如果是批量部署的话感觉可以考虑直接拷磁盘，这样分区和系统都有了。

拷完磁盘之后拿 https://help.ubuntu.com/community/CloudInit 或者 ansible 去做一些额外配置？

optional chaining

https://peps.python.org/pep-0505/ PEP 505 – None-aware operators

https://stackoverflow.com/questions/64285182/optional-chaining-for-python-objects-foo-bar-baz

@ufan0 #5 这个实际上可以操作吗

maven 更像是一种 build system ，golang/node/python 对应的 gomod 、pnpm 、pip 那种，除了 gomod 可能沾点构建的意思之外，其他那几个脚本语言，跟 maven 比更像是纯粹的依赖管理工具。。怎么能把这几样东西放在一起比呢。。

从 build system 的角度来看的话，maven 其实抽象能力也不行，灵活度远没有 Gradle 那种打开脚本就能写 task 那么方便，整个 flow 我个人感觉 mvn 控制起来也没有 gradle 那么精细。。。

这个问题归根结底还是得看项目复杂程度的，需要考虑当前项目能不能吃到 Gradle 的 benefit 了，吃不到的话用什么都一样。。。

好奇为什么编译器会跟 async 扯上关系

好久没看到过 cmcc 的 wifi 了，移动这个业务是不是已经停掉了？

@billzhuang 我有点怕扯皮，1000 我还是能接受的

要不是这个项目，我还真不知道 Google 的 ip 还有漏网之鱼

@conky #17 😂好兄弟至少读一下标题可以吗

其实我觉得这个想法是 ok 的，但是现在需要立法角度考虑 1 用户数据归属权 2 赋予爬虫更宽松的合法权力。

指望国内某些人这辈子能想到这个问题肯定是没戏了。但是另一方面，不止国内，现在国外因为最近几年 AI 大火特火，各家各户都在各种限制爬虫。

这样下去肯定不是办法，我估计将来为了保护互联网开放权力，迟早国外会有国家牵头法律上去限制这种城墙高筑的行为。

@javalaw2010 #2 感谢推荐，其实前置倒是没什么需求，不是很经常自拍，主要想看看后置稍微好一点的

我主力机只是千元 realme ，扫码摄像头

> 比如你正在输入密码，就差点击确认刚好有人借用，你给他用了，他登陆了打开了调试获取到了，或者你有抓包软件运行，别人使用你电脑时候获取到了，这些都不是信道本身中间人相关的问题。

用户登录过程中因为 996 过度，猝死了，你也要在代码中设计一套逻辑防止用户猝死吗？

不要为用户的行为买单，我们的目标人群是 90%的正常人，不要为了那小部分不正常人的行为花精力。

> 再用脚想一想，如果 https+明文就安全了，为啥还要有二次验证之类的额外的安全策略？

二次验证防止的是未经授权的用户登陆操作，防止的不是密码泄露。

> 为什么 Amazon Web 不用明文? 为什么淘宝 Web 不用明文? 为什么 telegram whatsapp 网页版不用明文而是其他设备扫码登陆?

我猜测可能是因为亚马逊淘宝这类网站是逐步从 http 过渡到 https 的，他经历了没有 TLS 的时代，所以需要手动在 payload 里去加密 sensitive 。

telegram 和 whatsapp 这类东西，包括微信，做扫码登陆，因为他们本来主打平台就是移动端，只是顺便做的其他平台而已，所以才敢这么做，至于安全与否完全只是顺便而已。

我的一些观点：

像 CDN 、WAF 这些做 tls offloading 的东西，还有一些其他公有云设施，这种东西你只能默认信任。

为什么这么说？

给密码再加密一层，密码是安全了，返回给用户的 session 你也要加密返回给用户吗？

你收到一个加密的 session ，你怎么判断这个 session 是用户发的还是恶意构建的请求？

假设你以上所有东西都 ok ，你怎么确保你公有云 instance 的云盘或者云数据库不会被未经授权的读取？

我并不是说以上问题没法解决，我想说的是，如果你要确保你想的那种 level ，绝对不是给密码再加密一层密码加密就能解决的问题。

架构设计本身就是一个不断做取舍的过程，这个问题上的取舍绝对不是这么简单就能解决的。

所以就不要自己骗自己了。

没带 https 的话记得手动加上 https ，他们网站最近配置好像有问题