一则旧闻:一款名为 glassworm 的蠕虫病毒,利用不可见的 unicode 字符组成恶意代码,感染开发者的编辑器安装的插件(vscode extension),企图盗取开发者加密货币,和各种认证信息(npm ,github 等等)以进一步感染更多软件。
这款病毒的牛逼之处在于: 即使软件作者盯着被修改的源码,也只能看到一堆空白符,无法发现恶意代码。
所以我之前说的是不严谨的,有些恶意代码,即使你盯着源代码都看不出来……
网络运营商都是吸血虫,专吸食低文化,自会刷短视频的人。有的老人眼花,乱点,各种流氓软件,安装得满屏都是……,每月大几百大几百地扣的人多得是。
最可恨的是,有的运营商,你欠费后。连发给运营商的短信都发送不出去,逼你走那低效的人工通话。
是啊,这哪是教书育人。这就是要训练你服从权威。这是规训,是要培养听话的奴隶。
记得小学时,我们学校还会教你做风筝,然后在操场放风筝。不管男孩女孩,都喜欢去爬操场的单杆,双杠,每个学期都有一两个摔断手脚的,也不见得禁止你往操场跑。
上中学就更野了,我们那里一所老学校,有个老操场的设备很给力。有一排从小到大排列的,立起来的轮胎。那是给学生训猎跳山羊的。即双手撑着轮胎,双脚同时起跳,跨过轮胎,从最小最矮的轮胎,一直跳到最大最高的轮胎。还有一种固定在地上的长凳子,是给人跑酷用的。不过我们那一届,没人敢玩,只见过高年纪的玩过。那时候有两个操场,一个荒草丛生的好玩的老操场,一个新建的“安全”但不好玩的新操场。再后来,老操场老去,只剩下一个现代的,无聊的操场。
还有一种可能是为了绕过字数限制。
这玩意,最初好像是为了规避审查吧,有的为了避免文字识别程序,还会在图片上画上干扰线。
软件的分发应该像文件一样自由。谷歌既要开发者注册,还要收费,甚至要求开发者提供政府认证的ID,理由居然是“为了你的安全”。
想想吧各位,那些开发翻墙软件的开发者,那些开发电子货币钱包的开发者,那些开发暗网软件的开发者,这些邪恶政府不喜欢的人。你强迫这些人提供政府认证的ID,谷歌是巴不得他们死吧。
很显然谷歌已经和政府站在一起了,早已不是那个:不能接受中国政府审查而退出中国的谷歌了。
决定一个软件对用户是否安全,只能看软件的源代码,千万不要盲信权威。不管这个权威是软件商店,还是其他软件下载站,甚至是软件开发者。要确保一个软件对软件用户是否安全,是一件极其困难的事情。软件源代码的检查,不是一般人能胜任的。而且一个软件可能有几十上百个版本,必须检查每个版本的修改是否安全,而且即使软件自身的源代码检查过是安全的,还需要考虑这个软件依赖的其他软件是否安全。检查一个软件都如此困难,更何况把市面上绝大多数软件集中在一起,妄想用一个公司之力就能解决这个超级难题。
过去,开发者和用户给了谷歌太多信任了。导致它变成权威,变成单点故障。现在它想要推动的事情,绝不是「为了你的安全」。而是想要在安卓系统级别上,夺取绝对的控制权,杀死第三方软件商店(如f-droid),给安卓开发者套上枷锁,阉割用户安装软件的自由。
是可以用 ip 和 ws 直连。但现在大部分relay 是用wss 传输,用ip 会丢了tls吧。关于被控制的是基础设施,这个的确如此。看来想在墙内搞i2p,网络的 bootstrap是个难题。
为什么我的紫水晶连接 wss://lang.relays.land/zh 返回好多提示,如下:
now, NOTICE: Subscription closed: xxxxxx rate-limited: there is a bug in the client, no one should be making so many requests
有一个习以为常,但并非事实的认知:服务器必须24小时在线提供服务。
很显然,这是中心化网络的产物。由于大多数人的数据都集中在某些机器上,所以这些机器下线的影响就会变得很大,这也导致了它们必须保证一批机器24小时在线,否则他们就会输给竞争对手,从而失去利润,而失败。
但在追求分布式的网络中,任何人都可以部署自己的服务,并且决定自己的服务,何时上线,何时下线。是的,你没看错,你的服务「不需要24小时在线」。你可以选择一个时间段上线你的服务,比如晚上八点到九点。你也可以一天上线多次,这完全是自由的。
认知这一点非常重要。因为部署自己的服务的成本实际上是非常低的。比如无需365天24小时都在线,所以电费变得很低。由于你可以自行决定服务在线时间段,所以你可以选择在有 wifi 的时段,在手机上开启服务,这不会增加你的网费。当然,你可能会考虑到域名费用,这点其实也是可以避免的。
关于域名,我的建议是抛弃域名。域名其实和手机号是一样的,是你租来的东西,并不真正属于你,它只是 某个 ip 的小名。你可能想过,搞一个酷炫的域名,写一个有内容的博客,这样就跟别人说:“诺,这是我的博客网址”。其实域名只是一个你租来的信息传输通道的名字。根本没必要把你的内容,绑定到这个不属于你的名字上,因为总有一天你会失去它。
如果我们在部署自己服务的同时,互相帮助。在提供自己内容的同时,也提供对方的内容。比如A的服务在上午上线,而B的服务在下午上线,A 和 B 就可以达成协议,彼此保存对方的内容,并提供服务。这样 A 和 B 互助就延长了各自内容的在线时间(上午 + 下午)。随着互助的人越来越多,各自内容的在线时间不断延长,甚至24小时都是可能的。
对于 nostr 网络,我们已经具备一切。我们有 orbot ,可以在手机上部署洋葱服务(无需域名)。也有许多支持连接到 tor 网络的 nostr 客户端。另外我们还有 Citrine 这样可以在手机上运行的 nostr 中继。
只要越来越多的人参与到分布式网络中来,积极部署自己所需的服务,互帮互助,我们就能大大减少费用,早日摆脱中心化的束缚。
