debian/ubuntu 的机器我几乎从来没主动 upgrade 过

Archlinux 一天不滚一下我浑身难受，一周不滚那就战战兢兢面对着几个 G 的更新，一个月不滚那么在滚之前做好了进 rescue 的心理建设了 :(

lastpass 用了大概 5 年左右，去年年底因为 lastpass 的二选一和之前的密码泄漏事件，再加上一直体验很不好的移动端，终于下定决心切换到了 keepass 。用到现在刚好用了半年的 keepass ，说下体验。一台 Win10 ，两台 Archlinux ，均安装的 keepassxc ，安卓端用的 Keepass2Android 。楼主是 iPhone ，或许可以试试 奇密？密钥文件通过坚果云同步，也有 Plan B 是通过自建的 nextcloud 同步，但是稳定性肯定不如坚果云。

1. lastpass 切换到 keepassxc 很简单，lastpass 支持导出明文密码，keepassxc 支持导入 csv ，导出再导入，设定列的对应关系，5 分钟就搞定了。旧的 lastpass 库可以删掉，也可以给 lastpass 加个 TOTP ，然后不管他了。
2. keepass2Android 支持 webdav ，填坚果云的认证信息即可，多平台 1 秒钟就可以同步密码，体验很好。也支持一些应用的密码自动填充，不能自动填充的通过通知栏复制一下也很简单。
3. 桌面端都安装了坚果云，用以同步单个密码文件。其实可以用 keeweb 的，那样不需要额外的同步软件了，但是坚果云的 webdav 不支持 Last-Modified-Since ，而 keeweb 一定需要这个 Header ，所以只能二选一了。也可以用 Nextcloud 替代 坚果云，不过我个人感觉 keepassxc 比 keeweb 操作更方便 :)
4. keepassxc 的 TOTP 也很方便

综上，个人的实际体验是各方面都比 lastpass 更好，而且不再担心因为外部原因导致的密码库泄漏。不过要是电脑被种木马了，那就没招了 :(

@LoneFireBlossom 菜单栏 文件->设置->工具->SSH 配置->加号新建一个服务器->身份验证类型选择 密钥对，默认会读取 ~/.ssh/id_rsa ，填写完成这里需要的其他的地址用户名信息后，就可以在添加了你本机的公钥的服务器无需密码自动登录了。

如果要配置自动上传，在工具->部署->新建一个服务器，SSH 配置选择你刚刚新建的使用密钥对登录的服务器（ SSH 配置后的三个点也可以进入到 前面提到的 SSH 配置的页面），并且把它设置为默认值，（点击最上面的 +-√的√设定默认值），之后按 Ctrl+s 就可以自动上传了。

PyCharm 2022.1.2 on win10 ，我目前用的公钥登录是可以自动保存的（密码登录没有尝试过）按下 ctrl+s ，自动同步到服务器。

楼主可以试试配置 pycharm 用公钥登录？

如果厂商不管的话，推荐的流程是报给 CNVD ，由上级去推动厂商修复漏洞，还可以奖励你一个证书 :)

https://www.cnvd.org.cn/

你已经联系厂商了，厂商不受理，按理说你这已经是负责任的漏洞披露流程了，可以在其他平台公开这个漏洞。

但是，我个人不建议直接公开这个漏洞，毕竟如果漏洞影响面比较大，那么受影响的是普通用户，不如让漏洞一直存在下去吧，知道的人越少越好。 老产品存在不被修复的漏洞是很普遍的，只要不被发现、不被公开，影响还是比全网公开更小的。

有趣有趣，十分有趣，这个玩法很有意思 :)

即使 RDP 使用了强密码，但是 RDP 协议本身是可能存在漏洞的，比如 CVE-2019-0708 。
如果你的 Windows 版本在受影响范围内，比如 win7, win server 2008 ，且未更新补丁，并且再非常不巧，机器的 RDP 端口暴露到了公网中，攻击者无需密码就可以进入你的系统。

建议还是映射 VPN 的端口到公网，至少目前 wireguard/OpenVPN 暂时没有严重的漏洞。

这个网站太酷了，家里面能监控的设备参数基本都写进去了，而且家里面好多的智能化的设备，羡慕得不行 :)

他这个网站的后端应该需要动手写不少的集成，技术难度不小，工作量也不小，有了这个后端，前端可以接 hass 的仪表盘，或者接到 grafana ，但是感觉应该都没有他的好看。

再感叹一遍，这真的太酷了 !

蜗牛星际，自带的电源，用了 3 年了，除了前段时间 msata 硬盘坏了换了一个，其他没遇到问题。

qJfL5D8AwmU 已用 谢谢楼主

> 如果不需要多平台同步的话，是不是用 chrome 的自带记住账号密码功能也可以呢
是的，密码同步的功能交给 chrome ，基本没有问题。

缺点：
1. chrome 的同步需要科学上网
2. chrome 保存的密码可以被本机的其他程序读取
3. chrome 的自动检测更新密码功能不一定总是 work ，有时输入了验证码也会提示是否更新当前密码，如果点了的话，那么密码就被覆盖了 :(

家宽，联通，公网 IP ，我目前的策略，供参考：

1. 不暴露 SSH 或者 windows 远程桌面在公网，远程桌面也曾经出过严重漏洞，比如 CVE-2019-0708 ，如果一定要暴露远程桌面，那么建议使用非标准端口。
2. 开启路由器的防火墙，尽量用近几年的还在保持系统更新的路由器，旧路由器的漏洞也不少。自己的服务器觉得能 hold 住，防火墙 Any to Any permit ，但是家里的内网还是该怂就得怂，不然内网安全还是无法保障的。
3. 建议非标准端口暴露 OpenVPN/Wireguard 服务，通过 VPN 访问内网设备。
4. 光猫里开启 IPv6 的防火墙，禁止入站连接。尽管 v6 地址稀疏，难以被主动探测扫描到，但是无法保证总是安全的。

看完了，大受震撼。

活下来真好啊。

此外，我竟然在熬夜看别人过劳导致疾病的案例，赶紧睡觉 :)

qbittorrent-nox
直接装原版的 qbittorrent 也可以，启动的时候加参数启动 webui 即可
export QT_QPA_PLATFORM='offscreen'
qbittorrent --webui-port ........

每周一定投，持续一年，上周顶不住了，感觉看不到底，把定投给关了，截至目前，定投跌幅 30%。
一年前买的易方达蓝筹，到今天为止跌了 40%。
我已经当作这笔钱不存在了，什么时候把本金和利息涨回来了什么时候出，为国护盘。
我就是韭菜 :(

同，非常卡。点开视频可以播放 2 秒，然后需要缓冲 10 秒才能继续看，看日志估计是 mcdn 的锅。

腾讯云注册的 .xyz 后缀，Registrant Organization 显示了用户名，namesilo 注册的 xyz ，隐藏了所有信息。
非常搞笑的是，腾讯云的 https://whois.cloud.tencent.com 查询 xyz 域名却是自欺欺人地隐藏了用户名。
我感觉是腾讯云的锅，不是注册局的锅，把 Registrant Organization 当作 Regrstrant 提交上去了

19 年给腾讯云开的工单咨询 CN 后缀的回复:
> 通过腾讯云注册的 .com.net 等 Verisign 域名，目前通过第三方 WHOIS 平台所能查询到的腾讯云域名注册系人信息均为缓存信息，最新查询结果中，已不再包 括腾讯云域名的注册联系人信息
> cn 域名注册局是无处理的，但您的域名是在腾讯云受保护的，其他三方平台显示信息这边无权干涉，建议您具体咨询三方平台申请删除隐私，
感谢您的支持

几年前就发现了...
GDPR 出了之后，我放在国外注册商的域名默认都是隐藏了信息的，在国内的都没有隐藏，我还以为是政策要求而不是工作失误呢...