥不好？很多人都有明君思想，总是想着天降皇上为自己作主，结果李世民没等来，等来了张献忠。

依我看，小鲜肉总统形象好、沟通能力强。民主国家领导人最重要的能力就是沟通能力，有时候沟通能力还会在国家生死存亡关头发挥重要作用。凭这一点，就强过“疯狂宇宙”“通商宽衣”的习近平总书记，换作习总书记，黑土地早被T72犁过二十遍了。

其次小鲜肉总统政治资历浅，折腾不起来。有话云治大国若烹小鲜，又有话云稳定和发展是各方利益的最大公约数，换一个没有背景、四平八稳的小鲜肉当总统，正好国家少折腾、不折腾，人民发大财。换作英明神武的习总书记，一会儿“东升西降”，一会儿“伟大复兴”，结果还没复兴成，自己先动态清零了。

再说了，英雄不问出处。已有的经验证明，年轻男演员当总统无一不是优秀的政治家，反倒是经验丰富的老油条、家天下的山大王遇事最慌、跑得最快。

前后端通吃的话，可以去web设计的freelance网站上注册，接做网站的活，当然懂设计还能进一步提高自己的议价权。如果消费水平低，干一个月阔以玩三个月。

机场这个圈子很乱，做大了有盈利，别人眼红就会举报。你的朋友开机场被抓，很可能就是被同行举报。另外，做机场有一笔不小的现金流，也会被警察盯上，光是为了罚款，警察就有足够的动力去抓人。

如果楼主想做良心机场，那么可以考虑只接受加密货币付款。加密货币的缺点是门槛高，会把很多用户拦在外面，优点是匿名，对于法币付款方式（例如银行卡，第三方支付网关），只要警察有足够的动力总是可以查到人的。

建议和你现实中的同学搞好关系，不要争论这些，因为你和他争论政治观点没有用。

人是很难被说服的，观点交锋到后面就不是为了真理而辩论，而是为了捍卫面子而辩论。双方一旦进入了defensive状态，谁都说服不了谁。

你说服了他，最多也就转化一个人，还费不少精力。你说服不了他，对方反手一个举报，直接社会信用分-8964。

真正有用的讨论是speech，在2047这类公开平台讨论也姑且算是某种speech。你想，你微信群里跟同学怄气，会被举报给网警，在匿名网上说8964反而会有成百上千的浏览量。这样对比起来，在匿名网上发言简直是爽爆了。

网站设计的四项基本原则——网站评点之一

（原载《中国青年报》电脑周刊）

在开始正式评点网站之前，我需要先表明自己的评点标准，提出自己的“网站观”。网站观可以分成两派：一派是先锋派，更注重的是网站的艺术性，重视表面的设计更甚于实质的内容，尽量采用最新的技术，而不管现在还在普遍使用的各种浏览器是否都能支持这些技术。他们要求访问者迁就他们的设计，有的在第一页就预先声明：本网站需要用某某浏览器某某版某某分辨率阅读。那些未达其要求的访问者若扬长而去，对设计者来说似乎是无关痛痒的事。另一派是保守派，更注重的是网站的实用性，尽量与各种版本的浏览器兼容，尽可能多地争取访问者。

我是属于保守派的，如果嫌“保守”不好听，也不妨称为迎合大众的“实用派”，而把先锋派改叫孤芳自赏的“艺术派”。根据实用派的哲学，我提出网站设计的四项基本原则如下：设计简明实用，资料富有特色，内容定期更新，浏览普遍适用。下面再详细地讲一讲这四项原则。

一、设计简明实用。一个装潢精美、漂亮的网站，在访问者第一次访问时，也许能留下良好的第一印象，但第二次访问时，这种印象就要打大折扣，第三、第四……次之后，对设计艺术的印象也就等于零。所以，如果希望访问者能频频回访的话，大可不必在网站的艺术设计上煞费苦心，因为吸引回访靠的是内容而不是设计艺术，何况装潢的精美往往是以牺牲下载速度和浏览器的兼容性为代价的。因此之故，在评价一个网站时，我首先看其设计是否简明实用，而不是是否精美漂亮，值得特别注意的有几点：

1. 不用大量的装饰性图象。现在绝大部分人还是通过电话线拨号上网，为避免这些人等得不耐烦，也为了避免加重网络负担，每一页装饰性图象的总量不要超过40K为宜。能用2色的不用16色，能用16色的不用256色或全色，分辨率也不应超过72dpi。有的网站迎面而来就是一幅大达几十上百K的全色题图，简直就是想把访问者拒之门外。

2. 慎用背景。如果喜欢用背景的话，也应该用浅色的、图案简单的、若有若无的背景，以不影响读者阅读为准。许多网站喜欢用花哨的背景，也有的喜欢用黑色背景，对许多人的眼睛来说，都是难以忍受的。只要想想，世上的书几乎全都是白底黑字，也就不难明白其中的道理。

3. 绝对不用背景音乐。许多人是在上班时间或三更半夜上网浏览的，进入某个网站后突然间乐声大作，是很令人尴尬的一件事。何况网页背景音乐的音响效果都非常差，喜欢边听音乐边浏览的人大可以自己用家中的音响播放。如果是手上有一首绝响不与人共享于心不忍，那也应该让访问者有选择是否播放的自由。

4. 少用或者不用Java。我这不是存心跟SUN过不去。我承认Java有许多其他用途，我也承认若在网页上执行某些复杂的功能时也许Java有其优势，问题是，绝大多数的网站使用Java，不过是用来执行发布公告、更换图标、简单检索之类的简单功能，用Javascript或perl可以执行得更快、更好，用Java反而容易出错乃至导致死机，即使执行顺利，也要整台机器都停下等着它下载、执行（至少在我的机器上是这样的），令人难以容忍。有的人误以为在网站上使用Java可以让人觉得“很专业”，其实完全不是那么回事。会自己编写Java程序也许算得上专业，但是这些在网上使用的Java小程序到处都有现成的可抓，没有人会因为你用了它们就觉得有什么了不起。

二、资料富有特色。目前中文网站似乎有一种追求“大而全”的倾向，以为如果无所不包、面面俱到，就能吸引最广大读者。这个如意算盘本来也打得不错，但是在已有了许多大而全的网站之后，再加入你一个，又能有什么效果？何况许多网站的框架固然搭得很“大”，“全”却是未必的，毕竟不是人人都有那份精力。所以，在评价一个网站时，我更注重资料的“特而全”，先选一个还很少见的主题，然后再尽量地收集与之相关的资料。这样的网站，更有存在的价值，也更能拥有一批热心的读者。可惜在这方面，中文网站做得实在不够，举例来说，世界闻名的外国古典诗人都有一个或数个内容翔实甚至颇具专业性的网站，而我至今还没见到有屈原、陶渊明、李白、杜甫、苏轼的主题站点。

三、内容定期更新。做网站不是一锤子买卖，心血来潮做完了就可以从此弃之不顾。这个信息社会日新月异，有责任心的网站管理员应该随时删除过时的信息，增添新的内容。大型的网站应该一、两天更新一次，中型的网站应该一、两个月更新一次，小型的网站应该一、两季度更新一次，至少那些已过时的链接应该即时删除、更换。

四、浏览普遍适用。国内的网民也许都已经被IE征服，所以国内的网站基本上都是按IE的标准设计的。但是海外的网民大部分仍坚持使用Netscape。所以，网站的设计，应该同时兼顾这两种浏览器，而且不能只根据最新的版本设计，还要顾及前一个版本。那些只有某个浏览器或最新版本才具有的功能，就先不要使用。指定访问者使用某个版本的某种浏览器是很令人反感的，而更令人反感的是，有的网站竟然还要求访问者先下载特制的浏览软件才能阅读其网站。在这么做之前，不妨先想想：你的网站的魅力是否强到这种程度，读者乐意于为了阅读你的网站而特地去安装一个软件？

既然这四项基本原则还未被载入“网络宪法”强制执行，而且网站的连接速度也与访问者的所在位置有关，那么，在开始评价特定的网站之前，我觉得应该在本文的最后向读者交代一下我所在的位置和使用的操作系统及浏览器：我是在美国加州南部，用英文版视窗95和Netscape4.5上网的，外挂中文之星2.5阅读国标码，外挂南极星阅读大五码。

1999.3.13.

实时保供、及时保供、“统筹”保供……虽然这种事在意料之中，不过希望我们永远不要对不公正麻木。

感谢你的分享。

这次防疫运动确实与文革和大跃进有很多相似性，共同点是政治运动之前，言论环境的封闭和倒退；政治运动之中，自上而下的KPI体制，各级为了最小化责任，层层加码完成行政目标。

这次防疫运动中清零责任类似大跃进中的KPI：中央落实到省，省落实到市，市落实到区，党政负责人作为责任人，完不成清零指标就撤职。压力传导到社会的末梢，就会出现全楼隔离，入户消杀等等惨状。

我不认可“上面本意是好的，都是下面执行的错”这种说法，这种指令式的、压迫式的系统，本身就是制度之恶。这种制度下，官吏为了完成KPI变得残忍、无情、暴戾。民众在极权的压迫下变得怯懦和沉沦。温家宝曾经说过“政治体制不改革，文革还会卷土重来”，现在深以为然。

首先需要明确“美帝国主义亡我之心”当中的“我”，指的是中国共产党，而非文化和地理意义上的中国。

50年代末，毛泽东为了应对美国的和平演变理论，提出了“美帝国主义亡我之心不死”的口号。毛之后，历代中共领导人都把和平演变看作头号外部威胁，因此这个口号背后的执政理念一直延续到今天。

需要说明的是，和平演变理论是杜勒斯在若干次非官方演讲和论文中提到的，和平演变理论从未进入美国政府的官方政策。美国的政策圈认为，随着西方思想的传播和中、苏、越生活水平的提高，和平演变是必然，而非人为推动的结果。

感觉这篇笔记很有意思。提及中国传统乡村的治理，人们的刻板印象通常是宗族社会、皇权不下县。秦晖的研究揭示出传统社会的原子化要比想象中严重的多，编户齐民的吏治帝国才是传统的常态。

我突然联想到，“皇权”不下县，正是民国时期的常态，民国时期可能是中国历史上少数中央权力难以触及到基层的时代。

有一点问题，即楼主认为这里“过程的公正”是指什么？

我注意到中国古代土地兼并和资本的扩张有某种相似性。小企业（自耕农）资产规模小，缺乏抗风险能力，遇到危机不得不出售资产（土地），由此总是会随着时间推移，资本或土地集中到少数人手中。

49年的解放军大概率会：

• 在朝鲜战场上堵枪眼、举炸药、冻成冰雕连，供全国人民作为榜样学习。

• 从朝鲜战场上回来，三年吃了个大饱。

• 好不容易没撑死，接下来十年健了个大身。

49年解放军的后代还有可能赶上：

• 90年代全民大就业。

• 2020全民大保健。

@natasha #185760 是的，好多政治学入门科普，国外译本翻译质量差，国人作者的科普又大多夹杂中共意识形态。这本书讲得通俗易懂，查了一下作者李宇晖应该是这位

https://ecdm.fandom.com/zh/wiki/李宇晖

看作者的介绍是美国加州大学政治学在读博士，属于新一代“民运”（非贬义），可惜知名度不高，网上没什么资料。

这篇文章真的挺不错的，我觉得哪怕看50%都受益匪浅。

标题感觉起的不太好，“给孩子看的政治学”这样的标题会让人低估正文的信息量，其实政治常识大约99%的成年人都未必了解。

这里的重点难道不是

应检尽检、应隔尽隔、应收尽收、应治尽治

如果不说出处，我还以为这话是陈全国同志讲话稿摘录出来的。

几年前高压治理、网格化管控措施在边疆试验成熟，将来一段时间这些措施就会借着疫情管控推广到内地和中心城市。

你说的这种技术已经有了，叫做反爬虫字体，简单来说就是自己定义一套CSS，网页中实际的字体编码则是私有编码（不仅是私有编码，还会定期更换，加大爬取难度）。网页渲染的时候，根据私有编码画出文字，爬虫只能爬到乱码。

另外是否有人了解商业公司训练和部署一个覆盖全国的用于文字识别的神经网络至少要多长时间？

OCR的准确率没有想象中那么高，特别是文字存在排版、有干扰的情况下准确率更低，达不到实用水平。如果一定担心OCR，在图片上划一些线即可，做法类似验证码。

我的建议是不要想着去和国内的审查系统做斗争，普及便易的翻墙手段才是王道。无论开发出怎样的混淆方法绕过机器审查，最终都过不了人工审查这一关。换句话说，你的战友能看懂的，审查人员也能看懂，更不用说审查方还可以用事后惩罚等措施无限推高发言的机会成本。

看 https://2047.one/t/16445 有感

分三个问题：

一、

中共计划在2025年完成全国各级应急广播系统及平台建设……在有网友质疑该系统，是不是为了以后断网做准备的？

这位"网友"想得太多了，应急广播系统是很基础的民防设施，不必什么都和“中共作恶”挂钩。

请见美国的紧急广播系统，必要时候会掐断民用广播（含短信）向民众报警

https://zh.wikipedia.org/zh-hans/紧急广播系统

此广播系统最著名的事件就是2018年夏威夷导弹虚警

二、中共是否闭关锁国？

不好说。中共的最高利益是保证政权的连续性，如果闭关锁国有利于中共的存续，那么中共就会这么去做。

需要知道，中共不是铁板一块，它是一个权力寻租和官员效益考核的缝合体，这其中既包含习近平/赵家人的利益，也包含权力机器上大大小小官员的利益。或许有些高层很享受定于一尊的感觉，但闭关锁国对其它各方利益都是重大打击，是否闭关锁国要看两方博弈的结果。

我个人认为中共在政治和文化上会愈加封闭，体现在盲目自大和排外；经济上的开放程度基本不变，以国内市场绑架西方利益；在人才流动上会只进不出，尽可能吸收西方国家一批中高层华人带着技术和管理经验回国创业（例如最近的GPU创业潮）。

三、假如闭关锁国，中共是否会掐断互联网？

当然会，都闭关锁国了，难道留着互联网方便大家起事不成？

详细内容参考hCaptcha官方文档：https://docs.hcaptcha.com/

本文可作为教程和文档的补充。

使用hCaptcha前需要注册账号，注册完成后，会得到两个令牌

• 一个令牌叫site key，是32个字符的uuid。site key放在前端，也就是需要插入到显示验证码的网页上，因此是可以公开的。

• 另一个令牌叫Secret Key，是40位的16进制数。Secret Key放在后端，不可公开。

部署hCaptcha分两步：

1. 在网页上插入hCaptcha控件，这段代码负责显示hcaptcha控件。比如说你希望在个人博客的评论区上添加验证码，就把这个控件放到发布按钮附近。

2. 在服务器代码上部署后端验证代码，这段代码会把用户的验证码递交给hcaptcha服务器。比如你希望别人发布评论的时候填写验证码，就把后端验证代码添加进发布评论的逻辑里。

在hcaptcha验证过程中，存在三方：用户（填写验证码的人）、网站服务器（你要部署hcaptcha的服务器）、和hcaptcha的官方服务器。hcaptcha的工作流程是：

1. 用户填写验证码；

2. 验证码上传到网站服务器上，上传的内容称为Response；

3. 网站服务器把Response和自己的Secret Key一起打包，发送给hcaptcha的官方服务器；

4. hcaptcha的官方服务器把验证结果发送给网站服务器；

5. 网站服务器根据验证结果，决定是否放行。

6. 在网页上插入hCaptcha控件

1.1 首先在网页上引入hcaptcha脚本：

<scri src="https://js.hcaptcha.com/1/api.js" async defer></scri>

1.2 然后在欲展示验证码的位置，插入以下html

<diw class="h-captcha" data-sitekey="your_site_key"></diw>

（这里把script写作scri，div写作diw，防止被WAF拦截）

这里可以随意插入html，但必须满足以下三个要求：

1. 必须包含“h-captcha”的类名；
2. 必须包含“data-sitekey”的属性，属性值是你的site key；
3. html内部必须是空值（在这里，div块之间不能有内容）

做完以上两步后，hcaptcha脚本就会自动在你的网页中插入验证码控件了，无需其它操作。

1. 在后端引入hCaptcha验证

2.1 在用户提交请求时，携带Response

这需要修改提交请求的表单，因后端程序不同而异。

2.2 向hcaptcha服务器发起请求。

现在，后端需要打包Response和secret key，向hcaptcha服务器发起请求。

不同的后端语言，发起请求的方式不同，官方给出的例子是curl：

curl https://hcaptcha.com/siteverify \
  -X POST \
  -d "response=CLIENT-RESPONSE&secret=YOUR-SECRET"

hcaptcha的官方服务器返回的是json，取里面的“success”字段，如果是true，即为通过，反之不通过。

Python的例子如下（使用request）

def verify(secret, response) -> bool:
    # 用request发起post请求，表单数据里有secret和response两个字段
    r = requests.post('https://hcaptcha.com/siteverify', data={
        'secret': secret, 
        'response': response
    })
    
    # 从json里读取success字段
    valid = json.loads(r.text).get('success')
    if valid:
        return True
    else:
        return False

Rust语言的例子如下（使用Reqwest）

/// response: 前端提交的验证码
/// secret: secret key，需要保密
pub async fn verify_captcha(response: &str, secret: &str) -> Result<bool, std::io::Error> {
    use serde_derive::Deserialize;
    
    #[derive(Deserialize)]
    struct Response {
        success: bool,
        challenge_ts: String,
        hostname: String,
        error_codes: Option<Vec<String>>,
    }

    const URL: &str = "https://hcaptcha.com/siteverify";
    let form = [("response", response), ("secret", secret)];
    let client = reqwest::ClientBuilder::new().build()?;

    match client.post(URL).form(&form).send().await {
        Ok(resp) if resp.status().as_u16() == 200 => match resp.json::<Response>().await {
            Ok(r) if r.success => Ok(true),
            _ => Ok(false),
        },
        _ => Ok(false),
    }
}

在后端逻辑中加上上述的“verify”函数，就可以使用hcaptcha验证码了。

2047是否打算用B2或者Amazon S3之类的云存储备份？

我觉得自焚这个问题争来争去，到底还是没跳出中共的舆论陷阱。

我并不是鼓励或者赞同自焚，但是在历史上，自焚作为一种最极端的抗议与表达诉求的方式，明明很正常好吧？60年代南越僧人释广德自焚抗议吴廷琰政府对佛教徒的打压。照片传出以后震动西方，间接导致吴廷琰政府垮台。

另一些自焚抗议的人例如西藏藏人，最近十年来一直有藏人用这种最痛苦的方式抗议中共对藏人的迫害。还有70年代的乌克兰人奥勒克萨（Oleksa Hirnyk），自焚抗议苏联当局对乌克兰文化的打压。近期的如2020年俄罗斯女记者伊琳娜，在俄罗斯政府门前自焚抗议当局迫害新闻自由，这个事件有摄像头全程录像，过于惨烈我就不放了。

再次声明我并不鼓励或者赞同自焚，只是需要指出以极端手段结束生命来抗议，从古至今一直存在，从历史上看这是很正常的现象。古罗马政治家卡托切腹，经过缓慢而痛苦的死亡表示对凯撒的抗议，日本古代也有类似的腹谏，武士切腹以死明志，表达对领主的抗议或挽回名誉。

把自焚和邪教挂钩本身就是一种宣传战，你无论承认或反驳，都中了宣传的套路。就算真的有人自焚，我认为这和藏人一样，只是一种极端的抗议而已，和所谓的蛊惑、洗脑并不挂钩。

最后说回自焚事件的真实性本身，共产党主动烧人或者法轮功“教唆”自焚的可能性都不大，毕竟法轮功教义禁止自杀。我认为这件事情小概率是法轮功教徒自发行为（类似藏人抗议），大概率是共产党方面作假。法轮功方面针对自焚事件提出了很多疑点，相对有理有据，如果这些疑点不能合理解释，我更倾向作假这种解释。

这些难民不是盲流，他们在战争爆发之前也有自己的生活。你看不上的难民，很多原来也是公司白领，学校老师，过着朝九晚五的小日子。他们都是有自己梦想的人，他们有的还想着努力工作，攒钱在基辅安家。

但是战争让他们无法生活。那些把孩子辛苦养大的父母，正期望给他找个好大学，但是陪伴孩子十几年，抵不过俄军的一颗子弹；那些努力工作的小白领，正欢天喜地的搬新家，就看着自己的房子在火箭弹前化为乌有。

这个女人几天前还做了美甲，和你的邻居、家人、朋友没有任何区别，几天之后就变成了街头的尸体。

所以这些过着平静生活的人必须要逃亡，就算抛下自己打理了几十年的家，也不得不做难民。

我真心觉得你们大国人讲话多积一点口德，不要看见难民两个字就一脸鄙弃，多想想如果自己换到这个位置会怎样？某大国真的就以后保证不出现这种事情？他们和你一样也是有自己生活的人，也有做人的尊严，不是养猪场一样的对待就能打发的。

当然有些大国人本来就非常热爱猪圈，觉得人就应该和猪一样管起来。某些大国人不仅认为自己是猪，还觉得全世界其他地方的人也不要做人，最好来和他们一起做猪，这样世界就完美了。

Cloudflare免费版提供不计上限的DDOS防护，几乎可以拦下100%的网络层DDOS攻击。然而，如果服务器的配置很差，那么即使是流量很小、不足以触发Cloudflare防护的HTTP DDOS攻击也可以使服务器宕机。

这里介绍一种防御HTTP DDOS攻击（也叫CC攻击）的方法，用Nginx的限速功能，拦截绕过Cloudflare的漏网之鱼。

Nginx使用漏桶算法限速，漏桶算法把传入请求看作往桶里注水，桶会以一定的速度往外漏水（放过合法请求），漏桶自身也有一定的容量，可以承受突发的注水（接受突发请求），如果桶满水就会溢出（拒绝超出限制的请求）。

Nginx使用漏桶算法限速用limit_req_zone和limit_req这两个指令。一个和cloudflare配合使用的例子如下：

http {

    limit_req_zone $http_cf_connecting_ip zone=my_limiter:20m rate=2r/s;

    server {

        limit_req zone=my_limiter burst=30;

    }
}

limit_req_zone指令的用途是分配内存，对每个来访问的IP，记录其一段时间内的访问次数，因此这个指令必须放在http块里。上面指令的意思是，设置一个新的限速器，命名为my_limiter，占用内存20MB，此限速器可接受的最大访问频率为每秒2次。

因为服务器套了cloudflare，所以nginx看到的是CF的IP，而不是用户的IP。cloudflare会把用户的IP放在cf_connecting_ip请求头里，可以用Nginx变量$http_cf_connecting_ip表示从http请求头中获取用户IP，对每个用户的IP进行限速。

注意这里的IP以文本形式记录，因此会浪费一些空间，不过20MB的内存足以支持数万的IP连接。

limit_req可以放在http、server、或location块里，表示指定该区域的可接受的突发请求速率。

nginx会把拦截的请求写入error.log，可以在日志看到nginx的拦截记录，被拦截的请求不会交给后端处理，而是返回503错误。

这样的配置足以防御一些小型的DOS攻击或者高频爬虫。

很多墙外匿名站出于安全的角度，使用CDN隐藏真实IP，不幸的是有很多方法可以绕过CDN。

IPv4的总数是有限的（42亿个），网络上有很多扫描器在一刻不停的扫描，一天就可以过一遍全网IP。如果网站没有做好防御，这些扫描器就会找到IP地址上面对应的网站。很多扫描器的数据甚至是公开可查的。

幸运的是，只要做足防御，就完全不用担心源站IP泄露。这里科普一下防止源站IP泄露的方法。

设置防火墙

cloudflare会提供回源IP的名单，见https://www.cloudflare.com/ips/。我们要做的就是把这些IP全部添加进防火墙白名单。

这样除了cloudflare，其它一切ip就都没法连接服务器的https端口了。

防火墙白名单的具体规则是：

1. 默认拒绝所有的入站IP。防火墙的拒绝模式有reject和drop两种，reject会明确返回一个拒绝信息，drop则直接丢弃入站包。我们要选deny而不是reject；
2. 允许cloudflare的IP地址，从443端口连接服务器；
3. 允许任意IP连接22端口，这是为了能SSH连上服务器。SSH加固是另外一个话题，这里暂且不提。

本文这里没有用防火墙限制出站连接，如果对安全有需求，也可以禁用所有的出站连接。通常而言，对入站规则做设置就足以防止IP扫描了。

我通常用的防火墙是nftables，在debian/ubuntu系统上，可以这样设置防火墙：

(1). 安装nftables

sudo apt install nftables

(2). 编辑nftables文件

sudo vim /etc/nftables.conf

然后写入如下的配置文件

flush ruleset

table inet firewall {
    chain inbound {
        type filter hook input priority 0; policy drop;
        ct state vmap { established : accept, related : accept, invalid : drop }
        iifname lo accept

        ip saddr {
            173.245.48.0/20,
            103.21.244.0/22,
            103.22.200.0/22,
            103.31.4.0/22,
            141.101.64.0/18,
            108.162.192.0/18,
            190.93.240.0/20,
            188.114.96.0/20,
            197.234.240.0/22,
            198.41.128.0/17,
            162.158.0.0/15,
            104.16.0.0/13,
            104.24.0.0/14,
            172.64.0.0/13,
            131.0.72.0/22
        } tcp dport { 443 } accept

        tcp dport 22 accept
    }

    chain forward {
        type filter hook forward priority 0; policy drop;
    }
}

上面这个配置文件会：

• 默认drop所有入站包
• 默认drop所有转发包
• 默认接受所有出站包
• 接受所有来自cloudflare ip地址，向443端口建立的TCP连接
• 接受全网IP向22端口连接
• 允许本地环回上的连接（数据库和Apache等服务器需要）

(3). 最后保存配置并刷新

sudo nft -f /etc/nftables.conf

输入sudo nft list ruleset，如果显示上面的配置文件，就说明保存成功。

对nftables不熟的朋友，也可以用Ubuntu自带的ufw建立防火墙，安全性是一样的。

# 启用ufw
ufw enable

# 允许所有出站，禁止所有入站
ufw default allow outgoing 
ufw default deny incoming

# 允许22端口
ufw allow 22

# 允许cloudflare ip地址连接443
ufw allow from 173.245.48.0/20 to any port 443 proto tcp
ufw allow from 103.21.244.0/22 to any port 443 proto tcp

# （以下略）

打开cloudflare的客户端验证

按照上面的方法，就可以100%防止IP扫描。不过，黑客可以向cloudflare works上传脚本，利用cloudflare的IP地址去扫描。这种攻击形式很少见，不过，为了防止这种形式的探测，我们还要打开验证CF客户端证书。

具体而言，需要打开nginx配置里的以下选项：

ssl_verify_client on;
ssl_client_certificate /xxxxx/cloudflare_certificate.pem;

最后，需要让nginx拒绝无效请求，打开以下选项

ssl_reject_handshake on;

但是需要注意，最后这个指令只在1.19.4以上的nginx版本可用，你可能需要自己编译nginx。

其它注意事项

除了ip扫描，如果网站在配置CF前已经有了DNS记录，那么从这些DNS记录也可以匹配到源站IP。如果是全新的服务器，在配置完成之前，一定不要连上公网。