看了标题瞬间懵逼了。。。

那就淘汰掉吧。

网络方面的话， TCP + HTTP/HTTPS

各路类 Surge

话说你是怎么装的，自己编译安装的么？建议通过 Nginx 维护的官方源安装。

@yeeyeung 可以明确告诉你，知乎用的邮件系统是 Google Apps ，也就是基于 Gmail 的，和 163 没有一点关系。不信自己去执行 dig zhihu.com MX 看看。

163 感觉很可疑啊，不是官方的邮件啊。

@endosome 做不到

1Password 可以啊，只要是 TOTP 协议的。

微博上有个叫『北京领养日』的，可以关注一下。刚好今天就是领养日。

难道在周末发售手机不影响小米的员工休息？

赞成！

虽然觉得并没有什么用。

@tony1016 有道理。昨天看的是理论的解法。实际运作中，直接冲着 padding 是 01 ，然后通过 IV 倒数第二位来验证，不管是否能碰出其他位数的 padding ，这样实际操作中更简单直接一点。

刚好昨晚学习了 CBC Padding Attack ，不知道 SSL Padding Oracle 攻击是否一样。

首先，这里 IV 其实是一个随机的串，只是我在控制最后一位，尝试使得返回 200 。按照我昨晚学习的思路，这里不是直接认为最后 Padding 一定是 01 ，而是 01 的可能性最大，并且因为我们只控制 IV 的最后一位，所以通常也使得最后 Padding 是 01 。

不知道你是在哪看的，还是细节有些不一样。我看的介绍，此时得到一个 200 的返回之后，还需要一步 推测 Pading 是几位，也就是几的过程。

这个过程就不细介绍了。推荐可以看一下 www.crypto101.io 的 PDF 的 7.9 节。

写了 1000+篇了，然而并不怎么看