博客竟然整整一年没有更新了，而上一篇博文，还是 2023 年年度总结。

这一年也许是这一生中最转折的一年，亦或是更加狂野的旅途开始的一年。我带着家人和两只猫，移居到了日本，继续自己在东京的职业生涯。

说实话，这次回来，少了几分陌生感，更多的其实是一种熟悉的感觉，毕竟曾经在东京生活过不短时间。在 COVID 大流行之后，这里的一切似乎也没有太多变化。过去爱去的小店，依然静静开在街角；过去爱逛的街道，仿佛尘封了六七年。

年初坐在办公室楼下大厅的咖啡馆，和现在老板第一次面对面聊天的时候，我其实还一度问自己：“在完全英语的环境下办公，真的可以吗？”。好在事实上上手以后，这事儿出乎意料的顺利。

在国内满打满算干了也快六年的 DevOps 和 Infrastructure，今年机缘巧合，以 SDE 的角色主导了一个挺有意思的项目重构。以前在一堆大部头书籍里学了不少分布式、数据结构优化、性能提升的纸面技巧，今年也算是都用上了。当然，更重要的是遇到了非常不错的同事，以我浅薄的职业经验来说，职场舒适度里“和谁一起工作”是占比最高的因素。希望来年可以继续做一些数据库和 Infra 相关的项目吧。

相比于职场，其实今年的健康管理做得非常不好。也许是去年的暴力面试消耗了太多的生命力，今年充满了摆烂的气息，整整一年都没有好好坚持运动。年初冲的高尔夫练习场会员卡，到今天为止也就去了 5 次。夏天体重虽然一度减下去 5 公斤，但是秋膘又贴回去了。

好在家属时不时会拉我去隅田川边跑个 5 公里，周末天气好会在市区进行大暴走。尽管身体指标并没有显著改善，但是也没有变糟糕。而立之年将至，真的得狠狠有氧了。

不过，得益于海外工作的 Work Life Balance，今年真的拥有了太多时间来做自己感兴趣的事情。年初开始入了明信片的坑，注册了 Postcrossing，至今为止也收发了上百张明信片；重新捡起了纸币收藏，尽管今年没有入手很多漂亮的钞券，不过花时间补了下近 15 年全球主流国家银行券的发行日志，争取明年把日本的非高价券都集齐了；开始了中古掌机的收藏，基本把任天堂从 1989 年到现在所有型号的掌机都收集齐全了，而且是箱说全对码，这算是最有成就感的一项了。

另外也是蹭了一下家属的手账坑。我自己其实一直有记录每日事项的习惯，不过之前用的都是烂本子，写完一年就丢掉。这次终于有一个很不错的手账用了。

我个人觉得对兴趣的投资还是挺重要的，毕竟这是保持心理健康最实惠的办法。而心理健康在人生路上的重要性，不亚于肉体的健康。总结的话就是，今年心理健康很用功，肉体健康很马虎。

那么最后，祝大家 2025 年身体健康！

最近简中技术圈发生了一件不小的事情：知名技术分享者左耳朵耗子因心梗不幸去世。

说实话，我从未和耗子哥有任何交集，也未曾受益于任何他过去的分享和文章。但是，至少从绝大多数缅怀他的人口中，可以多少感受到他的人格魅力和技术能力。这是一个值得尊敬的人。

然而今天看到一位推主 初码@chumacn 发了一条推文，为了防止他之后修改，直接复制内容如下：

看完整条 Tweet 的第一反应是，2023 年怎么还会有机会看到这么经典的诡辩案例。不妨就此来盘一盘，这篇文章让人浑身不舒服的地方到底在哪里。

在开始之前，我们还是花一分钟简单复习一下诡辩论，也就是 Sophism 里最最经典的一些方法：

• 滑坡论证，也就是所谓的蝴蝶效应。这条也是危害最大的一条
• 从众式论证
• 言论者个人行为推断
• 模糊化推论，也就是强行建立无因果要素之间的关系。
• 不恰当类比
• 特殊推论的一般推广
• 错误因果关系

下面直接一段段开始盘。在 我想帮助你复盘一下 前面的那三段，姑且作为推主本人的主观观点的发表，虽然也有诡辩嫌疑，但暂且跳过。

首先是第一段：

他们作为技术KOL，自己本身不学无术，把大量精力和时间花在了社交媒体上，花在了花样繁多的新技术、新产品、新想法上。巨大的信息流涌入他们，让他们从窄而深的技术通道转向了宽但散的纷杂路口。不以为耻反以为荣，并在互联网上布道这种劳逸结合、工学一体的玩法。

这段直接进行了滑坡论证，直接把这段的口风推到一个不可控的方向上去了。具体来说，因为陈皓和冯大辉在社交媒体上花了大量精力和时间，所以他们从窄而深的技术通道转向了宽但散的纷杂路口。这里的因果关系是完全没有证据的，但是作者却把这个因果关系当成了铁板钉钉的事实来推论。

同时还说到 不以为耻反以为荣，并在互联网上布道这种劳逸结合、工学一体的玩法。这句话首先对于推主的论点没有任何帮助，其次也是一个诡辩，因为这句话的前提是 他们不以为耻，但是这个前提是作者自己加上去的，等于说通过自己设定一个被推测对象的主观态度，来进行立靶子批判。

接下来是第二段：

这种路径犯法吗，是不被允许的吗？当然不是！但是这种是自由职业者、自媒体人士、财务自由者的娱乐技术玩法，这种玩法，不仅不适合初级程序员，更严重违背入职工作者的职业道德。

这里又用了几个诡辩技巧。首先是 这种路径犯法吗，是不被允许的吗？当然不是！，这里的诡辩在于，作者把自己的主观论点 这种玩法，不仅不适合初级程序员，更严重违背入职工作者的职业道德 作为了一个事实。在计算机这个行业，有无数的岗位需要有不同特质的程序员进行合作和贡献，海外几家著名的企业无一例外，数十年如一日强调 Diversity 在一个企业的发展过程中的重要性。在这样的背景下，自由职业者、自媒体人士、财务自由者的娱乐技术玩法，和计算机从业者的职业道德的冲突之间的联系，作者并没有给出任何的可信的证据来进行说明。

接下来是第三，四段，因为是对冯大辉和陈皓的纯粹人身批评，毫无内容，所以我就不多说了。

再看第五段：

没有工作上的边界意识，在自己所拿薪资的岗位上，没有真正窄向、深度的钻研自己权责范围内的事情，而是用自己的阅历、见识、想法，跨越到远超自己能力上限的地方，去指点迷津、夸夸其谈，这是一种非常隐晦的、隐藏的，但大面积存在的严重职业道德缺失的行为，不仅在程序员领域，也在产品、运营领域出现。

这段诡辩术用得比较隐晦，很多人可能并不容易第一眼看出来其中得问题。这里的诡辩在于，作者把 没有工作上的边界意识 和 没有真正窄向、深度的钻研自己权责范围内的事情 作为了一个事实。然而糟糕的是，作者并没有给出任何的证据来证明这两个事实，而是直接把这两个事实作为了一个前提，然后在这个前提的基础上进行了推论。作为一个没有给当事人进行过长期上下游代码审核，没有给当事人进行过深入技术交流，乃至于没有进行过大量学术和技术方面得公开辩论的人，我们无法认为其拥有足够的 Credit 在这两个点上进行事实判断。

并且，作者还进一步将这两点和 严重职业道德缺失的行为 进行了联系，这里的联系也是没有任何的证据的。因为此处的 职业道德 的定义，本身就很大程度依赖度第二段中通过诡辩构建出来的定义，而基于诡辩得到的定义的二次诡辩引申，其可信度是非常低的。

然后是第六、七、八段：

如果真正的想实现一个想法、平台，真正的技术职业工作者，无非两种情况，1是遵循自己的Leader的想法和架构，老老实实的写代码、做模块。2个就是自己担负着研发的重担，了解并深度认真的去评估自己的技术水平，评估自己能否基于想法去实现完整的闭环，并模拟这样的过程，做好完整的计划，带领团队逐级拆解任务，做好管理，去实现这个过程。

而陈皓，就是非常典型的，不愿意做1，所以在面试和找工作的事情，都奔着2的岗位去找、去靠，但是在2的岗位上，不具备2的能力，但是既不愿意直面现实，也不和团队说真话，做真正的评估拆解，绑着整个团队一起走向必然的失败。

这段过程，就是陈皓在阿里云的典型失败过程，也是为啥闹纠纷的主管因素。

这里的诡辩术就用得比较明目张胆了。首先，作者把 真正的技术职业工作者 通过一定程度的从众式论证 + 言论者个人行为推断的方法，进行了片面化定义。其次，作者把 真正的技术职业工作者 和 无非两种情况 进行了联系，这里的联系也是没有任何的证据的。

到底什么是真正的技术工作者，没有深刻和详实的讨论和证明，是几乎不可能用所谓的两种情况来进行概括的。我们往往只能用一些普世的、共同的人类良好品质，在不同的行业和领域的从业者身上进行对照和印证。比如，对于一个医生来说，我们可以用 对病人负责 来进行判断，对于一个教师来说，我们可以用 对学生负责 来进行判断，对于一个程序员来说，我们可以用 对用户负责 来进行判断。但是，这些判断的标准，都是基于对于 负责 这个词的共同理解的基础上的。而这个共同理解，是需要结合时代背景，通过大量的观察事实，来进行共同的认知和建立的。绝不可能通过一篇文章，或者一段文字，或者一个人的个人行为，来进行建立的。

第七段中其实用的诡辩术和第五段中用的诡辩术是一样的，甚至有点审美疲劳。

最后来看看九、十、十一段：

要知道，你作为一个P7、P8、P9的程序员，你之所以能拿着3万-7万的基本工资，还能闲暇之余上网，动辄就是什么流行、我得学什么新东西、我要捣鼓什么东西，我要拿公司平台去实现我什么什么想法。

陈皓同学，你得知道，你之所以可以异想天开，那是因为你在阿里，吃着时代的红利，你的试错，是阿里在给你承担，而不是你在承担。这是互联网红利下，社会给的红利，大厂给的功利。建立在千千万万的淘宝商家血汗上的红利。公司付钱给你，不是让你去做自己的舞台，而是让你当小蚂蚁，帮助公司创造价值，一个程序员，如果连这点最基本的自知都没有，路不可能走的长。

所以对于陈皓这些违背职业道德，远超能力范围的异想天开，推主竟然觉得陈皓某些想法很感人。这也就是为什么我觉得有必要站出来说几句，真的是被带远了，带偏了。

首先是陈皓本人拿着的高收入。从现代企业和被雇佣者的关系而言，企业开出来的薪酬是基于企业在雇佣和面试过程中的人才价值判断。被雇佣者本人对于这个定价本身并不存在道德和判断的责任。因此这里事实上再一次使用了模糊化推论，强行建立了一个 高收入 和 对高收入的定价责任 的关系，然后进一步建立了 鼓捣新技术 和 企业责任 的矛盾。

具体过程发生在第十段，直接通过上一段模糊推论的关系，进一步进行了滑坡推论和错误因果，将陈皓本人的合法劳务所得的数额，首先建立到了 阿里 这个企业的身上，然后又建立到了 千千万万的淘宝商家血汗上，最后又建立到了 公司付钱给你，不是让你去做自己的舞台，而是让你当小蚂蚁，帮助公司创造价值这条罪责上。这里只能说诡辩的技巧用得还不够熟练，一般来说在进行诡辩的时候我们要尽可能避免在较短的篇幅使用超过三种以上的诡辩技巧。

这里推主的本意较为明显，就是希望将陈皓和对普通劳动者的压迫进行关联，从而在道德层面构建起谴责和声讨的合理性，可惜技巧不够纯熟，反而使这段成为了整条推中最糟糕的表演。

然后就是最后一段，在通过上述若干条的诡辩，构建起陈浩本身违背职业道德这条没法站得住脚跟的推论后，再次进行了言论者个人行为推断，否定了所有对陈皓持支持和认可的人的道德和判断能力，最后又通过 被带远了，带偏了 这样的词语，对他们进行了一次全面的贬低和否定。

补充信息部分来来回回还是那些诡辩套路，就不赘述分析了。

最后想告诉大家，日常阅读的文章、推文，听到的发言、通告、业内的大量论文，以及自己日常脱口而出的大量发言，本身都是诡辩的聚合体。在发表内容中适当存在诡辩，本身也很常见，不值得大书特书，但是如同这条推文一般，通篇拥挤着大量雷同的诡辩技巧，确实也较为罕见。

以上，祝大家身体健康。

最近趁着招行卡送了很多练习场，就尝试着入坑玩了玩高尔夫。竟意外地发现这个被妖魔化已久的运动，还是非常有意思的。
尤其是球杆的分类，让人感觉非常有器具的美。我想，单从这点来说，理工学生应该挺容易对这个运动产生兴趣。因此花了一些时间，学习了一下球杆的分类，以及相关的一些基本的知识。这里就简单记录一下顺便写写关于这项运动祛魅的一些想法。

但是在开始之前，我必须承认目前的自己只能说新手中的新手，连入门都算不上。高尔夫本身作为对精确度和器具要求极高的运动，说实话没有上万次击球的练习的话，别说下场地上果岭了，连做到稳定大力击球都不太可能。这点上和台球倒是有几分相像。

另一条想吐槽的还是国内的场地问题。诚如上海这样的城市，市中心竟也仅有寥寥数家练习场，主要还集中于古北新区这样的传统外国人聚居区。由此可见高尔夫的发展，在国内处于一个非常尴尬的状态。说好听点是还有巨大的市场可以挖掘，说难听点就是因为种种原因，压根就是畸形发展的。

说起为啥觉得这东西好玩，其实就是原始的暴力。只要你打出第一下暴力铁杆挤压击球，这种泄压感是忘不掉的。言归正传，我们来聊聊球杆。

¶球杆分类

高尔夫球杆粗略来说其实就分为五大类：

• 木杆 (Wood)
• 混合杆 (Hybrid)
• 铁杆 (Iron)
• 挖起杆 (Wedge)
• 推杆 (Putter)

边看图边聊会更加直观：

¶木杆 Wood

一般来说，木杆分为两类，分别是开球木 Driver、球道木 Fairway Wood。

其中，Driver 往往特指 1 号木。这个木杆的特点是头部比较大，重量比较轻，主要用于开球。说实话第一次打 1 号木的时候，真的有被其重量给惊讶到。巨大的头部居然是如此的轻，仿佛空气般的存在。但是抽打的时候声音的暴力程度却远超铁杆。

而 Fairway Wood 则是 3-5 号木，主要用于球道上的开球。头部小了非常多，随之而来的也是使用上难度的陡增。有说法是，三号木是最难打好的一根杆，很多业余玩家可能从未打出过一次完美的三号木。

不过主流球杆生产商通常提供从 3 号木杆到 9 号木杆的不同型号。4 号木有时会代替 3 号木（主要调整距离），而5号木杆则是为那些喜欢在果岭上使用球道木杆而不是长铁杆的球手准备的。

更高序号的木杆往往为女士或老年人这样力量相对更小的球手准备。

一般来说，常规的业余玩家的全套杆里，也就是 3 木 9 铁套里面，木杆主要就是 #1，#3，#5 这三根。

¶混合杆 Hybrid

混合杆主要是 1990s 末期开始出现的，算是很经典的场地杆。怎么说呢，如果完全是练习场玩家，真没啥必要买 Hydrid。

混合杆借鉴了铁杆和木杆的特点，具有两者都具备的有利特征。换句话说，结合了铁杆挥杆力学和木杆更宽容的打击域。

因为长铁杆（ 1 - 4 号）即使配备了现代化的杆头，也很难用。尤其是在一些深草坪或者树下这样复杂的地形，对于击球点和长球杆都有严格要求的情况下，挺多 Pro 的解决方法是用混合杆取代1-4号铁杆。

这么讲其实也印证了 Hydrid 算是高手球杆这件事。

¶铁杆 Iron

铁杆是高尔夫球杆中最核心的一组球杆。一般来说，铁杆分为 1-9 号，其中 1-4 号是长铁杆，5-9 号是短铁杆。

其中，7 号铁又是卖的最好的入门级铁杆。因为 7 号铁杆的特点是比较容易击中，而且击球点也比较宽松，所以也是最适合新手的一根铁杆。还有一个野鸡理由是，台湾教练们喜欢用 7 号铁杆来教新手，所以 7 号铁杆也就成了新手的标配。

上表里的 Loft 指的是球杆的挡板角度，也就是球杆的球面和垂直面之间的夹角。通常来说，Loft 越大，球杆的弧度就越高，球飞行的高度就会更高。可以看到编号越大，击球面弧度越高，球的飞行的高度最高。

Lie 指的是球杆的摆角，也就是球杆与地面之间的夹角。通常来说，铁杆球杆的 Lie 角度可以使得击球面和地面接触的位置找平并稳定。如果摆角不对或者不稳定，球杆与地面之间的夹角会改变，会导致球的方向和高度发生偏差。

另外就是随着摆角的增加，球杆的长度相应的变短。简单的勾股定理。

¶挖起杆 Wedge

又是一类下场才会用的杆。

应该说，挖起杆是铁杆 Iron 的一个子集，专门设计用于特殊救球的情况。因为挖起杆的球面角度最大，杆身最短，重量最重。这些特性可以让球员准确地打出短距离高球，从而上果岭或从柔软的地面把球救回来。

因为挖起杆带有改良后的底板，可以把嵌入或甚至被掩埋的球直接从地里打出来。楔子有多种配置，并一般分为四类：攻击杆 PW、沙坑杆 SW、间隙/进攻杆 GW/AW 和高球杆 LW。

常见的半套杆组里，往往带了一根 P 杆或者 S 杆。

¶推杆

很多电视剧和电影里经常出现什么反派 Boss 或者大佬在巨大办公室的模拟球道上练高尔夫，他们使用的球杆就是 Putter。

推杆杆是通过轻轻挥杆，从较短的距离将球滚入洞中的球杆。 它非常平坦，低轮廓，有一个低镂角的球头，并具有一些仅限推杆使用的特性：

• 弯曲杆柄
• 非圆形握把
• 定位导杆

推杆一般用于距离杆孔非常近的地方，基本都在果岭上使用，不过少部分球场在果岭边缘和草丛也有适合推杆的点。

如果说下场打的时候有哪根杆是绝对必不可少的话，那只能是推杆。所有市售的半套杆和套杆，一定带了一根推杆。

¶新手怎么玩

从自己的体验和查阅信息来看，新手期下场地的必要性可能没那么高，除非钱多到烧不完或者有教练无限耐心带你打，否则只会让你怀疑自己不听话的四肢。

在练习场里把开球木、7号铁练好，有条件的话买个地毯练练推杆，就可以了。这样的话，一组入门级半套杆完全够用，而且也不会太贵。一般来说，这样的套杆价格在 1000-3000 之间，足够陪着自己练上万球了。等技术精进之后，再考虑买一套更好的杆，以及开始下场地的练习。

再说了，球杆这玩意儿，有一点一份价格一分货，二毛价格两分货，三块价格三分货的味道。更何况高尔夫入门周期非常长，普通人除非天天有空去练习场练习，否则很难在短时间内精进到可以下场地练习的程度。所以，初学的话更推荐弄一套不那么贵的半套杆，先把五类球杆的特性熟悉了再说。

我也不打算推具体品牌。低价区间国产 PGM 的套杆也不能不能玩。中间档 Taylermade，Callaway，Mizuno 的套杆在 5000 ~ 10000 这个区间，也绝对够普通玩家玩到死了。

如果真的对更上级的手感有所追求，类似于 HONMA， Titleist 这样比较顶的套杆，总归也能满足。至于定制化，那就是专业选手的领域了，不是普通人能玩的。

然后最后一点就是怎么学，高尔夫严格来说还是需要教练的运动，但是如果自己有一定的运动和人体结构知识基础，也可以自己学。这里强烈推荐油管上一些台湾和日本教练出的视频，更加适合东亚人的体态，并且讲得远比国内的教练清楚易懂。

或者换个说法，不是说国内教练水平特别差，而是国内网站上压根就没多少人在做新手入门这块的视频，基数都这么小了，还能期待有什么出色的教学视频呢？

总的来说，从上海目前的物价和消费来说，高尔夫的入门门槛还是非常低的。比什么健身卡、网球场、足球场的练习成本要低多了，而且最重要的时候一个人就能玩。宅宅时代，找人才是成本最高的事情。

希望大家天天运动，健康生活。

苹果，我完全无法理解你

¶前言

最近几周，我花了不少时间在 macOS 的自动化流程以及 MDM (Mobile Device Management) 的开发上。

事实上我一直以来都难以理解为什么有那么多企业选择使用 macOS 作为员工的工作电脑。

姑且可以认为多数的科技公司从业者都具备一些必要的计算机常识和命令行技能，但是 macOS 本身其实是基于 XNU 内核构建的 Darwin ，而 Darwin 本身又包含了大量来自 BSD 的特性，这些特性意味着用户在深入使用的时候，往往不得不面对一些在 BSD 和 Linux 中同名同姓却完全不同的命令，例如 mount。

而更加好死不死的是，Apple 还额外贴心地从 macOS 10.11 开始加入了 SIP (System Integrity Protection)，也就是著名的苹果是你的爸爸组件。

这意味着无论你是卑微的个人设备还是财大气粗的企业采购设备，都要面临你的 root 不是真正的 root 这样的糟糕体验。而更加搞笑的是，有时候 SIP 不但没有真正保护用户安全，还接二连三的爆出涉及 TCC.db 的各种权限漏洞，给黑客大开便捷之门。有时候真觉得 macOS 上开发工作流太噩梦了。

本篇我就稍微聊一聊 TCC.db 这个数据库。

¶TCC - Transparency, Consent, and Control

TCC.db 是 macOS 10.9 之后引入的一个数据库，用于记录用户对于各种系统服务的授权情况。系统级 TCC.db 的完整路径是 /Library/Application Support/com.apple.TCC/TCC.db。而对于每一个单独的用户，其实还有一个 TCC.db，位于 $HOME/Library/Application Support/com.apple.TCC/TCC.db。

这个数据库的结构非常简单，只有 6 个表：

• access
• active_policy
• expired
• access_overrides
• admin
• policies

事实上这 6 个表里，在默认情况下有且只有 access 这一个表是有有效数据的。其他的表利用 sqlite3 查看的话可以发现都是空表，而 admin 表也仅有一行：

sqlite3 "./Library/Application Support/com.apple.TCC/TCC.db" "select * from access_overrides;"sqlite3 "./Library/Application Support/com.apple.TCC/TCC.db" "select * from active_policy;"sqlite3 "./Library/Application Support/com.apple.TCC/TCC.db" "select * from expired;"sqlite3 "./Library/Application Support/com.apple.TCC/TCC.db" "select * from policies;"sqlite3 "./Library/Application Support/com.apple.TCC/TCC.db" "select * from admin;"version|20

PS: 无端推测，iOS 的权限实现大概率也是基于类似的机制。

然而这一切对开发者友善的前提是，macOS 需要在 Darwin 的命令行支持或系统开发接口中，也复刻一套这样的授权机制。然而事实上是，macOS 没有做到这一点，也似乎并不打算做好这些支持。

稍微对 SIP 有所接触的人应该会很容易察觉到，苹果对于用户可以在自己的机器上可以做什么这件事情上，做了非常多的限制。在最近的几个版本的 macOS 中，对于所有系统相关的目录，无论用户本身是否是 Administrator，都仅能做只读操作；即便用户通过 sudo su 提权到 root，也无法对这些目录进行任何的写操作。

然而 macOS 就仿佛脑子神经搭错了一样，把 TCC.db 放在了一个普通用户可以进行读写的位置。这就留下隐患了。

当然，macOS 在正常情况下对 TCC.db 还是进行了许多的保护，但是在过去的几年中，这些保护可以被二十多种方法^[1]绕过，TCC 提权漏洞在几乎每一个版本的 macOS 中都有出现。这些方法包括且不限于：

• 插件注入
• 进程注入^[4]
• /Library & $HOME 挂载 ^{[5], [6]}
• App 行为漏洞利用
• /usr/bin/grep 注入

这样就呈现出了一个非常怪异的状态。macOS 在每一个版本里都留下了方便攻击者的 TCC 提权方式，却对有着 Administrator 权限的用户进行了严格的命令行指令的限制。举几个例子，以下操作就必须通过往 TCC.db 中写入数据来实现：

• 通过 /usr/bin/env 在系统后台静默更新特定用户的壁纸。
• 通过 /bin/bash 静默禁用&启用用户的麦克风和摄像头。这条用过 OBS 的人应该不陌生。

而这些操作本身理应由 Administrator 通过命令行是可以轻松实现的。但是由于 macOS 的糟糕的权限设计，用户不得不深入到 TCC.db 里去，用各种很 Tricky 的方式来实现。

¶详解 access 表结构

在上面的章节里，我们查看了 TCC.db 所包含的数据表。而里面最有用的 access 表的结构大概是这么个样子：

CREATE TABLE access (    service TEXT NOT NULL,    client TEXT NOT NULL,    client_type INTEGER NOT NULL,--  allowed INTEGER NOT NULL,       -- Removed in Big Sur--  prompt_count INTEGER NOT NULL,  -- Removed in Big Sur    auth_value INTEGER NOT NULL,    -- Added in Big Sur    auth_reason INTEGER NOT NULL,   -- Added in Big Sur    auth_version INTEGER NOT NULL,  -- Added in Big Sur    csreq BLOB,    policy_id INTEGER,    -- Added in Mojave    indirect_object_identifier_type INTEGER,    indirect_object_identifier TEXT NOT NULL DEFAULT "UNUSED",    indirect_object_code_identity BLOB,    flags INTEGER,    last_modified INTEGER NOT NULL DEFAULT (CAST(strftime('%s','now') AS INTEGER)))

这样的多维结构，使得用户可以在非常细致的颗粒度上控制自己的设备。例如，你可以授权某个应用访问你的摄像头，但是不授权它访问你的麦克风；你可以授权某个应用访问你的通讯录，但是不授权它访问你的日历；你可以授权某个应用访问你的照片，但是不授权它访问你的照片库。

以下为每个字段的详细解释：

• service: 受 TCC 管理限制的服务名。比如 kTCCServiceMicrophone，kTCCServiceCamera，kTCCServicePhotos 等等。完整的列表我放在本文末尾了。
• client: 申请访问服务的应用的 Bundle Identifier 或者绝对路径（例如 com.apple.finder 或者 /usr/libexec/sshd-keygen-wrapper）
• client_type: 申请访问服务的应用的类型。0 代表 Bundle Identifier，1 代表绝对路径。
• allowed: (本字段仅存在于 Big Sur 之前的版本) 是否允许访问（1）或者拒绝（0）
• prompt_count: (本字段仅存在于 Big Sur 之前的版本) 用户被提示的次数。如果程序在第一次被拒绝后，仍然不断地申请访问，那么这个字段就会不断地增加。
• auth_value: (本字段仅存在于 Big Sur 以及之后的版本) 访问权限的值。0 代表拒绝，1 代表未知，2 代表允许，3 代表有限制。例如，允许应用选择照片，但是不允许它访问整个照片库。
• auth_reason: (本字段仅存在于 Big Sur 以及之后的版本) 用于描述 auth_value 是因何理由被设置的。一个常见的值是 3，代表 用户设置。完整的列表我也放在本文末尾了。
• auth_version: (本字段仅存在于 Big Sur 以及之后的版本) 默认为 1，也可能会随着未来的 macOS 版本而改变。
• csreq: 二进制代码签名要求 blob 必须满足特定的格式，以便获得访问权限。这是用于防止攻击者的欺骗/冒充。我会在下一个章节描述以下如何进行这部分内容的生成和解码。这里真得感谢 Keith Johnson，即便在英文互联网上，可能也就他那条回答真正解释清楚了这个字段。可以简单理解为对 client 目标进行 csreq 处理后的 Blob 值，我会在下一节详细解释。
• policy_id: 这个字段与 MDM(Mobile Device Management) 策略相关，carlashley/tccprofile 可以用于生成这些配置文件。
• indirect_object_identifier: 用于指定某个服务（例如 kTCCServiceAppleEvents）的目标客户端。这个字段可以是 Bundle Identifier 或者绝对路径，就像 client 字段一样。在某些情况下，这个字段会被设置为 UNUSED。
• indirect_object_identifier_type: 用于指定 indirect_object_identifier 字段的类型。0 代表 Bundle Identifier，1 代表绝对路径。
• indirect_object_code_identity: 和 csreq 字段一样，这个字段也是用于防止攻击者的欺骗/冒充。但是这个字段的作用于 indirect_object_identifier 字段指定的客户端。可以简单理解为对 indirect_object_identifier 目标进行 csreq 处理后的 Blob 值，我会在下一节详细解释。
• flags: 未知作用。值总是为 0，可能与 MDM 策略一起使用。
• last_modified: 最后一次修改的时间戳。

如果你还不知道什么是 Blob，可以参考 The BLOB and TEXT Types.

有了这些字段的详细解释，我们就可以读懂甚至构造一条 TCC.db access 语句了。当然在开始之前，我们还需要补充一个知识点，就是 csreq。利用 csreq，我们可以解码一个二进制代码签名 Blob，亦或者从零开始构造一个 Blob。

¶关于 csreq^[3]

很多人一看到要构造一个 Blob 第一反应就是慌，事实上我也是一样。

不过我们在插入数据到 TCC.db 的时候，只需要构造一个满足特定格式的、非常短的 Blob 即可。这个 Blob 的格式是由 Apple 的 libsecurity_codesigning 库定义的，源代码可以在这里找到：libsecurity_codesigning/lib/requirement.h

比较粗略的看了一下，这个头文件定义了一个叫 Requirement 的类，用于表示苹果的代码签名要求（Code Signing Requirements）。Requirement 类的成员函数包括用于验证是否合法和满足格式要求的 void validate 和 bool validates；还有用于声明格式的 kind 函数，不过目前唯一支持的表达式的类型是 opExpr。

不过实际上我们并不需要手动写 csreq 的生成 & 翻译工具，macOS 本身就自带了一个同名的命令行工具 csreq。这个工具可以用来生成 Blob，也可以用来解码符合格式要求的 Blob。这个工具一个旧版本的源代码在这里：csreq.cpp。

下面主要来说说怎么用吧。就以 TCC.db 插入时最常用的一条 Blob 为例，来看看怎么用 csreq 来生成和解码这个 Blob。

# Convert the hex string into a binary blob$ BLOB="FADE0C000000003000000001000000060000000200000012636F6D2E6170706C652E5465726D696E616C000000000003"$ echo "$BLOB" | xxd -r -p > terminal-csreq.bin# Ask csreq to tell us what it means$ csreq -r- -t < terminal-csreq.binidentifier "com.apple.Terminal" and anchor apple

从解码的结果来看，这条 Blob 代表了一个通过苹果官方签名的 com.apple.Terminal 对象。

那这条信息 identifier "com.apple.Terminal" and anchor apple 本身是怎么来的呢？或者说，我们应该怎么写这条原始文本，并确认其符合 Blob 的解析原文的格式要求呢？其实也很简单，使用另一个命令行工具 codesign 就可以获得任意已签名对象的 designated 字段，也就是 Blob 的合法描述原文：

$ codesign -d -r- /Applications/Utilities/Terminal.appExecutable=/Applications/Utilities/Terminal.app/Contents/MacOS/Terminaldesignated => identifier "com.apple.Terminal" and anchor apple

这里再举一个类似的例子，也就是游戏开发团队非常常用的 P4V 客户端，这玩意儿的 Blob 是：

fade0c000000009c00000001000000060000000600000006000000060000000200000010636f6d2e706572666f7263652e7034760000000f0000000e000000010000000a2a864886f763640602060000000000000000000e000000000000000a2a864886f7636406010d0000000000000000000b000000000000000a7375626a6563742e4f550000000000010000000a505959465359353453370000

我们来依样画葫芦地解码一下：

# Convert the hex string into a binary blobBLOB="fade0c000000009c00000001000000060000000600000006000000060000000200000010636f6d2e706572666f7263652e7034760000000f0000000e000000010000000a2a864886f763640602060000000000000000000e000000000000000a2a864886f7636406010d0000000000000000000b000000000000000a7375626a6563742e4f550000000000010000000a505959465359353453370000"echo "$BLOB" | xxd -r -p > p4v-csreq.bin# Ask csreq to tell us what it means$ csreq -r- -t < p4v-csreq.binidentifier "com.perforce.p4v" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = PYYFSY54S7# ask codesign what the requirement text from the application itself is$ codesign -d -r- /Applications/p4v.appExecutable=/Applications/p4v.app/Contents/MacOS/p4vdesignated => identifier "com.perforce.p4v" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = PYYFSY54S7

可以看到，就是这样简单的处理，就能获得任意对象合法的 Blob 描述原文。

那么第二个问题来了，既然可以通过 codesign 来获得 Blob 的描述原文，那么我们应该如何获得 Blob 本身呢？这个问题其实也很简单，只要把 Blob 的描述原文通过 csreq 转换成二进制格式即可。

这里我们继续用 p4v.app 为例：

# Get the requirement string from codesign$ REQ_STR=$(codesign -d -r- /Applications/p4v.app/ 2>&1 | awk -F ' => ' '/designated/{print $2}')# Convert the requirements string into it's binary representation(sadly it seems csreq requires the output to be a file; so we just throw it in /tmp)$ echo "$REQ_STR" | csreq -r- -b /tmp/csreq.bin# Convert the binary form to hex, and print it nicely for use in sqlite$ REQ_HEX=$(xxd -p /tmp/csreq.bin  | tr -d '\n')$ echo "X'$REQ_HEX'"X'fade0c000000009c00000001000000060000000600000006000000060000000200000010636f6d2e706572666f7263652e7034760000000f0000000e000000010000000a2a864886f763640602060000000000000000000e000000000000000a2a864886f7636406010d0000000000000000000b000000000000000a7375626a6563742e4f550000000000010000000a505959465359353453370000'

如你所见，刚才的 Blob 描述原文，就这样简单的获取到了。看到这一步的你，应该已经有能力自由地获得任意目标的 Blob 描述原文，并将其转换成 Blob 本身。

¶动手构造一条 TCC.db access 语句

既然万事具备，说再多不如动手构造一条 TCC.db 的插入语句来得记忆深刻。

这里我们以 kTCCServiceAppleEvents 服务为例，构造一个允许 /usr/bin/env 通过 AppleEvents 服务访问 /System/Library/CoreServices/System Events.app 的 access 表的插入语句。

这个插入语句的作用呢，一般来说是用来帮助 osascript 命令在执行 Apple Script 的时候，强制跳过一些用户 GUI 层的确认对话框，从而达到静默执行 Login Items 的目的。在类似 JAMF Pro 这样的企业级管理软件中，有不少类似的骚操作。

好，我们开始。

• 首先是 service 字段，这个字段的值是 kTCCServiceAppleEvents，是我们的目标服务，也就是用于跳过一些强制行的用户确认 Prompts 的服务对象。下一节为参考表
• 然后是 client 字段，这个字段的值是 /usr/bin/env，这个是我们的目标客户端，也就是我们要让它通过 kTCCServiceAppleEvents 服务访问 /System/Applications/System Preferences.app 的客户端。这里无论是 /usr/bin/env 还是其对应的 identifier，都是可以的，所以也可以写成 com.apple.env。
• client_type 字段，如果你 client 填的是 /usr/bin/env，也就是绝对路径，那就这个字段的值是 1；如果填的是 com.apple.env，也就是 identifier，那就这个字段的值是 0。
• auth_value 字段，那肯定是允许嘛。所以这个字段的值是 2。
• auth_reason 字段，这个字段的值是 3，也就是 User Set。表示是用户自己设置的（笑）。下一节为参考表
• auth_version 字段，默认就是 1。别问，别管。
• csreq 字段，这个字段就是对 /usr/bin/env 的 Blob 描述原文的二进制表示。构造方法上面一节已经说的清清楚楚了。
• policy_id 字段，我们暂时用不到，设置为 NULL。
• indirect_object_identifier_type 也就是被访问对象的类型，这里是 0，也就是 identifier。
• indirect_object_identifier 字段，这个字段的值是 /System/Library/CoreServices/System Events.app/ 的 identifier，也就是 com.apple.systemevents。
• indirect_object_code_identity 字段，这个字段的值是 /System/Library/CoreServices/System Events.app/ 的 Blob 二进制表示。构造方法也是参考上一节。
• flags 字段，我们暂时用不到，设置为 NULL。
• last_modified 字段，这个字段的值只要是合法的时间戳就行，我自己一般喜欢用 2022-01-01 00:00:00，也就是 1642634565。

那么现在，我们的插入语句已经全部完成了，写出来就是这么个样子：

INSERT INTO access VALUES(    'kTCCServiceAppleEvents',   -- service    '/usr/bin/env',                -- client    1,                          -- client_type    2,                          -- auth_value    3,                          -- auth_reason    1，                         -- auth_version    -- csreq    X'fade0c000000002c0000000100000006000000020000000d636f6d2e6170706c652e656e7600000000000003',    NULL,                       -- policy_id    0,                          -- indirect_object_identifier_type    'com.apple.systemevents',   -- indirect_object_identifier    -- indirect_object_code_identity    X'fade0c000000003400000001000000060000000200000016636f6d2e6170706c652e73797374656d6576656e7473000000000003',    NULL,                       -- flags    1642634565                  -- last_modified);

之后我们就可以用 sqlite3 命令行工具，或者 DB Browser for SQLite 这样的 GUI 工具，将这条语句插入到 TCC.db 中了。

然后，你就可以通过构造一个 plist 文件和 launchctl 命令，给用户加载一些 Login Items，例如更换壁纸、更换 Dock 图标、更换桌面图标等等，而不需要经过用户在 GUI 的窗口确认了。

以下为一个简单的 plist 文件示例：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0"><dict>    <key>Label</key>    <string>{{ plist_name }}</string>    <key>Program</key>    <string>{{ apple_script_path }}</string>    <key>RunAtLoad</key>    <true/></dict></plist>

吐槽：明明非常正常的设备和系统管理操作，非要被苹果弄得像是黑客入侵操作一样。真有你的，库克。

¶Service & Auth_Reason 参考表^[2]

¶相关文献

1. 20+ ways to bypass your mac os privacy mechanisms – Csaba Fitzl
2. A deep dive into macOS TCC.db – Keith Johnson
3. How to get csreq of macOS application on command line? – Keith Johnson
4. CVE-2020–9934
5. CVE-2021-1784
6. CVE-2021-30920

DEPRECATED

¶前言

近期随着 ChatGPT 以及 ChatGPT API 的爆火，越来越多人需要使用 API Token 来进行开发和研究。但是很快开发者们就会发现，所有中国大陆和港澳地区发行的 MasterCard & VISA 行用卡，都会被 OpenAI 拒绝支付。我国的信用卡经过这么多年的努力，也算是成为了著名的不被信用卡。所以对于身在国内的人来说，如何安全稳定的获取一张可以使用海外 MasterCard & VISA 信用卡就成了一种刚需。

事实上很多人说可以申请一些加密货币信用卡，例如 Depay 或者 Nobepay 之类的。但是说实话这类信用卡基本都有一大堆特别蠢的硬伤：

• 是中国人开的
• 和 DeFi 交易密切相关
• 开卡手续费高昂
• 野鸡

上面任何一条单独拿出来就足够打消开卡的必要，安全性更是一塌糊涂。在目前这个时间点，笔者调研了一大圈，谨慎觉得对于开发者最好的选择可能确实就是 N26 银行的虚拟卡了。

¶N26 银行简介

本章节由 ChatGPT 书写 - N26 是一家来自德国的全数字化银行，成立于 2013 年，总部位于柏林。N26 的目标是重新定义银行，使它变得更加简单，透明和实用。

N26 通过其移动应用程序提供银行服务，包括：存款账户，借记卡和信用卡，转账，保险和投资产品等。其应用程序具有清晰简洁的界面，使用户可以方便地查看他们的账户余额和交易历史记录，并且提供了安全，快速和便捷的支付方式。

N26 还提供 24/7 的客户支持服务，并采用强大的安全措施来保护用户的账户。此外，N26 还与其他银行合作，以提供跨境转账和汇款服务。

当你在 N26 银行注册账户时，你可以选择三种不同的账户类型：N26 Standard，N26 You 和 N26 Metal。每种账户类型都有不同的功能和特点。

• N26 Standard: 该账户类型是免费的，并提供基本的银行服务，包括免费的借记卡和5次免费提现。另外，该账户还提供保险服务，如手机保险和出行保险。
• N26 You: 该账户类型需要付费，并提供更多的特殊功能，如免费提现和免费的外币交易，以及更多的保险和旅行服务。此外，N26 You账户还提供可自定义的借记卡和选择颜色。
• N26 Metal: 该账户类型是最高端的账户类型，需要付费，但提供的特殊功能更为丰富。该账户提供无限免费提现和免费外币交易，以及更多的高级保险和旅行服务。另外，N26 Metal 账户还提供金属质感的借记卡和个性化服务。

在使用N26银行账户时，你可以通过N26移动应用程序进行转账、支付和管理账户等操作。应用程序具有直观的界面和易于使用的功能，允许用户随时随地查看账户余额和交易历史记录，并可以轻松地设置支出限额和预算等功能。此外，N26 还提供与其他银行合作的跨境转账和汇款服务，方便用户进行国际转账。

最后，N26 银行采用了强大的安全措施，保护用户的账户安全。例如，用户可以设置额外的安全密码来保护账户，每笔交易都需要确认，N26 应用程序还具有实时警报和防欺诈措施等功能。总之，N26 银行是一家以数字化为核心的现代银行，旨在提供方便，安全和高效的银行服务。

¶申请前准备

• 护照
• 一张美国的手机卡，可以是 Google Voice
  • 关于如何申请 Google Voice 号码：GV 申请全攻略
• 可以听懂土耳其口音英语的能力和正常英语口语交流能力
• 尽可能全程保持欧洲或者北美网络环境

¶申请流程

本章节内容大量参考了 YouhuiMa 先生所写的 N26银行常见问题2022年版，但是由于时间有过去了大半年，有些内容有些许差异。

1. 首先打开 N26 官方网站

网站地址：N26.com。点击右上角的 Login，然后点击 Create a Account。

2. 开始填写基本注册信息

Nationality 这一栏强烈推荐选择德国 Germany。因为德国在认证的时候不需要你的手机开GPS定位，只要你会一点英语或者德语，他们的简单问题你都可以完成。申请德国账户通过率高，而且因为 N26 银行总部就在德国，德国的账户服务和各种功能都是最全最新的。

自 2022 年开始，申请者如果使用中国大陆的手机号注册，往往会不成功或者接受不到验证码。而美国和香港的手机号包括虚拟号都可以顺利接受验证码。

3.填写个人信息

所有信息必须真实有效。尤其是姓名一定要和你护照上一致。

笔者因为疏忽第一次注册的时候填错了姓名，直接导致浪费了一个邮箱和一个手机。因为一旦完成注册，在做完所有的认证之前，是无法登入账号管理页面的，也因为无法通过人工以外的方式删除错误的账号，会导致手机号码直接被废掉。而一个手机只能绑定一个账号，这里一定要小心再小心。

4. 填写申请N26银行账户的个人住址信息

如果要申请西班牙或者意大利的 N26 账户，你需要在当地有一个居住地址，方便接受邮寄给你的银行卡。如果你仅申请普通免费账户，N26 是不会给你寄实体卡片的，所有操作都在手机 app 上完成。因此，申请人是否真的有一个所在国家的地址就不那么重要了。在网上找一个看起来像居民住宅的地址填入就可以。比较推荐 Random German Addr

5. 填写申请人的国籍和出生/性别信息

这部分同样一定要和你的护照内容一致，如果你是中国护照或者其他国家护照，请如实填写，因为之后的视频认证需要核对的。

6. 你的工作状态相关问题

简单如实选择就可以，并不是很重要。一般来说有需要的人都填 Employment。老板们自然有合法获取全球各国信用卡的方法。主要会咨询目前雇主是哪个行业的，这个问题不重要，简单选择一个就可以，一般的码农都是 Media, technology & consulting。以及最后会询问以下你申请 N26 的用途，一般都是个人项目开发，如实选择即可。

7. 美国相关的问题

这里回答是否申请人有美国身份或者绿卡，以及询问是否有美国纳税义务。如果没有持有绿卡或者美国国籍，第一个问题选择 NO。同时也没有美国纳税的义务，第二个问题选 NO。

这里想到一个笑话，如果有一天美军和解放军还有俄罗斯军队联合起来，世界上还有什么可以阻止他们；这个时候，IRS 出*手消灭了三国联军，因为他们供应链没有缴纳足额税款。

8. 申请人税务地相关的问题

此时会询问申请人在哪个国家纳税，可以选填自己的税务号码 Tax ID，或者 Tax ID 留空也可以。不影响后续申请。

9. 设置账号的密码

密码设定推荐使用比较复杂的，至少 11 位含有数字、字母和特殊字符。如果你有推荐人，可以填写推荐号码。然后点击去下一步

10. 确认所有注册信息

确认一下所有的申请信息是否正确，然后点击同意合同条款。到这里其实网上申请就基本结束了，N26银行会立刻发Email给你，请打开你的邮箱，点击绿色确认按钮进行确认。点击开户后您的账户就完成了。

¶认证流程

完成申请账号只是 N26 申请过程中比较简单的一环，相对恶心的步骤是认证阶段。不过毕竟是欧盟最大的网络银行，严格一点也是情有可原。我们在完成注册后，首次登陆会提示你选择一些必要信息，以及信用卡套餐。这里我们应该选择没有任何费用的 N26 Standard 方案。之后页面中会出现以下提示，意味着之后的步骤都应该在手机 App 上完成。

在 App store 下载 N26 App后，登录你的账户，然后需要绑定你的手机，然后选择使用 Germany Resident VISA （只是一个选项，实际并不需要看）验证身份，一直点击继续直到开启视频验证。
验证的时候，你要找一个安静的地方并且网络畅通。目前 Verify Your Identity 稍微有些问题的更新，需要着重讲一下。

在 Verify Your Identity 视频认证的时候，可以选择德语或者英语，工作时间是德国时间早9晚5，认证专家会询问你以下几个问题：

1. 确认姓名
2. 确认是否本人申请（回答 Yes）
3. 确认是否在一个安静的，没有任何其他人的环境（回答 Yes）
4. 确认是否有任何人告诉你申请 N26 后会有报酬（回答 No）
5. 确认并拍摄你的照片
6. 确认并拍摄你用手张开五指从面前上下移动的片段
7. 确认护照号码及把护照的首页在摄像头前给客服看一看
8. 确认并拍摄护照上下移动的片段
9. 确认并拍摄护照被手指部分遮住的片段
10. 确认并拍摄护照号码区域的详细内容
11. 确认并拍摄申请人念出护照号码的片段
12. 再次发送短信到你的手机，通过 App 内进行输入确认

整个过程大约10分钟不到，之后便会提交你的认证信息到 N26 审核部门。如果在周末，你可能需要等到工作日后才会收到审核通过的状态信息；如果是工作日，应该会比较快就审核完毕。一旦视频认证成功，N26 银行账户马上就打开使用了，如果申请了实体银行卡，就会在 3 天内收到邮局寄来的银行卡。(如果本人不在欧洲，建议不要申请实体卡)。

即使开户人不在德国，通过 Email 你也会知道你的 N26 银行帐号 IBAN 和 BIC 等关键信息。之后打开你的 App 已经可以操作了。

¶结尾

现在，愉快地拿着你全新的欧盟 MasterCard 开始 ChatGPT API 的开发之旅吧。

今年这个夏天也算是比较正式的把自己的个人博客从 medium.com 上迁移了下来。不是说Medium这样的SaaS博客不好，更多的是对MarkDown编辑器本身的执念以及SaaS天然的对版本管理的缺陷导致的。

想了想过去几年其实都没有真的认真经营过博客，当然了，这种纯粹自我娱乐的东西，倒也并无经营的必要。但是作为一种半公开的网络日志，仅仅从自我愉悦的角度来说，亦是值得投入时间的。当自己在一个很长的时间轴里回看自己在过去的一些观点，本身也是一个很好的照见自我的修行。

写博客的过程从某种角度来说甚至有点像十数年前在QQ空间无病呻吟所得到快乐，但是前者更像是荷尔蒙追逐下的孔雀炫羽，后者更多是一个强迫自己输出的做法，虽然都存在功利性，但是方向却大不同。

无意义的文字说了这么多，还是回归主题，聊聊自己这些年在博客这件事情上玩过的和经历过的趣事，以及关于博客搭建这个事情的一些浅见。所以大概会下面的顺序来规划这些内容：

• 聊聊个人博客这件事（一）
  • 掰扯掰扯这些年流连于各种博客和知识库的感受。
• 聊聊个人博客这件事（二）
  • 关于几大Blog Framework: WordPress, Typecho, Hexo的使用差异以及如何选择。
• 聊聊个人博客这件事（三）
  • 纯粹的关于这个博客的搭建，以及如何在本地的VSCode中一键完成远在东京的服务器的所有发布和修改。
  • 这里大约是需要谈谈ssl和domain购买的问题的。

最开始尝试接触博客的时间点是比较晚的，差不多从2016年左右才开始有搞搞个人博客的规划。但是考虑到这玩意儿本质是一个00年代站长时代的玩意儿，事实上现在到底还有多少人还有兴趣去写博客或者看博客，其实大家心里都有答案。这也是我在相当长时间里并不认真打理自己的N个博客的根因。

但是进入职场以后，发现了一个相当有意思的现象。明明是对计算机和互联网最熟悉、玩的最透彻的这帮程序员，反倒是博客这种复古玩具最忠实的用户。基本上有点想法的技术工作者多少都会维护一个自己的微博，而且都喜欢Self-Host。当然一开始也想过这种潜在的鄙视链是否有点“博斯林”的味道，但是当自己亲自吃过鳖以后，才真正意识到可能确实只有Self-Host的博客才能满足定制化的各种奇怪需求。

• 只可惜在这里摔了两次

当时刚回国，查了一圈国内比较主流的技术博客平台，查到了掘金和简书，当然博客园和CSDN这种平台因为过于丑陋的UI和低劣的吃相一开始就没作考虑。所以当时在掘金和简书上同步更新了一段时间，内容更是五花八门，开发心得、学习心得、部署方法，各种现在看上去幼稚而搞笑、且没有任何营养和趣味的流水线技术文。所以这次迁移博客也没打算把那些文章迁过来，徒增笑尔。但是在掘金和简书的那段时间倒是收获了一些奇怪的零花钱，就是你的文章一旦有些许的阅读量，就会有人来加你联系方式，然后请你在文章的开头添加类似于编程培训那样的广告。倒也是嗦过两口这种蚊子腿。

后来花了一些时间阅读了一下国内几家比较有影响力的博客，除了编程随想托管在了BlogSpot以外，绝大多数的个人博客都采用的自建的模式。甚至有些更有时间或者更喜欢炫技的直接做了个人站，倒也是一件趣事。只是作为一个インフラ业者，我觉得更专注文字的博客框架可能更合适自己。

所以当时脑子一热，直接在Linode上起了一台云服务器，装了WordPress，Theme一套，CertBot一跑，瞬间一个博客就起来了。但是这个时候我发现了WordPress存在一个没法回避的弊端: 这东西性能其实并不是很好，而且对于文字为主的博客来说，功能太冗余庞杂了。如果你需要的是一个电商首页、产品官网或者正儿八经的论坛，WordPress都会是非常不错的选择，但是如果作为一个纯粹的个人微博框架，是会有很多问题的。这点我争取在下一篇讲讲清楚。

恰好那个时间点公司事情比较忙，也刚好看到前Boss在Medium上更新了大量的优质文章，遂想着与其在自建Blog里折腾玩乐，不如直接在SaaS上专注写作。结果我低估了没有MarkDown带来的不便。

其实对于Medium整体的印象还是非常好的，作为全球最大的几家博客平台，不但提供了非常优美的原生字体和编辑器，并且为博主的盈利化创造了很可能是最好的环境。如果你能输出大量优质英语内容的话，在Medium上实现副业超越主业绝非不可能的任务。只是，Medium在Integration上做的真的不太好，尝试过用Zapier这样的工具去把Notion、GitHub的内容同步到Medium上，但是效果非常不尽人意。如果真要弄大概率是需要自己造一个轮子才能起飞的。

而且最后让我彻底抛弃Medium的一个导火索，其实是这条通知。这意味这Medium的大策略就是封闭了。

As of May 2022, Medium no longer supports setting up a custom domain for your profile page or publication.Custom domains that are already connected will still redirect to your profile page or publication. However, it is no longer possible to connect a custom domain for the first time or to change it. You can disconnect your custom domain at any time in your Settings. Please note that once you disconnect your domain, you will not be able to re-connect it.

说到Notion，之前也想过一个问题，Notion或者Evernote这样的笔记软件和博客的边界到底在哪里。这两年大约是想清楚了。博客更多情况下是经过提炼的笔记，是笔记中脱敏的、精炼后的观点。两者确实存在关联，但是绝非可以互相替代的存在。在笔记中的大量观点，经过整理和反思，最终可以反哺给博客，作为可读性更好的素材。

总之，最后思索再三，还是从Medium上迁移了下来，选择回到Linode上自建。只是这次，我启用了Hexo，并且把Hexo和GitHub Action完全打通，在本地的VSCode完成了 [MarkDown写作–Git一键上传合并–Action远程执行–VM重新生成Public–自动发布] 的流程。现在还剩下一个小问题要处理，就是要做一份Public静态资源的同步到阿里云上，来解决国内访问Linode资源有墙的问题，同样可以在GitHub Action做掉。

以上的详情会在聊聊个人博客这件事（三）里详细谈谈。

感谢阅读