Anqunx -> 安全

另外如果你打算用 worker ，那么就要点亮橙云，不然流量根本不经过 CF ，worker 也就不起作用了

1. 为什么要禁用 DNSSEC ？建议启用以增强 anquanx
2. 不需要 worker, 直接用 origin rule 配回源端口
3. 不能选 DNS Only Mode ，要把橙云点亮

不算落伍，PHP 还在持续更新呢

toml 配置文件添加 flag node_compat 试过没有

Web 的话主要是 WSGI/ASGI 吧
Flask 有 gunicorn ，FastAPI 有 uvicorn ，都是官方推荐的
正式环境的话一般会套一个 Nginx ，用来做 load balancing 和 SSL offloading ，当然你用云服务厂的 Load Balancer 也是可以的
然后就是建议使用一个现代的包管理器，比如 Poetry 或者 PDM
跨版本部署的话用 pyenv

刚刚测试了一下，Host/SNI 修改需要企业订阅。不交 $200/mo 别想了。

1. 对于大陆境内服务器，Cloudflare 仅支持 80/443 端口回源。Origin rules 可以配置对海外服务器通过任意端口回源，但是是否支持对于大陆境内服务器还有待测试。个人试过阿里云 ECS (杭州) 是不支持的。
2. 阿里云、腾讯云仅在 80/443/8080 等知名端口识别，但其他运营商（例如百度云）会在所有端口进行 SNI 探测。
3. Cloudflare 回源时依然会带上原有的 Host/SNI ，因此依然会被 IDC 识别。但是您可以通过 Origin rules 来修改回源的 Host/SNI 为一个合法网站的域名。这一操作理论上是可行的，但是我没有使用 Cloudflare 测试过。我只通过 Nginx 实现了等效的方案，并且稳定运行一年以上。

1. 是不是必须关闭 BitLocker ？不是。Linux 上可以用第三方软件访问 BitLocker 卷，Windows 上也有第三方软件可以访问 LUKS 卷。但是对于系统盘，只能选择原生的加密方案：Linux 只能用 LUKS (以及其他 Kernel 支持的方案)，Windows 也只能用 BitLocker 。

2. 是不是「启动时必须输入密钥」？是的。原因是不管是什么加密磁盘的方法，要进行系统盘加密，必须在系统启动前解密系统卷。这需要将解密密钥放入 TPM 中。而 TPM 可以被配置为不同的「平台配置寄存器 (PCR) 清除模式」，即在系统发生特定行为（上次启动设备改变、硬件改变、BIOS 设置改变等）行为时，清除 TPM 中的硬盘解密密钥。对于 BitLocker ，这个模式由 Microsoft 选定并不允许用户配置。对于 LUKS ，systemd-boot 允许用户配置 PCR 清除模式，相关的文档可以参见 https://wiki.archlinux.org/title/Trusted_Platform_Module#Accessing_PCR_registers

3. 如果想要加密 Windows 系统盘，并且可以在 Linux 上访问，#3 说的 VeraCrypt 是一个解决方法，但是似乎不支持 TPM （因为其理念是与 TPM 的设计目的相悖，所以永远不会支持 TPM ）。需要指出，想要将系统盘加密，不仅需要 Bootloader 支持，也需要操作系统本身支持。VeraCrypt 写了一个 Bootloader 并添加内核驱动来实现这一点。

@ztmzzz 没用，无法避免每次启动输入密钥

确实是这样，听说 AT&T 的光猫是 802.1x 认证，私钥在 TPM 里，没法破解

我觉得互联网应该是对等的，即使是最大的运营商和最小的用户也应该用 peer 的方法建立连接——也就是一人一个 AS 号

主要是个人诉讼成本太高了
要是和美国一样，每一笔交通违法罚单都上法庭，才知道怎么规范执法

PowerDNS + Python backend
如果追求性能，看一下 rust 写的 trustdns

或许是这样的 edge 首次启动时已经设置了 bing 的 cookie ，而你的 cookies 已经固化到你的硬盘里了

看来 AWS 故意的。免费套餐不包含 IPv4 价格。

如果相信，那么岂不是一个人什么都不用做？
所以我不相信，因为我知道「什么都不用做」会让我的处境更糟糕
除非有人替你安排好了一切

理论上可以监控，虚拟机大多是虚拟 GPU ，通过 canvas 渲染/webgl 可能暴露特征

搜索：DMTF
用播放设备播放该按键的声音即可