巨人城刷箱子可给我整破防了...
今天降温了，有点冬天的气味。
走在上班路上的时候，就想起初中早上偷偷打游戏，打完才去上早读。
也是一样的凉风，一样的气味。
小目标我也有，可是更多的时候，还是想回到以前的日子，再过两天就好。

想挑战一下的话，直接转信息安全行业呗。
目前还是非常缺人的，去深圳 or 北京，10k 以上是基本水平。而且不是非常看学历，专科都大把。
有安全运维的经验，好好学一下渗透、应急响应，找工作不难。跳去专门的安全公司，薪资会有大提升。比如 360/奇安信 /长亭 /绿盟 /天融信，或者去小公司，比如某些安全服务 /安全运维公司。
不过要权衡一下工作强度和生活成本。深圳这边，一个人的房租可以到 3.5k ，算上吃饭钱，已经高于你目前的 4.5k 了。也许工资涨了，能落进口袋的，还真多不了多少（笑）。
都是围城，乙方想去甲方养老，甲方想下海捞钱。

惊了，这种程度的 SEO，吊打菠菜私服的那些黑帽 SEO 。
菠菜顶多是特定关键词的结果里面出现几条。这个直接是大量的关键词里面整页出现。
你要知道菠菜和私服，每年做黑帽 SEO 都是花上千万甚至上亿的。放在以前都敢黑 zf 站挂暗链。
做这个的技术团队肯定是发明了什么新的 SEO 手法。居然只用在广告联盟上，我都替他们可惜......

是的。
在 windows/andriod 开发，或者说 X86 架构下，这一点性能开销无伤大雅。
但是在性能受限的嵌入式开发，就会影响到硬件选型或功耗设计等等。
例如 esp8266 之类的芯片，大量的 https 加解密，是可以把 cpu 和内存跑满的。
很多芯片，会专门设计一个 AES 加解密的协处理器，专门用于这一类工作，也就是“硬解”。

无法防止。
重要的校验和限制，应当在服务器端完成，应当默认将客户端的所有输入都是不可信的。
即使是 https，也可以通过加自定义证书来实现中间人攻击。其它的什么验证码、token 也有办法绕过。
信息安全里面的 web 渗透测试就是研究这个的。
lz 可以去网上找几篇 burpsuite 和通过 burp 证书分析 ssl 流量的文章看一下。嗷，还有如何自动抓取 token 做爆破的。

即使最垃圾的固态硬盘，只要不是杂牌黑片，带来的提升也是软件如何优化也做不到的。

e480 的 typec 是不是 usb3.1 gen2 的，是的话，弄个外接硬盘吧。
虽说跑不满高级固态的连续读写速度，但是跑满 4k 读写还是没有问题的。
最影响使用体验的，恰恰也是 4k 性能。即使接个 sata 的固态，提升也很明显的。
用的时候，正常的磕碰，固态硬盘不需担心。别把线碰松就好。

谈对象了吗？找个知心朋友或者谈个对象，压抑的时候聊聊天吹吹水，会好很多

关机的作用不大，笔记本里面的电池是一直连接着的，而且主板上也有纽扣电池。所以主板是一直通电的。
这个时候该烧的元件已经烧了，最有效的补救是：尽可能吹干。
因为相较于短路的元件，被大面积腐蚀的元件会更难修。
确定吹干之后，就可以开机了。如果开不了机，尽快送修，拖的更久，腐蚀会更严重。

@scanjx 国内立法搞安全，搞等保，重视程度 ok 。但是中国特色太过浓重，做等保测评、防火墙设备的那一批厂，赚的盆满钵满。
门槛是资质，比如搞等保的。其实就是派个毕业实习生，扛着扫描器去扫一个晚上，扫出来的漏洞修复一下，就可以把等保糊弄过去。一个实习生一天可以跑 3 家公司，每家都能收费好几万。
实际上，扫描器配置是否正确，漏洞库是否更新，没有人 care 。
不过到底有没有用呢？还是有的。亲身体会，这几年做医疗、高校的渗透测试，比之前难不少。要是没有等保，他们的数据基本上任挑任选。
道路是曲折的，还是希望这个早点发展起来吧

@scanjx 所言极是，我上面说的不太准确，原意应该是“捅出来的事情少”。像国外，但凡有一个勒索都是满城风雨。国内这种情况不多见，所以大家也不甚重视。
只要不发生事故，安全水平就是薛定谔的猫，有没有效领导也不知道，全看主管的 ppt 水平。
这种情况在 zf 部门非常常见，他们的安全水平一言难尽，但是仗着自己是官家，不担心黑产盯上。只要天天换着法买安全设备，搞攻防演练，戏就演的很漂亮。

@zcwlwen 不是，是个很小的公司

做渗透测试，打过金融、地产、能源、制造业。
金融大多是做的真好，其他基本上都打得进去。

在某一线城市做信息安全咨询业务，主要面对中型私企和国企。
可以很干脆的说，除非外企 /特大企业，其他地方完全没有做过，甚至考虑过零信任。
其实只要：
1 、有安全设备，同时能正确部署配置，日常有人负责监控（大多数公司都有，但都是摆设）。
2 、网段之间有规划，端口、服务、smb 什么的有隔离。常见漏洞（如 ms17-010 ）打了补丁。
3 、有计划性的漏扫、渗透测试。
就吊打 90%公司了。
其实很多企业都只是在乎法律合规，真正的信息安全，是不大在意的。
归根结底还是国内大环境比较好，攻击事件少。攻击成功的也就是悄咪咪把数据买了，很少捅到明面上。大家都属于相安无事好好过日子的情况。

冷知识：
M$把窗口的拖动分屏申请了专利。
（在 LTT 的视频里面看到的，至于具体的专利文档，我没去考证）

信息安全行业欢迎你。
溯源排查，应急响应，重保值守更加刺激，就是耗头发。

关于 CTF 刷题有没有用，因题而异吧。
之前接触的一些国家主办的赛事，题目基本上是 10 年前的那种风格，考点也是现在用不到的。那种比赛，说实话是拼学校实力，你懂的: )
至于企业举办，或者高校战队自行举办的，质量会高很多。题目考点也会贴近实际生产应用。基本上是源于生活高于生活。
不过确实也有不好的风气，就是内卷。比如 Web 安全的题目，现在已经到了离谱的程度，考的和福尔摩斯探案一样，一环扣一环。和实际生产生活严重脱轴，我估计 ACM 也有这个情况吧。
不过话说回来，CTF 还是入门信息安全最快的方法之一。基本上所有要用到的知识点，CTF 赛题中都有映射。做培训什么的，课程设计都是靠 CTF 做实操。总体来看效果很好。
不过能不能理解背后的原理，化为己用，还得看个人的悟性。

大家都在讨论 ACM，我作为前 CTF 选手扯一下 CTF 。鉴于 CTF 还比较冷门，门槛会高一点，因为获取知识和进行训练会相对困难一些。
其实大学的时候，挑大一新生，大家关注的都是有竞赛经历的，最好在上大学之前就有过省赛、国赛获奖。
虽然这么说不太好听，但是赛队的老师和学长学姐，是不太 care 零基础新生的：两三年时间，从没有竞赛基础，到能打国赛，基本上是不可能的事情。我确实见过能做到的师兄，但那是凤毛麟角。大多数人只能停留在入门阶段。
所以不做基础知识的培训，可能只是老师的选择罢了。我们之前运营战队的时候，也是新生入学就广撒网，但是后面只挑本身就技术过硬的重点培养。
也就是 lz 提到的“刷题”，如果入学之前就有能力自主刷题，那么就会被忽悠到战队里面，大家一起刷题，打小型比赛。对于还没有能力看懂题目的新生，我想除非他非常感兴趣，或者个人足够努力，不然很少有指导老师会重点培养。