依云's Blog

有一个很讨厌的公司叫「深信服」，英文名叫「Sangfor」。它开发的私有协议的 SSL VPN 客户端 EasyConnect 终于支持 Ubuntu 了，然而我没能在 Arch Linux 上正确地把它跑起来。图形界面是 electron 之类的，这部分没有问题。但有一个会往 /usr/share 下写日志的 root 进程，应该是负责真正的 VPN 创建的，死活连不上。

那么就在 Windows 虚拟机里跑吧。所以我的 Linux 系统需要通过 Windows 访问部分网络了。只是 HTTP 的话倒是可以装个 HTTP 代理搞定，但是我还要连 ssh 的。

正文开始了。其实整个过程并不难，关键在于很难找到资料。

首先，当然是给 Windows 一张 host only 的网卡，用于两个系统之间的连接。以及，把那个 VPN 连上。

然后，打开「网络设置」，选择「更改适配器选项」。右键单击要被共享的网络适配器（比如此例中是那张 Sangfor VPN 的网卡），选择「属性」。

选择「共享」选项卡，把第一个框给勾选上，下边下拉菜单选择那张 host only 的适配器。确定。

就这样，OK 了。

要注意的是，此操作会将网卡的 IP 强制设置为「192.168.137.1」。就像图中可以看到的那样，微软总喜欢「提供策略，而非机制」。假定你是给你的家庭共享。假定你要共享的是 Internet 连接（本例中其实是 VPN 连接）。所以它也假定了你的「家庭」网络中 Windows 可以随意选择 IP 地址，假定你需要 DHCP 服务。

Linux 这边配置起来就容易多了。Virtualbox 的 vboxnet0 接口本来用的是 192.168.56.0/24 网段，但是给它配置另外的 IP 地址，往它里边扔它不了解的目标地址的包，它也不介意的。

sudo ip a add 192.168.137.2/24 dev vboxnet0
sudo ip r add 172.16.2.9/32 via 192.168.137.1

以上给 vboxnet0 添加了 IP 地址，并且让需要走 VPN 的目标地址（172.16.2.9）走 Windows 的网络。

PS: 开着防火墙的话，Windows 10 默认是忽略 ping 的。在防火墙的「入站规则」里启用「文件和打印机共享(回显请求—ICMPv4-In)」之后才能 ping 它。

另见阿森人的《伪·如何在 Linux 下使用深信服 SSL VPN》一文。

小米 Note 3 入手的时候简单写过一篇文章。现在用了一些天了，有些新的体会，也是我最不满意的地方。

双摄像头看上去很厉害，但是照片大小只有1-2MB，不像我的 Z5C 一样有5-6MB。为什么呢？ 在手机上，因为小米相册放大倍数有限，根本看不出来差别。但是传输到电脑上之后可以很明显地看出差别：

从图中可以看到，小米拍摄的照片（左）不仅比我的 Z5C 的（右）分辨率要低，而且有偏色、模糊不清（照片拍摄的是 Paperlike HD 的 Floyd 模式，所以那些沙粒一样的效果是本来就那样的；背景色有点偏绿也是肉眼所见之状态）。

这意味着，用于记录的时候，比如拍摄白板、幻灯片、小区通知，习惯了 Z5C 之后，用小米很可能在需要的时候才发现根本看不清（我已经有好几张记录用的照片现在才发现基本上是毁了）。

小米摄像头另外有一个大问题：在光照很强的时候（比如晴天室外），摄像头会有反光，在照片中呈现出一个偏绿色的亮点：

之前已经提到过，这扬声器的设计挑握持姿势，很讨厌很讨厌：我左手握持的时候，为了保证手机不在遇到碰撞不稳等情况的时候意外滑落，我会用小指托住底边，刚好堵住扬声器的孔……

小米云同步能是能同步，但是很不及时。一般情况下，我 Z5C 拍好照片过一会儿，就可以在 Google Photos 上看到照片了。小米不知道怎么回事，经常看不到照片，需要手动打开相册然后等一会儿才会有。

啊对了，小米右上角那个天气，也是要点开才会更新的样子……

为了对付诸如支付宝、淘宝、摩拜等在我的 Z5C 上特别卡的手机软件，我入手了一台小米 Note 3。

最初的感觉是：很滑，手感很不错。下面指纹识别很方便。

有点大，单手不容易按到对面。因为下巴上都是按键，所以放桌面边缘时不容易拿起来，会误触那些键。不过作为备机，在家的时候放桌面上就好了，解锁直接按，不需要经常拿起来。

没有拍照键，但是可以设置音量当快门用。有快速启动，但是是在系统设置的「手势及快速启动」中配置的。另外有个「街拍模式」，就是拿着手机，长按快捷键开始连拍或者摄像，而屏幕没有任何显示。

拍照默认带水印，可以在选项里关掉。前置摄像头拍照时默认带美颜（i.e. 别当镜子用）。还带了性别和年龄检测，以及我没太搞懂的「魔镜」评分功能。

云存储会存储原始品质的照片，免费空间只有5G，不像 Google 是 10G，并且可以无限量存储高品质照片。黑屏的时候似乎并不会同步照片，反正我等了好久，在网页端没看到。等再次打开相册时，它告诉我正在同步呢。

自带手电筒功能，可配置成亮屏后长按菜单键启动。不能像我那个 Xposed 模块那样，直接从黑屏状态启动。不过也没多大差别。

音质好不好不清楚，反正是够响。不过扬声器位于下边缘右边，手挡到的话会非常影响音质。我用过的 Z5C、Z3C、LT26i 上均没有发现这种事情，倒是我第一个智能手机 E15i 是这样，扬声器在背面，听歌时得俯卧着。

充电很快。剩余一半多的电，开始充电时 5.7V 0.9A，后来到了 6.6V 0.7A。不过使用小米充电器，我的Z5C更快，系统显示充电电流为 1.9A。我原来的充电器给 Z5C 充电时只有 0.9A 的，快了一倍。不过发生了一件令人悲伤的事情——忘记取下我的USB电流电压测量仪，它工作太久，累坏了……

SIM 卡槽需要使用配备的捅针去捅出来。不过需要的时候，最好同时配备一只汉子，或者女汉子，因为真的要用很大力，偏偏捅针就一个圈，细细的，底端也是面积极小的边缘，皮肤不够糙的话很难使上劲。当然也可以想办法，比如把针插好，然后对着桌面使劲磕几下，卡槽就会出来个边了。这体验比起 Z5C 用指甲一剥即开的体验，是有趣不少。

不插SIM卡无法安装未知来源的应用（apk 文件），也不知道这是什么鬼逻辑。小米商店里的东西还比较多的，条码扫描器、Elixir 2、Telegram 都有。HE 的 Network Tools 没有，不过可以去百度那边搜到。Google 应用说是因为授权问题没有，会提供位于百度上的版本。我没试过能不能安装，反正安装了也用不了……

默认浏览器默认为MIUI自己的浏览器，如要更改，需要去「设置」->「更多应用」->右上角菜单「默认应用设置」里修改，不会像 Android 原生系统那样让用户自行选择，也不能通过默认浏览器应用信息里的「取消默认操作」来重置。

主页是类似于 iOS 的：没有下边的「所有应用」界面，只有混杂在一起的应用图标和小部件。最让人受不了的是，应用图标被加了个半径非常大的圆角矩形，还带个白底！

顶栏默认不显示通知图标。这样也好，因为放一天之后我一看，近十条没什么用的通知呢……可以设置显示网速，不过不知道是下行速率还是总和。可惜不能显示时间显示秒数。

总体来说，功能挺丰富，但是有些混乱，界限不清。比如两种设置快捷键的途径（相机内、设置内，其实 Android 系统原生快捷键比如截屏也是可以用的，但是设置里是没有的），比如两种设置默认应用的方法。比如到处都是的推广。应用商店里几乎搜任何东西都能看到知乎，搜 Network Tools 能看到 RealCalc。「游戏」应用里竟然有「直播」。建立个放应用的文件夹都能给你推荐应用。说得好听点，叫「紧密集成」，说不好听，就叫「高耦合」。

哦对了，这机器需要保持干燥。也就是说，我洗澡时想听歌还是得带上我的 Z5C。

2018年04月06日更新：续篇《小米 Note 3 令人失望的地方》。

VBox 可以从一个指向本地硬盘的 vmdk 文件启动虚拟机。

首先，为了避免使用 root 运行 VBox，我们需要给自己访问磁盘的权限。我即将启动的是位于 sda5 上的 openSUSE。它使用 UEFI 启动，所以 UEFI 分区的权限也是需要的。创建 vmdk 文件的时候需要读取分区表，因此，还需要 sda 的权限：

sudo setfacl -m u:${USER}:rw /dev/sda{,1,5}

然后我们创建 vmdk 文件。使用-partitions 1,5选项的话，只有这两个分区能在虚拟机里访问，别的分区读的时候是全零，写入操作会被忽略。-relative选择使用分区设备名（sda1、sda5），这样创建好之后 VBox 不再需要对整块硬盘 sda 的权限了。另外会附带创建一个名字以 -pt.vmdk 结尾的文件。它是单独的分区表。如果是 MBR 启动的话，是可以直接在虚拟机系统里更新引导器的，不影响外边的系统。不过我这次是使用 UEFI 启动，所以用不上了。

VBoxManage internalcommands createrawvmdk -filename hostdisk.vmdk -rawdisk /dev/sda -partitions 1,5 -relative

创建好之后就可以撤销对 sda 的权限了：

sudo setfacl -b /dev/sda

然后去 VirtualBox 界面那边创建新虚拟机，并「启用 EFI」。另外，可以在存储设置里，把「控制器: SATA」的「使用主机输入输出 (I/O) 缓存」启用，似乎这样 I/O 会快一点。

VBox 的 EFI 并不像电脑的那样，按 F12 可以选择启动项。因此，它会启动默认的那个，也就是 /EFI/Boot/bootx64.efi。如果你想启动的系统不是这个的话，就把它的 efi 文件复制过来覆盖它。比如我是这么做的：

cd /boot/EFI/Boot
sudo cp ../opensuse/grubx64.efi bootx64.efi

如果是 Windows 10 并使用 MBR 启动的话，可以在虚拟机里用如下命令更新 MBR，干掉原来用于多启动的 grub：

bootsect /nt60 c: /mbr

做好之后就可以启动啦～

对于设备的权限设置，重启之后会丢失的。需要的时候再加上好了。

PS: openSUSE 自带了 VBox 的驱动啊，不过剪贴板共享不能用，大概只有显示驱动没带上服务。

PPS: 启动没一会儿就通知我更新出现错误，一看软件源设置，果然是 HTTP 的，被垃圾鹏博士劫持了。

刚听说就已心动，无奈当时并不支持 Linux。后来由于一些事情耽搁到现在，终于到手了～

显示器整体尺寸是31cm×27cm，其中显示屏尺寸不到26cm×21cm（请注意：手工测量有误差）。分辨率是2200x1650。也就是200dpi多，和我的 Kindle Paperwhite 一代差不多的。

显示器下方是两个纸盒，里边是Y形线（照片中没有）、简易支架（那根根子）、螺丝和仅几百M的驱动U盘。

Y形线是附加了USB电源线的HDMI线。信号走HDMI，电源走USB，所以需要额外占用一个USB口。当然接充电器上也是可以的，只是在电脑边接个充电器更不方便。

工作时，USB端口的电流为30～50mA左右，并不像说明书上说的需要2A那么多，挺省电的。对比之下，我的罗技鼠标接收器也需要15mA左右的电流呢。

线都接上之后，屏幕会闪几下，然后就可以用了。只是每隔几分钟会弹出提示信息，要求安装并运行所谓的「驱动」。下图是默认的 floyd 模式：

为了更多的模式，以及最重要的，别显示那个提示信息，需要安装并运行大上提供的软件。

软件是为 Ubuntu 提供的，但是 Arch 下也可以使用。下载并解包，将得到的三个文件「PaperLikeHD」、「ResChange」、「DS.ico」放到/usr/local/sbin/下，然后sudo PaperLikeHD 运行，会弹出一个包含一列按钮的窗口。不给 root 权限是不行的，会什么也不做就退出。

但是这样还不够。我使用的时候它总是报告找不到显示器。客服不肯告诉我它到底使用什么机制检测的，所以我 strace 又反汇编看了一下，最后发现它在找 /dev/i2c-* 设备文件，而我的系统上没有它们。看了一下一堆以 i2c 开头的内核模块，最后发现只要加载 i2c-dev 模块就好了。大上的软件需要一些时间来检测，等一会儿它就会在终端打开出「setting...50」这样的文字，这时就好了。

过程中我还专门启动到 Ubuntu live 系统里测试来着。后来才知道原来是自己的手速太快，软件还没检测到，其实等等就好 (╯‵□′)╯︵┻━┻

从图片中可以看到，floyd 模式的显示很粗糙。这是因为它实际上只有二阶灰阶，通过不同密度的点来近似不同的灰度。虽然显示有很严重的颗粒感，但是它响应飞快，常规打字操作时几乎感觉不到延迟，很适合写作和阅读文本。而真正的二阶灰阶模式 A2，只有黑白两色，虽然依旧反应快速，但是因为非黑即白，只能用来读纯文本，任何阴影或者灰色的字都不好处理。

16灰阶的 A16 模式，显示清晰、层次丰富，但是响应速度非常慢。也不是非常啦，除了屏幕大小外，无论显示效果还是响应速度都跟我的 Kindle 一样的。而与 Kindle 不同的是，它会在更新时将更新区域变黑再显示，造成闪烁。在此模式下使用鼠标非常非常费力，任何非静止的元素（比如火狐载入中的动画、时钟、光标移动）都挺分散注意力的。

以上都是所谓的「可变分辨率模式」。另外有个「固定1100x825模式」，也就是使用一半的分辨率。至于另一半去了哪里，看看它所支持的模式就能猜到了：

• A5，也就是五灰阶。这是用四个墨滴来显示一个像素，每个墨滴只有黑与白两种状态。
• A61，所谓的61灰阶。也是用四个墨滴来显示一个像素。不过每个墨滴竭尽所能有16种状态，也不知道大上是怎么组合出这61灰阶的。

也不知道大上为什么把这两种墨滴用法叫作「可变分辨率模式」和「固定1100x825模式」。哪里可变了，又哪里固定了呢？这两种模式切换时，会调用「ResChange」程序，它会影响当前的显示器布局，需要重新使用 xrandr 进行设置。

以下是各种模式显示这个灰阶测试网页的照片：

A2 模式：

A16 模式：

floyd 模式：

A5 模式：

A61 模式：

半分辨率下，清晰度做出了很大的牺牲。以下是 A16 和 A61 模式显示 PaperLikeHD 软件自身界面的效果对比：

在 A2、A5、floyd 模式下，可以调节对比度，也就是墨滴到底显示为黑还是为白的阈值，以在显示不同的页面时都能将文本与背景良好区分开。

和 Kindle Paperwhite 不同的是，它没有背光。在晚上的时候，屏幕偏暗，附加一个台灯光源比较好。不过它的屏幕也不像 Kindle 那样偏黄。

这篇文章最终定稿，就是在 PaperLikeHD 上完成的，使用的是 floyd 模式。我个人觉得半分辨率的几个模式很鸡肋。目前觉得，写作用 floyd 模式，文本阅读使用 A2 模式，网页阅读使用 A16 模式，这样最好了～

floyd 模式还有个问题：在显示某些图片时（比如我的 Awesome 桌面壁纸），那些墨滴颗粒会不断地抖动，就像风在吹沙粒一样……

最后，这里是大上的官网链接。

最近学 wzyboy 搭了一套 collectd + Graphite + Grafana 监控。collectd 和 Grafana 都比较好搞，Arch 官方源里有。但是 Graphite 就没有了。

我没有使用 Python 2 版、带 Web 前端的 Graphite 包，而是使用 graphite-api 提供 Web API，python2-carbon 存储数据。它们在 AUR 上有，其中 python2-carbon 是相当危险的（现在已经改了）。

为什么危险呢？

首先，最明显的，carbon 服务以 root 用户运行。它本身没有任何使用 root 权限的必要，所以专门创建一个 carbon 用户更好。

其次，它运行起来之后，我发现是监听 0.0.0.0 的。这个也无必要：我的 collectd 就在本地呢。

最后，也是最吓人的：它默认开启了接收 pickle 数据的端口。Python pickle 模块的文档一打开，就能看到红色的警告，告诉人们不能接收不信任来源的 pickle 数据。而我曾经工作过的公司也发生过通过 pickle 注入代码的事情：攻击者发现了一个对外网开放的 Redis 服务，刚好那个 Redis 是给 Celery 用的。攻击者于是往里边写了条自己构造的 pickle，在解析时调用 curl 命令向其服务器报告IP、端口和当前UNIX用户的信息。

这接口，开在外网，就是远程代码招行；开在本地，就是本地提权。很危险的。

为了防止各种漏洞被利用，一个未雨绸缪的办法就是：权限最小化。本来这是件比较麻烦的事情，好在 systemd 提供了许多现成的配置项，使得给 carbon 这种服务加固简单易行。

首先创建用户，写一个 sysusers 文件就可以了：

u carbon - "carbon service" /var/lib/carbon

然后，它需要使用文件系统的某些部分。那么别的就用不着访问了，比如 /home。而 /dev、/tmp 这些，自己用自己的就好。连 / 也不让写，也不允许获取任何新特权了。其实使用 carbon 用户它本来就写不了 / 也没有任何特权了，但以防万一嘛，要是哪里来个本地提权漏洞呢？

[Unit]
Description=Graphite/Carbon
After=network.target

[Service]
Type=forking
ExecStart=/usr/bin/carbon-cache.py --config=/etc/carbon/carbon.conf start
User=carbon

PrivateTmp=true
PrivateDevices=true
ProtectSystem=full
ProtectHome=true
NoNewPrivileges=true
CapabilityBoundingSet=

ReadOnlyPaths=/
ReadWritePaths=/run
ReadWritePaths=/var/log/carbon
ReadWritePaths=/var/lib/carbon

[Install]
WantedBy=multi-user.target

限制文件系统的访问，systemd 配置起来很方便，我打包的时候喜欢尽量加上。

完整的 python2-carbon 服务配置和打包脚本在这里。

以及，这里是 Arch Linux 中文社区的编译机的 Grafana。

因为腾讯的关系，不得不使用 Windows。不是QQ也不是RTX，这次 Wine 帮不上忙了。那好吧，SSD + 16G 内存，跑个 Windows 虚拟机也没多大问题。

但是问题来了：我在虚拟机里每次点击链接，会调用安装于 Windows 上的浏览器来访问。可是我登录了各种工作账号的浏览器在外面的自由世界 Linux 主系统里啊。

办法也好想：来一个远程调用，让 Windows 调用咱自己的程序打开链接，然后咱自己的程序再把链接传给外面的 Linux 就好了。理想是美满的，可是 Windows 里设置默认浏览器并不是写个 .desktop 文件那么简单！

在 Google 上找了半天资料（真的花掉了半天！），最终终于确认，需要设置以下一大堆注册表键，Windows 才会认可咱自己的浏览器：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser]
@="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities]
"ApplicationName"="RemoteBrowser"
"ApplicationIcon"="C:\\RemoteBrowser\\launch.exe,0"
"ApplicationDescription"="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities\StartMenu]
"StartMenuInternet"="RemoteBrowser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\Capabilities\URLAssociations]
"https"="RemoteBrowserHTML"
"http"="RemoteBrowserHTML"
"ftp"="RemoteBrowserHTML"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\DefaultIcon]
@="C:\\RemoteBrowser\\launch.exe,0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\InstallInfo]
"IconsVisible"=dword:00000001
"ShowIconsCommand"="\"C:\\RemoteBrowser\\launch.exe\" --show-icons"
"HideIconsCommand"="\"C:\\RemoteBrowser\\launch.exe\" --hide-icons"
"ReinstallCommand"="\"C:\\RemoteBrowser\\launch.exe\" --make-default-browser"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell\open]

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\RemoteBrowser\shell\open\command]
@="\"C:\\RemoteBrowser\\launch.exe\" \"%1\""

[HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications]
"RemoteBrowser"="SOFTWARE\\Clients\\StartMenuInternet\\RemoteBrowser\\Capabilities"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice]
"Progid"="RemoteBrowserHTML"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\https\UserChoice]
"Progid"="RemoteBrowserHTML"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML]
@="RemoteBrowser"
"FriendlyTypeName"="RemoteBrowser"
"URL Protocol"=""
"EditFlags"=dword:00000002

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\DefaultIcon]
@="C:\\RemoteBrowser\\launch.exe,0"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell]
@="open"

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell\open]

[HKEY_CLASSES_ROOT\RemoteBrowserHTML\shell\open\command]
@="\"C:\\RemoteBrowser\\launch.exe\" \"%1\""

相比之下 Linux 只需要以下这么几行：

Version=1.0
Name=Firefox
GenericName=Web Browser
Comment=Browse the Web
Exec=/usr/lib/firefox/firefox %u
Icon=firefox
Terminal=false
Type=Application
MimeType=text/html;text/xml;application/xhtml+xml;application/vnd.mozilla.xul+xml;text/mml;x-scheme-handler/http;x-scheme-handler/https;
StartupNotify=true
StartupWMClass=Firefox
Categories=Network;WebBrowser;
Keywords=web;browser;internet;

（不过真实的 firefox.desktop 有三百多行，因为各种语言的名字和描述的翻译。）

上边那个注册表文件，引用了一个 exe 文件，和里边的一个图标资源。我不知道图标使用独立的文件可不可以。加个图标并不难，上网搜一下就有了，使用 windres 命令即可。

首先准备好图标文件 icon.ico，然后写一个资源文件：

1 ICON DISCARDABLE "icon.ico"

用 windres 把它编译成 COFF 文件。因为我是在 Linux 上使用 mingw 操作，所以使用的命令叫 x86_64-w64-mingw32-windres。然后把它和其它目标文件链接到一起就可以了。因为我使用的是 Rust，它的 build.rs 脚本不支持目标文件，所以先打包成静态库，然后再链接：

x86_64-w64-mingw32-windres launch.rc -O coff -o icon.res
x86_64-w64-mingw32-ar q libres.a icon.res

然后 build.rs 脚本里说一下：

fn main() {
  println!("cargo:rustc-link-search=native=..");
  println!("cargo:rustc-link-lib=static=res");
}

然后咱的主程序，通过 TCP 把链接发到 Linux，以及 Linux 端的服务，接收链接并打开浏览器，因为很简单很常规，所以这里就不列出来了。有兴趣的去源码仓库看就好了。

exe 编译好之后，扔到之前注册表文件里提及的地方就好。然后双击那个注册表文件将其导入。接下来在默认软件的设置里就能够找到我们的「Remote Browser」了（虽然不知道为什么没有显示指定的名字，而是 exe 文件名）。

另外，那个图标资源，也可以使用 Resource Hacker 把图标文件给弄到 exe 文件里边去。

最后一步，写个用户级的 systemd 服务，把负责在浏览器里打开链接的程序给跑起来～

仓库地址在此。喜欢的话，记得 star 哦～

咱买了一个录音笔，效果比使用笔记本话筒录音好多了还省电。当然啦，我也曾试过使用手机录音，结果是，没能录多久就中断了（Android 就是这么不靠谱）。

我的录音需要记录较为准确的时间信息。录音笔怎么知道现在是什么时间呢？还好它没有跟风，用不着联网！

它带了一个小程序，叫「录音笔专用时间同步工具」（英文叫「SetUDiskTime」，可以搜到的）。是一个 EXE 文件，以及一个 DLL 文件。功能很棒，没有广告，没有推荐，也不需要注册什么乱七八糟的账户，甚至都不需要打开浏览器访问人家官网。就弹一个框，显示当前时间，确定一下就设置好时间了。这年头，这么单纯的 Windows 软件还真是难得呢。

然而，它不支持我用的 Linux 啊。虽然我努力地保证这录音笔一直有电，但是时间还是丢失了几次，它的FAT文件系统也脏了几次。每次我都得开 WinXP 虚拟机来设置时间，好麻烦。

Wine 是不行的，硬件相关的东西基本上没戏。拿 Procmon 跟踪了一下，也没什么复杂的操作，主要部分就几个 DeviceIoControl 调用，但是看不到调用参数。试了试 IDA，基本看不懂……不过倒是能知道，它通过 IOCTL_SCSI_PASSTHROUGH 直接给设备发送了 SCSI 命令。

既然跟踪不到，试试抓 USB 的包好了。本来想用 Wireshark 的，但是 WinXP 版的 Wireshark 看来不支持。又尝试了设备分配给 VBox 然后在 Linux 上抓包，结果 permission denied……我是 root 啊都被 deny 了……

那么，还是在 Windows 上抓包吧。有一个软件叫 USBPcap，下载安装最新版，结果遇到 bug。那试试旧版本吧。官网没给出旧版本的下载地址，不过看到下载链接带上了版本号，这就好办了。去 commit log 里找到旧的版本号替换进去，https://dl.bintray.com/desowin/USBPcap/USBPcapSetup-1.0.0.7.exe，就好了～

抓好包，取到 Linux 下扔给 Wireshark 解读。挺小的呢，不到50个包，大部分还都是重复的。很快就定位到关键位置了：

一个 0xcc 命令发过去，设备回复「ACTIONSUSBD」，大概是让设备做好准备。然后一个 0xb0 命令，带上7字节数据发过去，时间就设置好了。简单明了，不像那些小米空气净化器之类的所谓「物联网」，通讯加密起来不让人好好使用。

那么，这7字节是怎么传递时间数据的呢？我首先检查了UNIX时间戳，对不上。后来发送这个字串看上去挺像YYYYMMDDHHMMSS格式的，只是明显不是当时的时间。啊，它是十六进制的嘛！心算了几个，符合！再拿出我的 Python 牌计算器，确定年份是小端序的16位整数。

好了，协议细节都弄清楚了，接下来是实现。我原以为我得写个 C 程序，调几个 ioctl 的，后来网友说有个 sg3_utils 包。甚好，直接拿来用 Python 调，省得研究那几个 ioctl 要怎么写。

#!/usr/bin/env python3

import os
import sys
import struct
import subprocess
import datetime

def set_time(dev):
  cmd = ['sg_raw', '-s', '7', dev, 'b0', '00', '00', '00', '00', '00',
         '00', '07', '00', '00', '00', '00']
  p = subprocess.Popen(cmd, stdin=subprocess.PIPE, stderr=subprocess.PIPE)
  dt = datetime.datetime.now()
  data = struct.pack('<HBBBBB', dt.year, dt.month, dt.day,
                     dt.hour, dt.minute, dt.second)
  _, stderr = p.communicate(data)
  ret = p.wait()
  if ret != 0:
    raise subprocess.CalledProcessError(ret, cmd, stderr=stderr)

def actionsusbd(dev):
  cmd = ['sg_raw', '-r', '11', dev, 'cc', '00', '00', '00', '00', '00',
         '00', '0b', '00', '00', '00', '00']
  subprocess.run(cmd, check=True, stderr=subprocess.PIPE)

def main():
  if len(sys.argv) != 2:
    sys.exit('usage: setudisktime DEV')

  dev = sys.argv[1]
  if not os.access(dev, os.R_OK | os.W_OK):
    sys.exit(f'insufficient permission for {dev}')

  actionsusbd(dev)
  set_time(dev)

if __name__ == '__main__':
  main()

早就说了要介绍我在用的火狐扩展，现在终于来啦。

桌面版

• 复制链接/标签名称和地址

• 书签搜索: 右键搜索功能，见之前的文章

• AgentX: User-Agent 切换。

• Bookmarklets context menu: 因为 CSP，有些小书签不能加载了，通过 Web Extensions 绕过好了。

• Containers On The Go: 自动创建和清除临时身份。每个身份的 cookies 等存储是相互独立的。

• Decentraleyes: 给流行 JavaScript 库建立一个本地 CDN。

• Drag-Select Link Text: 选择链接里的文本。（可惜不支持 X 选择区。）

• Foxy Gestures: 手势。

• FoxyImage: 有时候会遇到方向不对的图片，用这个修理一下。

• Google™ Translator (web-extension): 翻译。目前网页内的选择翻译坏掉了，不过工具栏按钮还可以用。

• HTTPS Everywhere

• Inoreader Companion: 为了在后台打开 InoReader 里的文章。

• Octotree: GitHub / BitBucket 文件树。

• Push to Kindle

• Redirect Link: 在互联网档案馆、Archive.is 或者 Google 缓存里寻找当前页面，或者存档之。

• Redirector: 自定义重定向。比如查看图像时直接跳转到大图、跳过各种重定向链接之类的。

• Referer Control: 反盗链有时候很烦的。

• Rotate and Zoom Image: 另一个旋转图片的工具。

• Stylus: 更换网站样式，比如把 GitHub 顶栏变成白色、已访问链接使用不同的颜色。

• Tampermonkey: 更大力地修改网站。我正在使用的脚本都放在这里了。

• Textarea Cache: 在网站写东西的时候，遇到浏览器、系统崩溃死机？网站突然挂了？写的东西可别丢了。

• uBlock Origin: 广告屏蔽。

• User-Agent Switcher: 另一个切换 User-Agent 的扩展。

• v2ex plus: v2ex 新消息提醒、查看被回复的评论等。

• VimFx: 使用 Vim 的方式操作火狐。这是一个旧式扩展，使用 nightly 的话开启 extensions.legacy.enabled 选项才可以用。（AMO 上的文件链接）

• Wappalyzer: 看看网站都用了哪些技术。

• wxIF: 查看图片元数据。没什么用。

• Bookmarks Organizer: 整理书签。默认禁用，想整理的时候启用一下下。

• ScrollAnywhere: 按住中键移动鼠标时滚动页面。因为和 Foxy Gestures 使用中键冲突，暂时禁用。

Android 版

Android 版上使用的扩展比较少，大部分是桌面上用的扩展同时支持 Android，所以同步过来了。只有一个例外：Text Reflow WE。

这个扩展是我移植到 Web Extensions 的。在点击内容时限制文本宽度，从而限制需要不断地横向滚动。原本是 Opera Mobile 的特色功能，后来我换到火狐时找了个替代品，结果它没更新了，不支持57+，我就移植了一下。代码十分简单，本来是一个 user script 就可以搞定的内容，但是 Android 上好像没 user script 扩展……

2017年11月25日更新：

装回了 cliget，一个为下载项生成 wget / curl / aria2 调用命令的工具。虽然因为没有 XUL API 可以修改保存对话框了，但是作者找到了一种不错的办法，把候选下载项保存到一个列表里方便取用。会有误判，忽略就好。这个列表是下载对话框弹出的时候就会更新，所以挺适合下载大的「百k盘」文件，下载链接超时失效之后可以获取一个新的让 wget 接着下。

暂时把 uBlock Origin 换回了 Adblock Plus。界面比前者好看许多，可惜还是没有规则使用计数和最后使用时间记录，不方便清理失效的规则。

启用了 ScrollAnywhere，因为妨碍 Foxy Gestures 使用右键的 bug 已经解决了。我使用的是 Nightly 版本所以很快就用上了，Linux 发行版如 Arch 也有做 backport。

考虑换回 GreaseMonkey，不过发现有一个 bug 导致它不能在特定网站上触发安装操作。

这事本来是有个 browsercookie 库可以做的，但是初看它就有不少问题：

1. 不能指定要使用的火狐 profile（后来发现可以指定数据库文件）。
2. 找不到 sessionstore.js 文件时会向标准输出打印一行信息。对于 cron 脚本，这种行为是非常非常讨厌的。

我在尝试解决这些问题时，又发现了额外的问题：它每次都要把所有的 cookie 全部读取。再加上不必要地导入 keyring、Crypto 等库，让我想放弃了。

于是我考虑自己实现一个 cookiejar。但发现它有如下问题：

• 公开接口和实现细节没有清晰地分离
• 没有提供存储和读取 cookie 的抽象，而是存在一个字典里

这样扩展起来就十分令人不爽了，也不知道能正常工作多久。

也罢，cookiejar 是个十分复杂的东西，我不如实现一个获取匹配的 cookie 的独立功能，然后通过各种姿势传给 HTTP 客户端库好了。

火狐的 cookie 数据库文件「cookies.sqlite」里就一个「moz_cookies」表，其结构也挺简单的。但是，怎么做 cookie 的匹配呢？既然决定放弃 Python 自带的 cookiejar，那就不看它，直接看火狐的源码好了。

于是去 DXR 上搜索火狐的源码。没费多少力气就找到了相关的部分，然后跟着代码就能知道是怎么匹配的了：

1. 通过祼域名查得候选 cookie
2. 根据域名、路径和 secure 等属性来过滤 cookie
3. 就这样，没有第三步了

祼域名使用 tldextract 库来做，其它属性的匹配算法直接看火狐的代码。虽然是不熟悉的 C++ 代码，但是写得很棒，很容易理解。

把自己需要的部分写成 Python，得一新模块——firefoxcookies。就一个方法，返回一个 cookie 的字典，用起来也很方便。比如在我的 requestsutils.RequestsBase 中，这么干就可以了：

class FireRequests(RequestsBase):
  def initialize(self):
    self._fc = FirefoxCookies(os.path.expanduser(
      '~/.mozilla/firefox/nightly/cookies.sqlite'))

  def request(self, url, method=None, *args, **kwargs):
    if self.baseurl:
      url = urljoin(self.baseurl, url)

    cookies = self._fc.get_cookies(url)

    return super().request(url, method=method, cookies=cookies)

就这样就满足我的需求了。以后再有别的需求，再慢慢扩展。