@123zsr123 #63 我之前用的 xorgxrdp 做服务端（没有两台 win，一台 win，一台 linux ），看来是它的问题，刚才又用 win 做服务端，freerdp 客户端，确实效果好很多，特效全开也基本没有延迟，带宽占用最高才 50Mbps，GPU 占用最高也是 30%，看视频是够了，对于游戏来说还是太高了，但已经比那些所谓的游戏串流软件要好多了

@opentrade #58 我看了全文，根本没提到解密的事情，你想反驳什么直接说好吗，不想争辩就别回了

@opentrade #55 我一直在强调 nonce 是用来防重放的，你给的链接里也是这么讲的，还要争辩什么？

@ysc3839 #34 千兆局域网，不是网络问题，我用 iperf 做过双向测速。vnc 和 rdp 都是以图片形式传输的，不是视频流，其实就相当于在检测到画面变化后截图然后发送，因为这两个协议本来就不是设计来传输不断变化的画面的。然后还要对图片压缩，这部分是用 CPU 完成的，虽然支持以不压缩的形式传输，但以图片形式传输视频内容的效率还是太低了。

@BeautifulSoap #48 我当然尝试过为游戏串流设计的软件，比如 Parsec 就是，但这些软件本身占用跟一个大型游戏差不多，还能干别的吗，所以我上面还写了低占用。 我现在用的 2080，换 3090 估计就没问题了……

@opentrade #36 你对非对称加密有什么错误理解吗，公钥都能打错，我觉得你是没有研究过相关问题，就算被中间人攻击了，私钥也是绝不可能泄露的，因为根本不会以任何形式传输私钥。如果私钥都泄露了，那说明都不是中间人攻击而是服务器被攻破了，这时候有没有 nonce 有什么区别。

如果中间人只是监听内容，那么确实没办法解密连接建立之后的内容，因为所有内容都通过公钥加密，只能通过对应的私钥解密，但协商阶段的数据是明文的，在不知道服务器公钥的情况下，你是无法验证服务器发送过来的公钥是原来的还是被中间人修改后的。

如果没有 nonce 或者 nonce 是固定的，那中间人就能把截取到的内容原封不动得发送到另一台服务器，所以 nonce 是用来防重放的，不是用来防解密的。

我有 3 台 HDR400 的显示器，明确告诉你，这玩意就是智商税，开了比 SDR 还难受，不信你去搜搜 HDR400 的评价

@opentrade #14 其实我一直在找一个能在局域网内远程操控的工具，要求低延迟、低占用、支持 4K，但我尝试了包括 VNC 、RDP 、Parsec 、NewTek NDI 在内的各种解决方案，没有一个可以做到，不知道 RustDesk 能不能做到？

VNC 和 RDP 不支持 GPU 加速，画面变化大的情况下跟看幻灯片似的； Parsec 支持 GPU 加速，但占用太高，2080 编码、2060 解码，跑不动 4K，1080P 倒是没问题；唯一能做到低延迟、低占用又支持 4K 的只有 NewTek NDI，但又不支持操控，另外它能做到低延迟、低占用的原理是直接传输几乎未经压缩的视频信号，带宽占用很高，至少要保证 400Mbps 才能稳定传输 4K 画面，虽然局域网都是千兆的了，但中国的家用宽带上行速率普遍捉急，不适合远程使用。

目前的解决方案是 barrier + 多显示器，没延迟、没占用、支持 4K 、自由切换，缺点就是浪费一个显示器。

@opentrade 只拦截到某一请求不叫中间人，叫缘分，nonce 是用来防重放的，防不了中间人，中间人能监听、拦截、修改、伪造所有请求，加 nonce 有啥用

@yanqiyu #17 ForwardAgent 默认是 no

ssh -v 看一眼好吗，发了什么数据都写着呢，你使用的客户端的信息，支持的加密方法，你的所有公钥，你的 ip 地址等等信息都会被发送

翻译得真烂，还是好多年前的，这种三手文章还是别看了。

TLS 最高支持 1.2，1.3 还没加入。

就算是 ssh，当你第一次连接 ssh 服务器时，由于你不知道服务器的公钥，所以也没法确定你连上的服务器是真的，如果是假的服务器，而你又用密码验证的话，那你的密码也会泄露，所以请使用证书验证。

但问题是中间人攻击多麻烦啊，被中间人攻击了说明从你家到服务器间的网络至少有一处被攻破了，你觉得是运营商的网络被攻破的可能性大，还是你家或者公网的机器被攻破的可能性大？与其想着中间人攻击，倒不如加强公网机器的防范措施

这跟 windows terminal 有啥关系呢？现在 windows 都内置 openssh 了，ssh 上去 echo public_key >> .ssh/authorized_keys 多简单

从来没碰到过这样的，我卖东西都先看一眼买家的评价的，明显是贩子直接关闭交易

@PMR #4 DNSSEC 和 SRV 记录并没有关系，只是顺便一提

不过更安全的办法是 url 里带个会过期的 token，中间做个鉴权，直接访问文件一但路径泄露就没办法了

只要你没做任何映射，没开列出目录的功能，没在任何地方泄露这个地址，那么攻击者除了穷举没有别的办法得知这个地址了

@elfive #1 校验代码没有充分考虑边界，做了画蛇添足的事情，要改不过是改个正则或加个判断的事情，有什么技术不能解决的

不如直接把随机端口设高点，我是都设置了 50000 以上

https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/default-dynamic-port-range-tcpip-chang

隔个三五年再来看这些小公司，有几家还活着的，面多了就无所谓了，相亲讲究门当户对，找工作也一样，牛逼的人根本不会去小公司面试，都是普通码农，谁也别瞧不起谁。

你要是觉得膈应，下次被问烦了就问面试官，贵司有几个 985 211 ？贵司研发部门有多少人在大厂待过？贵司在业内的知名度如何？