不知不觉，时间已经划入 2026 年的第二天。本来想写点东西，让 2025 不至于一篇文章都没有，可惜，我懒。 最近放假在家，基本啥也没干，折腾了一圈各种东西，可是就连厨房的防水胶我都还没去重新整。 这里仅记录一下，最近折腾了一圈保存我历史记录工具的小结吧。

最最开始我用的是 Google 的 Timeline History，印象中是从 2010 年开始的。2025 年，这个服务正式进入了 Google 的坟墓。 我去导出过一次数据，不过很可惜，在我执行导出之前，它已经把我 2010 年代的数据 expire 掉了，所以基本没导出任何东西。 2015 年的时候，我开始使用 Moves，后来这个 App 被 Facebook 收购，然后在 2018 年也进了 Facebook 的坟墓。 2018 年折腾了一圈之后，我开始使用 Arc，一直用到最近，才换成了 Overland。

Arc 的数据是保存在 iCloud 上的。我一开始就比较诟病它需要根据我的位置下载一个模型，用于识别我各种活动的类型。 但其实我根本不在乎这个识别（Moves 也有，我同样不在乎）。 随着数据积累变多，在我更换手机的时候，它也曾多次出现导出数据的问题。 我一直默认开启了导出 Daily 和 Monthly 的 GPX 和 JSON 数据，即便如此，它还是让我丢了不少数据。家里领导的手机也是同样的问题。 Arc 是收费的，我觉得我既然用了它，就给了 100 刀，充了个永久解锁。不过感觉这个 App 后期更新、改 Bug 都不怎么积极。 Arc 也曾开源过核心代码，做成了 Arc Mini，不过现在看已经下架了。核心代码开源时用的还是它自己的 Location 库，也就是说，依然需要下载它的模型。 在“凑合用”的层面来说，这个 App 还不错，但它显然在大量数据管理方面做得不太好，而且这个问题感觉有点滚雪球的趋势。

2024 年的冬天，我就开始琢磨着换一种方法。于是我用 PostgreSQL 导入了所有 Arc 的数据，再用 Grafana 做数据可视化，其实我觉得挺不错的。 今年冬天，我看到了一个帖子，提到了 Reitti 这个工具，于是开始了这次新的折腾。 Reitti 需要用 PostGIS，但它没有 Docker 的 ARM64 Image，所以我一开始是放弃的。不过想着下雨天打孩子放假了，闲着也是闲着，就折腾了一下。 我在手里唯一一个低功耗 x86 设备——小米平板 2 上装了 Ubuntu（是真™耗时间啊），然后跑起来玩玩，导入了一点数据，感觉可视化做得还不错。 与此同时，我也装了一整套 OwnTracks 解决方案，这个假期基本都把玩了一遍。

先说我最后留下来的解决方案吧。 我现在手机上用的是 Overland App，数据发送到一个 Deno 写的服务端。服务端会：

1. 把请求写到磁盘上，保留原始数据（学 OwnTracks Recorder）
2. 写入我自己创建的 PostgreSQL 数据表（继续用 Grafana）
3. 最后把请求原封不动地转发给 Reitti

OwnTracks 其实有自己的 App，服务端是用 C 写的。它整套系统的设计非常克制，目标是做成类似 Apple Find My 那样，可以和朋友实时共享位置的功能。 这里说的“克制”，一方面是功能上非常简单（也因此可靠），另一方面是服务端资源占用极低。 它最开始只支持 MQTT 协议，后来才加了 HTTP。MQTT 还用了 mTLS 认证，这一点让我觉得难能可贵。 不过我个人最不喜欢它的一点也正是 MQTT。这玩意儿是持久连接，客户端可能因此比其他方案更费电。 而 HTTP 模式似乎又不支持 batch，所以有人抱怨它流量消耗很大。 服务端的理念是尽可能保留数据，基本就是把收到的请求全写成文本文件。可视化方面默认给了一个非常基础的 HTML 页面，也有一个 Vue 版本，但都只是“能看”的程度，远不如我用 Grafana Dashboard 做得好看。 所以我没打算长期用它。但服务端确实非常省资源，我也就留着了，看看后面会不会有别的发展。不过也不一定，这个项目已经 10 年了，虽然还在维护，但整体已经非常稳定、固定了。

Reitti 是用 Java 写的，内存消耗非常大，尤其是在导入数据和处理的时候。不过它在可视化方面做了很多努力，可以生成年度、月度分析，比如在某个地方待了多久、用了什么交通方式（基于速度判断）。 它的设计非常重视隐私：坐标点转换成地名时，可以下载 OpenStreetMap 的离线数据在本地查询，而不用调用外部 API（不过说实话，我图省事，没这么干）。 Reitti 的数据只存了三维坐标信息，可视化部分也只用了二维数据，像速度这种信息并没有存下来。所以我也不太喜欢它丢了这么多数据（虽然实际上也没啥用）。 数据导出方面，目前做得也很简陋，导出界面稍微选的时间范围长一点，就会卡死。当然，既然是自己部署，写点代码导出也不是什么难事。 综合这些考虑，我目前也只是把它当成一个可视化 UI，并没有奢求更多。 因为最终还是要用 Reitti，我又折腾了一会儿，把数据库直接装在 Docker 外面。导入数据的时候，Reitti 甚至把数据库进程写挂过一次，不过重启之后能搞定。

最后，说说现在这套方案的安全性。 严格来说，数据安全未必比 Arc 更好。Overland 也可能被 iOS 杀掉，导致不记录数据；我家的服务器两天才备份一次，如果没来得及备份，数据也会丢；服务器本身的可用性也不高。 不过 Overland 会先把数据存在手机本地，直到服务器确认接收才删除，所以问题可能也不大。 我还是期待 Overland 能支持（或者有别的 App 能支持）把数据长期存储在手机本地。

写了这么多，最后贴一下我用的代码，万一有人用得上呢。 MIT License，不放 GitHub 了，大部分都是 GPT 写的，我是真的懒啊。。

import { serve } from "https://deno.land/std@0.208.0/http/server.ts";
import { Client } from "https://deno.land/x/postgres@v0.17.0/mod.ts";

// Type definitions
interface ValidationRule {
  userId: number;
  queries?: Record<string, string[]>;
  headers?: Record<string, string[]>;
}

interface DatabaseConfig {
  hostname: string;
  port: number;
  database: string;
  user: string;
  password: string;
}

interface Config {
  port: number;
  validationRules: ValidationRule[];
  database: DatabaseConfig;
  fileStoragePath: string;
  upstreamUri: string;
}

interface LocationProperties {
  timestamp: string;
  latitude?: number;
  longitude?: number;
  altitude?: number;
  speed?: number;
  horizontal_accuracy?: number;
  vertical_accuracy?: number;
  course?: number;
  course_accuracy?: number;
  speed_accuracy?: number;
  motion?: string[];
  battery_state?: string;
  battery_level?: number;
  wifi?: string;
  pauses?: boolean;
  activity?: string;
  desired_accuracy?: number;
  deferred?: number;
  significant_change?: string;
  locations_in_payload?: number;
  device_id?: string;
  // Trip-related fields
  start?: string;
  end?: string;
  type?: string;
  mode?: string;
  distance?: number;
  duration?: number;
  steps?: number;
  stopped_automatically?: boolean;
  start_location?: Location | null;
  end_location?: Location;
}

interface PointGeometry {
  type: "Point";
  coordinates: [number, number];
}

interface Location {
  type: "Feature";
  geometry?: PointGeometry;
  properties: LocationProperties;
}

interface ApiRequest {
  locations: Location[];
  current?: unknown;
  trip?: unknown;
}

interface DbLocationData {
  user_id: number;
  ts: Date;
  latitude: number;
  longitude: number;
  horizontal_accuracy: number | null;
  altitude: number | null;
  vertical_accuracy: number | null;
  course: number | null;
  course_accuracy: number | null;
  speed: number | null;
  speed_accuracy: number | null;
  battery_state: string | null;
  battery_level: number | null;
  motions: string[] | null;
  wifi: string | null;
}

// Global configuration
const CONFIG: Config = {
  port: parseInt(Deno.env.get("SERVER_PORT") || "8080"),
  validationRules: [
    {
      userId: 1,
      queries: { token: ["user 1 token"] },
      // headers: { headerName: ["validValue3"] },
    },
    {
      userId: 2,
      queries: { token: ["user 2 token"] },
      // headers: { headerName: ["validValue3"] },
    },
    // Add more rules as needed
  ],
  database: {
    hostname: Deno.env.get("DB_HOSTNAME") || "localhost",
    port: parseInt(Deno.env.get("DB_PORT") || "5432"),
    database: Deno.env.get("DB_NAME") || "location_history",
    user: Deno.env.get("DB_USER") || "postgres",
    password: Deno.env.get("DB_PASSWORD") || "",
  },
  fileStoragePath: "/app/data",
  upstreamUri: "http://reitti-server-address:8080/api/v1/ingest/overland",
};

// Database client
let dbClient: Client | null = null;

// Initialize database connection
async function initDatabase() {
  dbClient = new Client(CONFIG.database);
  await dbClient.connect();
  console.log("Database connected");
}

// Validate request against rules
function validateRequest(
  url: URL,
  headers: Headers,
): { valid: boolean; userId?: number } {
  const queryParams = Object.fromEntries(url.searchParams.entries());
  const headerMap = Object.fromEntries(headers.entries());

  for (const rule of CONFIG.validationRules) {
    let matches = true;

    // Check queries
    if (rule.queries) {
      for (const [key, validValues] of Object.entries(rule.queries)) {
        const value = queryParams[key];
        if (!value || !validValues.includes(value)) {
          matches = false;
          break;
        }
      }
    }

    // Check headers
    if (matches && rule.headers) {
      for (const [key, validValues] of Object.entries(rule.headers)) {
        const value = headerMap[key.toLowerCase()];
        if (!value || !validValues.includes(value)) {
          matches = false;
          break;
        }
      }
    }

    if (matches) {
      return { valid: true, userId: rule.userId };
    }
  }

  return { valid: false };
}

// Validate location data
function validateLocation(location: Location): {
  valid: boolean;
  error?: string;
} {
  if (!location.properties) {
    return { valid: false, error: "Missing properties" };
  }

  const props = location.properties;
  
  // For trip records, timestamp might be in 'end' field, or use 'timestamp'
  const hasTimestamp = props.timestamp || props.end || props.start;
  if (!hasTimestamp) {
    return { valid: false, error: "Missing timestamp" };
  }

  // Check for coordinates in geometry.coordinates or properties
  const coords = location.geometry?.coordinates || [];
  const hasCoordsInGeometry = coords.length >= 2 && 
    coords[0] !== undefined && coords[0] !== null &&
    coords[1] !== undefined && coords[1] !== null;
  const hasCoordsInProps = props.latitude !== undefined && props.latitude !== null &&
    props.longitude !== undefined && props.longitude !== null;

  if (!hasCoordsInGeometry && !hasCoordsInProps) {
    return { valid: false, error: "Missing latitude/longitude" };
  }

  return { valid: true };
}

// Convert location to database format
function locationToDbFormat(location: Location, userId: number): DbLocationData {
  const props = location.properties;
  const coords = location.geometry?.coordinates || [];

  // Use timestamp, end, or start (in that order of preference)
  const timestampStr = props.timestamp || props.end || props.start;
  if (!timestampStr) {
    throw new Error("No timestamp available");
  }
  const timestamp = new Date(timestampStr);
  const latitude = coords[1] ?? props.latitude;
  const longitude = coords[0] ?? props.longitude;

  // Enum values from schema
  const validMotionTypes = [
    "driving",
    "walking",
    "running",
    "cycling",
    "stationary",
    "automotive_navigation",
    "fitness",
    "other_navigation",
    "other",
    "moving",
    "uncertain",
  ];
  const validBatteryStates = ["unknown", "charging", "full", "unplugged"];

  // Process motion array
  let motions: string[] | null = null;
  if (Array.isArray(props.motion)) {
    motions = props.motion.filter((m) =>
      validMotionTypes.includes(m)
    );
    if (motions.length === 0) {
      motions = null;
    }
  }

  // Process battery_state
  let batteryState: string | null = props.battery_state || null;
  if (batteryState && !validBatteryStates.includes(batteryState)) {
    batteryState = null;
  }

  return {
    user_id: userId,
    ts: timestamp,
    latitude: latitude!,
    longitude: longitude!,
    horizontal_accuracy: props.horizontal_accuracy ?? null,
    altitude: props.altitude ?? null,
    vertical_accuracy: props.vertical_accuracy ?? null,
    course: props.course ?? null,
    course_accuracy: props.course_accuracy ?? null,
    speed: props.speed ?? null,
    speed_accuracy: props.speed_accuracy ?? null,
    battery_state: batteryState,
    battery_level: props.battery_level ?? null,
    motions: motions,
    wifi: props.wifi || null,
  };
}

// Insert a single location into database
async function insertSingleLocation(location: Location, userId: number) {
  if (!dbClient) {
    throw new Error("Database not connected");
  }

  const validation = validateLocation(location);
  if (!validation.valid) {
    console.warn(`Skipping invalid location: ${validation.error}`);
    return;
  }

  const dbData = locationToDbFormat(location, userId);

  await dbClient.queryObject`
    INSERT INTO public.positions (
      user_id, ts, geom, horizontal_accuracy,
      altitude, vertical_accuracy, course, course_accuracy,
      speed, speed_accuracy, battery_state, battery_level,
      motions, wifi
    ) VALUES (
      ${dbData.user_id}, ${dbData.ts},
      ST_SetSRID(ST_MakePoint(${dbData.longitude}, ${dbData.latitude}), 4326),
      ${dbData.horizontal_accuracy}, ${dbData.altitude}, ${dbData.vertical_accuracy},
      ${dbData.course}, ${dbData.course_accuracy}, ${dbData.speed},
      ${dbData.speed_accuracy}, ${dbData.battery_state}, ${dbData.battery_level},
      ${dbData.motions}, ${dbData.wifi}
    )
    ON CONFLICT (ts, user_id, geom) DO UPDATE SET
      horizontal_accuracy = EXCLUDED.horizontal_accuracy,
      altitude = EXCLUDED.altitude,
      vertical_accuracy = EXCLUDED.vertical_accuracy,
      course = EXCLUDED.course,
      course_accuracy = EXCLUDED.course_accuracy,
      speed = EXCLUDED.speed,
      speed_accuracy = EXCLUDED.speed_accuracy,
      battery_state = EXCLUDED.battery_state,
      battery_level = EXCLUDED.battery_level,
      motions = EXCLUDED.motions,
      wifi = EXCLUDED.wifi
  `;
}

// Extract all locations from a location object, including nested ones
function extractAllLocations(location: Location): Location[] {
  const result: Location[] = [];
  const props = location.properties;

  // Extract start_location if it exists
  if (props.start_location) {
    result.push(props.start_location);
  }

  // Extract the main location if it has valid coordinates
  if (location.geometry?.coordinates || props.latitude !== undefined) {
    result.push(location);
  }

  // Extract end_location if it exists
  if (props.end_location) {
    result.push(props.end_location);
  }

  return result;
}

// Insert locations into database
async function insertLocations(locations: Location[], userId: number) {
  if (!dbClient) {
    throw new Error("Database not connected");
  }

  // Extract all locations (including nested ones) into a flat list
  const allLocations: Location[] = [];
  for (const location of locations) {
    const extracted = extractAllLocations(location);
    allLocations.push(...extracted);
  }

  // Insert each location individually as a separate record
  for (const location of allLocations) {
    await insertSingleLocation(location, userId);
  }
}

// Write JSON to disk
async function writeToDisk(jsonData: ApiRequest, userId: number) {
  const now = new Date();
  const year = now.getUTCFullYear();
  const month = String(now.getUTCMonth() + 1).padStart(2, "0");
  const day = String(now.getUTCDate()).padStart(2, "0");

  const dirPath = `${CONFIG.fileStoragePath}/${year}/${month}`;
  await Deno.mkdir(dirPath, { recursive: true });

  const filePath = `${dirPath}/${day}.rec`;
  const jsonStr = JSON.stringify(jsonData);
  const line = `${userId} ${jsonStr}\n`;

  await Deno.writeTextFile(filePath, line, { append: true });
}

// Forward request to upstream
async function forwardRequest(
  originalRequest: Request,
  jsonData: ApiRequest,
): Promise<Response> {
  const upstreamUrl = new URL(CONFIG.upstreamUri);

  // Copy query parameters
  const originalUrl = new URL(originalRequest.url);
  for (const [key, value] of originalUrl.searchParams.entries()) {
    upstreamUrl.searchParams.set(key, value);
  }

  // Copy headers
  const headers = new Headers();
  for (const [key, value] of originalRequest.headers.entries()) {
    headers.set(key, value);
  }
  // Ensure Content-Type is set for JSON
  if (!headers.has("Content-Type")) {
    headers.set("Content-Type", "application/json");
  }

  // Forward request
  const response = await fetch(upstreamUrl.toString(), {
    method: "POST",
    headers: headers,
    body: JSON.stringify(jsonData),
  });

  return response;
}

// Handle API request
async function handleApiRequest(request: Request): Promise<Response> {
  try {
    // Validate request
    const url = new URL(request.url);
    const validation = validateRequest(url, request.headers);

    if (!validation.valid) {
      return new Response(
        JSON.stringify({ error: "Validation failed" }),
        { status: 403, headers: { "Content-Type": "application/json" } },
      );
    }

    const userId = validation.userId!;

    // Parse JSON
    let jsonData: ApiRequest;
    try {
      jsonData = await request.json() as ApiRequest;
    } catch (error) {
      return new Response(
        JSON.stringify({ error: "Invalid JSON", details: String(error) }),
        { status: 400, headers: { "Content-Type": "application/json" } },
      );
    }

    // Validate locations array exists
    if (!jsonData.locations || !Array.isArray(jsonData.locations)) {
      return new Response(
        JSON.stringify({ error: "Missing or invalid locations array" }),
        { status: 400, headers: { "Content-Type": "application/json" } },
      );
    }

    // always forward first
    const fwRequested = forwardRequest(request, jsonData);

    // Write to disk
    try {
      await writeToDisk(jsonData, userId);
    } catch (error) {
      console.error("File write error:", error);
      return new Response(
        JSON.stringify({ error: "Write file error", details: String(error) }),
        { status: 500, headers: { "Content-Type": "application/json" } },
      );
    }

    // Write to database
    try {
      await insertLocations(jsonData.locations, userId);
    } catch (error) {
      console.error("Database error:", error);
      return new Response(
        JSON.stringify({ error: "Database error", details: String(error) }),
        { status: 500, headers: { "Content-Type": "application/json" } },
      );
    }

    // Wait Forward to upstream
    try {
      const upstreamResponse = await fwRequested;
      return upstreamResponse;
    } catch (error) {
      console.error("Upstream forward error:", error);
      // Return success even if upstream fails
      return new Response(
        JSON.stringify({ success: true, message: "Processed but upstream failed" }),
        { status: 500, headers: { "Content-Type": "application/json" } },
      );
    }
  } catch (error) {
    console.error("Unexpected error:", error);
    return new Response(
      JSON.stringify({ error: "Internal server error", details: String(error) }),
      { status: 500, headers: { "Content-Type": "application/json" } },
    );
  }
}

// Forward reprocessed data to upstream (no original Request available)
async function forwardReprocessRequest(
  jsonData: ApiRequest,
  userId: number,
): Promise<Response> {
  const upstreamUrl = new URL(CONFIG.upstreamUri);

  // Re-apply validation rule query params (e.g. token)
  const rule = CONFIG.validationRules.find(r => r.userId === userId);
  if (rule?.queries) {
    for (const [key, values] of Object.entries(rule.queries)) {
      if (values.length > 0) {
        upstreamUrl.searchParams.set(key, values[0]);
      }
    }
  }

  return await fetch(upstreamUrl.toString(), {
    method: "POST",
    headers: {
      "Content-Type": "application/json",
    },
    body: JSON.stringify(jsonData),
  });
}



// Reprocess data from rec file for a given date
async function handleReprocessRequest(request: Request, dateStr: string): Promise<Response> {
  try {

    // Parse date (expecting YYYY-MM-DD format)
    let date: Date;
    try {
      date = new Date(dateStr + "T00:00:00Z");
      if (isNaN(date.getTime())) {
        throw new Error("Invalid date format");
      }
    } catch (error) {
      return new Response(
        JSON.stringify({ error: "Invalid date format. Expected YYYY-MM-DD", details: String(error) }),
        { status: 400, headers: { "Content-Type": "application/json" } },
      );
    }

    const year = date.getUTCFullYear();
    const month = String(date.getUTCMonth() + 1).padStart(2, "0");
    const day = String(date.getUTCDate()).padStart(2, "0");

    const filePath = `${CONFIG.fileStoragePath}/${year}/${month}/${day}.rec`;

    // Check if file exists
    try {
      await Deno.stat(filePath);
    } catch (error) {
      return new Response(
        JSON.stringify({ error: "File not found", path: filePath }),
        { status: 404, headers: { "Content-Type": "application/json" } },
      );
    }

    // Read and process file
    const fileContent = await Deno.readTextFile(filePath);
    const lines = fileContent.trim().split("\n").filter(line => line.trim().length > 0);

    let processedCount = 0;
    let errorCount = 0;
    const errors: string[] = [];
    const userCounts: Record<number, number> = {};

    for (const line of lines) {
      try {
        // Parse format: {user_id} {json}
        const spaceIndex = line.indexOf(" ");
        if (spaceIndex === -1) {
          errorCount++;
          errors.push(`Invalid line format (missing space): ${line.substring(0, 50)}`);
          continue;
        }

        const userIdStr = line.substring(0, spaceIndex);
        const userId = parseInt(userIdStr, 10);
        
        if (isNaN(userId) || userId <= 0) {
          errorCount++;
          errors.push(`Invalid user_id: ${userIdStr}`);
          continue;
        }

        const jsonStr = line.substring(spaceIndex + 1);
        const jsonData = JSON.parse(jsonStr) as ApiRequest;
        
        if (!jsonData.locations || !Array.isArray(jsonData.locations)) {
          errorCount++;
          errors.push(`Invalid locations array in line`);
          continue;
        }

      // Forward to upstream FIRST (same behavior as live ingest)
      try {
        const upstreamResp = await forwardReprocessRequest(jsonData, userId);
        if (!upstreamResp.ok) {
          throw new Error(`Upstream failed: ${upstreamResp.status}`);
        }
      } catch (error) {
        errorCount++;
        errors.push(`Upstream error for user ${userId}: ${String(error)}`);
        continue; // skip DB insert if upstream fails
      }

      // Then write to database
      await insertLocations(jsonData.locations, userId);

      processedCount++;
      userCounts[userId] = (userCounts[userId] || 0) + 1;

      } catch (error) {
        errorCount++;
        errors.push(`Error processing line: ${String(error)}`);
        console.error("Error processing line:", error);
      }
    }

    return new Response(
      JSON.stringify({
        success: true,
        message: "Reprocessing completed",
        date: dateStr,
        processed: processedCount,
        errors: errorCount,
        user_counts: userCounts,
        error_details: errors.length > 0 ? errors.slice(0, 10) : undefined, // Limit error details
      }),
      { status: 200, headers: { "Content-Type": "application/json" } },
    );
  } catch (error) {
    console.error("Reprocess error:", error);
    return new Response(
      JSON.stringify({ error: "Internal server error", details: String(error) }),
      { status: 500, headers: { "Content-Type": "application/json" } },
    );
  }
}

// Main server handler
async function handler(request: Request): Promise<Response> {
  const url = new URL(request.url);

  if (url.pathname === "/api/v1/ingest/overland" && request.method === "POST") {
    return await handleApiRequest(request);
  }

  // Handle reprocess endpoint: /api/v1/reprocess/YYYY-MM-DD
  if (url.pathname.startsWith("/api/v1/reprocess/") && request.method === "POST") {
    const dateStr = url.pathname.replace("/api/v1/reprocess/", "");
    if (dateStr && /^\d{4}-\d{2}-\d{2}$/.test(dateStr)) {
      return await handleReprocessRequest(request, dateStr);
    } else {
      return new Response(
        JSON.stringify({ error: "Invalid date format in URL. Expected /api/v1/reprocess/YYYY-MM-DD" }),
        { status: 400, headers: { "Content-Type": "application/json" } },
      );
    }
  }

  return new Response("Not Found", { status: 404 });
}

// Start server
async function main() {
  await initDatabase();

  console.log(`Server listening on port ${CONFIG.port}`);
  await serve(handler, { hostname: '0.0.0.0', port: CONFIG.port });
}

// Handle cleanup
Deno.addSignalListener("SIGINT", async () => {
  console.log("\nShutting down...");
  if (dbClient) {
    await dbClient.end();
  }
  Deno.exit(0);
});

if (import.meta.main) {
  main();
}

CREATE TYPE public.battery_state_type AS ENUM
    ('unknown', 'charging', 'full', 'unplugged');

CREATE TYPE public.motion_type AS ENUM
    ('driving', 'walking', 'running', 'cycling', 'stationary', 'automotive_navigation', 'fitness', 'other_navigation', 'other', 'moving', 'uncertain');

CREATE TABLE IF NOT EXISTS public.positions
(
    user_id integer NOT NULL,
    ts timestamp without time zone NOT NULL,
    geom geometry(Point,4326) NOT NULL,
    horizontal_accuracy numeric(6,2),
    altitude numeric(7,2),
    vertical_accuracy numeric(5,2),
    course numeric(4,1),
    course_accuracy numeric(4,1),
    speed numeric(5,2),
    speed_accuracy numeric(4,1),
    battery_state battery_state_type,
    battery_level numeric(3,2),
    motions motion_type[],
    wifi text COLLATE pg_catalog."default",
    CONSTRAINT positions_pkey PRIMARY KEY (ts, user_id, geom)
);

本文中文在后面

Running containers on macOS using Podman involves setting up a Linux virtual machine (VM) to handle the containers. However, when using a Docker Compose configuration with a bridge network, you may encounter challenges accessing the containers directly from macOS. This blog will guide you through how to set up a bridge network between your Podman VM and macOS using WireGuard, enabling direct access to your containers.

Problem Overview

Let’s say you have a Docker Compose configuration like the one below, which defines a Redis leader and replica on a custom network:

services:
  redis-leader:
    image: redis:6.2.6-alpine
    networks:
      my-net:
        ipv4_address: 10.2.2.100

  redis-replica:
    image: redis:6.2.6-alpine
    command: redis-server --replicaof redis-leader 6379
    depends_on:
      - redis-leader
    networks:
      my-net:
        ipv4_address: 10.2.2.101

networks:
  my-net:
    driver: bridge
    ipam:
      config:
      - subnet: 10.2.2.0/24

In this setup, you won’t be able to directly access the Redis containers from macOS because the bridge network only connects the containers inside the Podman VM, isolating them from the macOS host.

Solution: Use WireGuard to Bridge Networks

To solve this problem, we will set up a WireGuard connection between the Podman VM and macOS. This setup allows macOS to communicate with containers running on the VM.

Step 1: Install WireGuard on macOS

Start by installing the WireGuard tools on your macOS system using Homebrew:

brew install wireguard-tools

Step 2: Generate Keys for WireGuard

Next, you need to generate two pairs of public and private keys—one for the Podman VM and one for macOS. Run the following command twice to generate the keys:

wg genkey | tee /dev/stderr | wg pubkey

The first line of the output will be the private key, and the second line will be the public key. Make sure to run this command twice to generate two sets of keys.

Step 3: Configure WireGuard on macOS

After generating the keys, configure WireGuard on macOS. First, create the necessary directory:

sudo mkdir -p /opt/homebrew/etc/wireguard/

Then, create the configuration file /opt/homebrew/etc/wireguard/wg0.conf:

cat <<EOF > /opt/homebrew/etc/wireguard/wg0.conf
[Interface]
PrivateKey = <private key A> # private key for macOS
Address = 10.0.0.2/24 # WireGuard IP for macOS
ListenPort = 51820 # listening port for WireGuard
PostUp = ifconfig lo0 inet 100.64.64.64/30 100.64.64.64 alias
PostDown = ifconfig lo0 inet 100.64.64.64/30 100.64.64.64 delete

[Peer]
PublicKey = <public key B> # public key for Podman VM
AllowedIPs = 10.2.0.0/16, 10.0.0.1/32 # range of the bridge network
PersistentKeepalive = 25
EOF

The AllowedIPs field should match your Docker bridge network range. Start WireGuard on macOS using the following command:

sudo wg-quick up wg0

Check the status of WireGuard by running:

sudo wg

Keep in mind that after a reboot, you’ll need to run sudo wg-quick up wg0 again to restart WireGuard.

Step 4: Set Up WireGuard on the Podman VM

Next, log in to the Podman VM via SSH:

podman machine ssh

Create a WireGuard configuration file /etc/wireguard/wg0.conf:

cat << EOF > /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <private key B> # private key for the Podman VM
Address = 10.0.0.1/24 # WireGuard IP for Podman VM
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT

[Peer]
PublicKey = <public key A> # public key for macOS
AllowedIPs = 10.0.0.2/32 # WireGuard IP for macOS
Endpoint = 100.64.64.64:51820
PersistentKeepalive = 25
EOF

Start WireGuard on the Podman VM with:

wg-quick up wg0

To ensure that WireGuard starts automatically whenever the Podman machine starts, enable it with:

systemctl enable wg-quick@wg0

Step 5: Access the Containers from macOS

Once WireGuard is running on both macOS and the Podman VM, you should be able to access the containers directly from macOS. For example, to ping the Redis replica:

ping 10.2.2.101

You should receive a response like:

PING 10.2.2.101 (10.2.2.101): 56 data bytes
64 bytes from 10.2.2.101: icmp_seq=0 ttl=63 time=5.992 ms

Conclusion

By configuring a WireGuard connection between your Podman VM and macOS, you can successfully bridge the network and access containers directly from your macOS host. This setup is particularly useful when working with isolated containers in a bridge network on macOS using Podman.

在macOS上设置Podman虚拟机桥接网络：逐步指南

在macOS上使用Podman运行容器时，涉及设置一个Linux虚拟机（VM）来处理容器。然而，当你使用一个bridge网络的Docker Compose配置时，可能会遇到无法直接从macOS访问容器的问题。本篇博客将指导您如何通过使用WireGuard在Podman虚拟机和macOS之间设置桥接网络，从而实现对容器的直接访问。

问题概述

假设您有如下的Docker Compose配置，它在自定义网络上定义了一个Redis主节点和副本：

services:
  redis-leader:
    image: redis:6.2.6-alpine
    networks:
      my-net:
        ipv4_address: 10.2.2.100

  redis-replica:
    image: redis:6.2.6-alpine
    command: redis-server --replicaof redis-leader 6379
    depends_on:
      - redis-leader
    networks:
      my-net:
        ipv4_address: 10.2.2.101

networks:
  my-net:
    driver: bridge
    ipam:
      config:
      - subnet: 10.2.2.0/24

在这个设置中，您将无法直接从macOS访问Redis容器，因为桥接网络仅连接Podman虚拟机内部的容器，使它们与macOS主机隔离。

解决方案：使用WireGuard桥接网络

为了解决这个问题，我们将设置一个WireGuard连接，使Podman虚拟机和macOS之间的通信变得可能。这一设置允许macOS与运行在虚拟机中的容器进行通信。

第一步：在macOS上安装WireGuard

首先，使用Homebrew在macOS上安装WireGuard工具：

brew install wireguard-tools

第二步：为WireGuard生成密钥

接下来，您需要为Podman虚拟机和macOS分别生成两对公钥和私钥。运行以下命令两次以生成密钥：

wg genkey | tee /dev/stderr | wg pubkey

输出的第一行是私钥，第二行是公钥。请确保运行两次命令以生成两组密钥。

第三步：在macOS上配置WireGuard

生成密钥后，在macOS上配置WireGuard。首先，创建所需的目录：

sudo mkdir -p /opt/homebrew/etc/wireguard/

然后，创建配置文件 /opt/homebrew/etc/wireguard/wg0.conf：

cat <<EOF > /opt/homebrew/etc/wireguard/wg0.conf
[Interface]
PrivateKey = <private key A> # macOS的私钥
Address = 10.0.0.2/24 # macOS的WireGuard IP
ListenPort = 51820 # WireGuard监听端口
PostUp = ifconfig lo0 inet 100.64.64.64/30 100.64.64.64 alias
PostDown = ifconfig lo0 inet 100.64.64.64/30 100.64.64.64 delete

[Peer]
PublicKey = <public key B> # Podman虚拟机的公钥
AllowedIPs = 10.2.0.0/16, 10.0.0.1/32 # 桥接网络的范围
PersistentKeepalive = 25
EOF

AllowedIPs字段应与您的Docker桥接网络范围匹配。使用以下命令启动macOS上的WireGuard：

sudo wg-quick up wg0

通过运行以下命令检查WireGuard的状态：

sudo wg

请注意，重启后您需要再次运行sudo wg-quick up wg0来重新启动WireGuard。

第四步：在Podman虚拟机上设置WireGuard

接下来，通过SSH登录到Podman虚拟机：

podman machine ssh

创建WireGuard配置文件 /etc/wireguard/wg0.conf：

cat << EOF > /etc/wireguard/wg0.conf
[Interface]
PrivateKey = <private key B> # Podman虚拟机的私钥
Address = 10.0.0.1/24 # Podman虚拟机的WireGuard IP
PostUp = iptables -A FORWARD -i %i -j ACCEPT
PostDown = iptables -D FORWARD -i %i -j ACCEPT

[Peer]
PublicKey = <public key A> # macOS的公钥
AllowedIPs = 10.0.0.2/32 # macOS的WireGuard IP
Endpoint = 100.64.64.64:51820
PersistentKeepalive = 25
EOF

在Podman虚拟机上启动WireGuard：

wg-quick up wg0

为了确保每次Podman虚拟机启动时WireGuard也自动启动，运行以下命令启用它：

systemctl enable wg-quick@wg0

第五步：从macOS访问容器

一旦macOS和Podman虚拟机上的WireGuard都运行起来，您就可以从macOS直接访问容器了。例如，要ping Redis副本：

ping 10.2.2.101

您应该收到如下响应：

PING 10.2.2.101 (10.2.2.101): 56 data bytes
64 bytes from 10.2.2.101: icmp_seq=0 ttl=63 time=5.992 ms

结论

通过在Podman虚拟机和macOS之间配置WireGuard连接，您可以成功地桥接网络并直接从macOS主机访问容器。这一设置在使用Podman在macOS上处理隔离的bridge网络中的容器时特别有用。

中文在英文文末

Apple asserts itself as a champion of user privacy; however, this claim will be proven untrue in this article. For almost a decade, Apple allowed apps had the capability to track users' locations without affording them the option to disable this feature or even raising awareness about it. And this is "ONLY APPLE CAN DO"!

The HotspotHelper API in Action

Since the introduction of iOS 9 in 2015, Apple has included an API call named "HotspotHelper," enabling developers to request a capability for their apps to assist the system in connecting to WiFi access points. Let's delve into how this API works with a simplified code snippet:

import CoreLocation
import NetworkExtension

class LocationTrackingManager {
    func setupHotspotHelper() {
        // Request HotspotHelper capability
        NEHotspotHelper.register(options: nil, queue: DispatchQueue.main) { (command) in
            if let networkList = command.networkList {
                for network in networkList {
                    // Access WiFi network information (SSID, MAC address)
                    // see: https://developer.apple.com/documentation/networkextension/nehotspotnetwork
                    let ssid = network.ssid
                    let macAddress = network.bssid

                    // Perform location tracking logic with ssid and macAddress
                    self.trackLocation(withSSID: ssid, andMACAddress: macAddress)
                }
            }
        }
    }

    func trackLocation(withSSID ssid: String, andMACAddress macAddress: String) {
        // Your location tracking logic goes here
        // Use the ssid and macAddress to determine user location
    }
}

This snippet demonstrates how developers can utilize the HotspotHelper API to register for WiFi network information. The trackLocation method showcases the potential for extracting data that can be used for location tracking.

The Privacy Dilemma

The real cause for concern arises from the fact that, with access to such information, apps can effectively track a user's location. This is based on the premise that most WiFi access points remain stationary after deployment, providing a consistent reference for triangulating a user's whereabouts. Public API avalible such as Precisely Location By Wi-fi Access Point, Google's Geolocation API. While the intentions behind HotspotHelper may be rooted in facilitating seamless connectivity, the unintended consequence of potential location tracking without explicit user consent raises eyebrows in the ongoing privacy debate.

This capability is activated whenever the user's device scans nearby WiFi access points, extending beyond explicit user engagement with the system settings to include instances where the device is locked in someone's pocket. The system will initiate the registered app with this API, enabling the app to retrieve nearby SSIDs and their MAC addresses and transmit this information to the server side. Consequently, if the app developer wishes, they possess the capability to nearly real-time track the user's location. Importantly, users remain unaware of this process occurring on their screens, and they lack the option to disable it. On the other hand, almost all the users doesn't know the App has this feature and they don't need/use this feature to help their lives. But again, they have no choice, their devices has to launch the App and submit near by WiFi info to the developers of the App.

Global Impact: WeChat and Alipay

Adding another layer to the discussion is the fact that major apps like WeChat and Alipay have already implemented this capability. These two apps are ubiquitous in mainland China, touching almost every aspect of people's lives. The widespread use of these applications in a densely populated region intensifies the implications of location tracking without user consent.

A compelling debate could center around whether WeChat and/or Alipay function as responsible citizens in the app world, asserting that their data collection aims solely at enhancing user experience and facilitating seamless connections to nearby WiFi. Nevertheless, the opaque server-side logic embedded in their code raises questions. Could it be that once again, "ONLY APPLE CAN DO" in terms of ensuring transparency and accountability?

Apple's "response"

In reality, I discovered this issue approximately two years ago and created a video on Bilibili (a Chinese alternative to YouTube) discussing the matter. However, it has only very limited public awareness. I also brought this concern to Apple's attention and received an email response, but as of now, there has been no further update on the matter.

Conclusions

I strongly advocate for Apple to offer users the option to disable this feature, akin to other privacy settings such as location and notifications. Apps should explicitly seek permission before accessing this feature, ensuring users have the ability to grant or deny access while using the app.

As the conversation around digital privacy continues to evolve, Apple finds itself navigating the fine line between innovation and safeguarding user data. The question remains: can Apple maintain its commitment to privacy while addressing concerns raised by the HotspotHelper feature? Only time will tell how this controversial aspect fits into Apple's broader privacy narrative.

Credit: This article was written with the assistance of ChatGPT for the purpose of refining my English writing.

苹果公司自诩为用户隐私的捍卫者，然而这并非事实。 在近十年的时间里，苹果允许应用程序具备跟踪用户位置的能力，而不提供关闭此功能或引起用户对此的关注的选项。 而且这是「只有苹果可以做到的」（Only Apple Can Do）！

HotspotHelper API 的示例代码

自 2015 年 iOS 9 推出以来，苹果已经包含了一个名为「HotspotHelper」的 API 调用，使开发人员能够请求其应用程序协助系统连接到 WiFi 接入点的能力。 让我们深入了解这个 API 是如何与一个简化的代码片段一起工作的：

import CoreLocation
import NetworkExtension

class LocationTrackingManager {
    func setupHotspotHelper() {
        // 请求 HotspotHelper 能力
        NEHotspotHelper.register(options: nil, queue: DispatchQueue.main) { (command) in
            if let networkList = command.networkList {
                for network in networkList {
                    // 访问 WiFi 网络信息（SSID、MAC 地址）
                    // 参见：https://developer.apple.com/documentation/networkextension/nehotspotnetwork
                    let ssid = network.ssid
                    let macAddress = network.bssid

                    // 使用 ssid 和 macAddress 执行位置跟踪逻辑
                    self.trackLocation(withSSID: ssid, andMACAddress: macAddress)
                }
            }
        }
    }

    func trackLocation(withSSID ssid: String, andMACAddress macAddress: String) {
        // 你的位置跟踪逻辑在这里
        // 使用 ssid 和 macAddress 确定用户位置
    }
}

这个片段演示了开发人员如何利用 HotspotHelper API 注册 WiFi 网络信息。 trackLocation 方法展示了提取可用于位置跟踪的数据的潜力。

隐私困境

真正引起关注的原因在于，有了这样的信息访问权限，应用程序可以有效地跟踪用户的位置。 这是基于这样一个前提，即大多数 WiFi 接入点在部署后保持不动，为三角定位用户位置提供了一个一致的参考。 公开的 API 包括 Precisely 的 Wi-fi 接入点的准确位置， Google 的 Geolocation API。 尽管 HotspotHelper 的初衷可能是促进无缝连接，但潜在的未经用户明示同意的位置跟踪的意外后果应在持续的隐私辩论中引起关注。

这一功能在用户设备扫描附近 WiFi 接入点时激活，超出了用户明确与系统设置互动的情况，还包括设备被锁在口袋里的情况。 系统将使用此 API 启动注册的应用程序，使应用程序检索附近的 SSID 和它们的 MAC 地址，并将此信息传输到服务器端。 因此，如果应用程序开发人员希望，他们就可以几乎实时跟踪用户的位置。 重要的是，用户对其屏幕上发生的此过程毫不知情，并且他们无法禁用它。 另一方面，几乎所有用户都不知道应用程序具有此功能，他们不需要/使用此功能来帮助他们的生活。 但再次，他们别无选择，他们的设备必须启动应用程序并将附近的 WiFi 信息提交给应用程序的开发人员。

世界范围的影响：微信和支付宝

讨论的另一个层面是微信和支付宝等主要应用已经实施了这一功能。 这两个应用在中国大陆无处不在，几乎触及人们生活的方方面面。 这些应用在人口密集地区的广泛使用加剧了未经用户同意的位置跟踪的影响。

一个可能有力的抗辩可能会说，微信和/或支付宝是在应用程序世界中有责任感的公民，他们的数据收集目的仅在于增强用户体验和促进与附近 WiFi 的无缝连接。 然而，我们无法审查他们服务器端的代码，我们无从得知从我们设备发送出去的数据他们会怎么处理。 难道再次可以说，「只有苹果可以做到的」（Only Apple Can Do）确保他们的透明度和付责任吗？

苹果的「回应」

实际上，我大约两年前发现了这个问题，并在哔哩哔哩上创建了一个 视频 来讨论这个问题。 然而，它的公众认知非常有限。我还把这个问题带给了苹果的注意，并收到了一封电子邮件回复，但截至目前，对此事并没有进一步的更新。

小结

我强烈主张苹果向用户提供禁用此功能的选项，类似于其他隐私设置，如位置和通知。 应用程序在访问此功能之前应明确请求权限，确保用户在使用应用程序时具有授予或拒绝访问的能力。

随着数字隐私讨论的不断发展，苹果会发现自己在创新和保护用户数据之间的窄缝中航行。 问题仍然是：苹果是否希望在解决 HotspotHelper 功能引起的担忧的，保持对隐私的承诺？ 只有时间能告诉我们这种致用户隐私不顾的行为，会如何融入到苹果宏大的隐私叙事中。

致谢：本文是在 ChatGPT 的协助下写成，目的是完善我的英语写作。

本文主要参考了这篇博客，以及这里，这里是一个简单总结。

# reset all gpg data
rm -r ~/.gnupg

# list key on YubiKey
gpg --card-status --with-keygrip

# get the date time of the key above and generate pub key with the date above
gpg --faked-system-time '20231112T191616!' --full-generate-key

# import the subkeys, use `addkey` in the prompt
gpg --faked-system-time '20231112T191616!' --edit-key A83F5C04715B2C25DB2FBEA7DBBF1C31DD587CC6

# export key
gpg --armor --export A83F5C04715B2C25DB2FBEA7DBBF1C31DD587CC6

# import key
gpg --import keys/*

# trust key, use the trust command in the prompt
gpg --edit-key A83F5C04715B2C25DB2FBEA7DBBF1C31DD587CC6

# admin the yubikey
gpg --card-edit

# encrypt
gpg --encrypt \
  --recipient BE387B4AEF2E85A025C0EAF8A603F43145D6FC6D \
  --recipient A83F5C04715B2C25DB2FBEA7DBBF1C31DD587CC6 \
  --output output.gpg \
  input_file.txt

# list the encrypted file
gpg --pinentry-mode cancel --list-packets file.gpg

最近搞了一个对称的宽带，所以想把一些服务挪到家里。。毕竟可信计算这种东西，还是跑自己的硬件比较好。

如果只是简单做端口映射，那么家里的服务器是看不到客户端实际的地址的，所以想搞点事情。这个事情应该也不算少见，我也鼓捣过 iptables，我其实很早就写好了服务器的 DNAT 了，就是死活调不通。

#!/bin/sh

sysctl -w net.ipv4.ip_forward=1
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -t nat -F

wg-quick down wg_px
wg-quick up wg_px

pub_addr=1.2.3.4
prv_addr=192.168.101.2
pub_if=eth0
prv_if=wg_px
proto=tcp


port_map() {
  bind_port=$1
  prv_port=$2

  iptables -t nat -A PREROUTING -p $proto -d $pub_addr --dport $bind_port -j DNAT --to $prv_addr:$prv_port
  iptables -I FORWARD -p $proto -i $pub_if -o $prv_if -d $prv_addr --dport $prv_port -j ACCEPT
  iptables -t nat -A POSTROUTING -p $proto -s $prv_addr --sport $prv_port -j SNAT --to $pub_addr:$bind_port
}

iptables -I FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

port_map 443 40443
port_map 80  40080

上面这段写完以后，就发现一个很奇怪的事情，回程的数据包不知道为啥有给我重新发到了 wireguard 上面了。我搞不定，也没搜到结果。。最后想着这个不会是个 bug 吧，然后换了一个机器，就发现没问题了。。害我没了 2 小时。。

下面就是用了确保本地数据包能正确路由的脚本：

#!/bin/sh

docker_if=br-web-services

ensure_chain() {
  name=$1
  sys_chain=$2
  new_chain=$1_$2
  (iptables -t mangle -L | grep -qF -- "Chain $new_chain") || \
    (iptables -t mangle -N $new_chain && iptables -t mangle -I $sys_chain -j $new_chain)
  iptables -t mangle -F $new_chain
}

ensure_chain WG_PX PREROUTING
# ensure_chain WG_PX OUTPUT


ensure_line() {
  file=$1
  line="$2"
  grep -qF -- "$line" $file || echo $line >> $file
}

same_in_out() {
  fw_if=$1
  fw_table=$1_table
  mk_value=$2

  # wireguard
  wg-quick down $fw_if
  wg-quick up $fw_if

  # route
  ensure_line /etc/iproute2/rt_tables "$mk_value $fw_table"
  ip route flush table $fw_table
  ip route add default dev $fw_if table $fw_table
  existing_rule_count=$(ip rule list fwmark $mk_value | wc -l)
  for i in $(seq 1 $existing_rule_count)
  do
    ip rule delete fwmark $mk_value
  done
  ip rule add fwmark $mk_value table $fw_table

  # iptable markers
  iptables -t mangle -I WG_PX_PREROUTING -i $fw_if -j CONNMARK --set-mark $mk_value
  # OUTPUT only for host itself, but it's using docker here
  # iptables -t mangle -I WG_PX_OUTPUT     -m connmark --mark $mk_value -j CONNMARK --restore-mark
  iptables -t mangle -I WG_PX_PREROUTING -i $docker_if -m connmark --mark $mk_value -j CONNMARK --restore-mark
}


same_in_out wg_vps    101

世界上有很多好人，但是也有坏人嘛，互联网也不例外，所以无论在哪里，都有安全上网的需求。这东西，在中国大陆，有不可描述的原因，这个需求也很大。

八仙过海，各显神通，市面上有很多安全上网的办法，并且办法一直在变多。

最开始，也最容易被人找到的办法，就是使用 HTTP 代理，网上也能找到很多免费的服务器。这种办法，在 HTTPS 没有完全普及的年代，基本就是把自己的所有信息都出卖给了代理服务器，同时，自己跟代理服务器之间的通讯也是明文的。哪怕当今，HTTPS 相对已经很普及了，但是 HTTP 代理也会暴露你访问的域名。类似的，还有明文的 SOCKS 代理。

大约 9 年前，著名的 Shadowsocks 项目启动，开启了加密代理的时代。最开始，项目一度非常成功，但是由于密码套件使用存在的一些问题，使得 Shadowsocks 变得容易被检测，并且协议虽然没有特别的握手特征，但是就像一辆涂黑窗口行驶在马路上的面包车，Shadowsocks 的流量也容易被怀疑和屏蔽。因此，Shadowsocks 也出现了各种混淆的办法。类似的，还有 V2Ray 这个项目，虽然解决了很多 Shadowsocks 的问题，并且功能更加强大，但是配置起来也过分复杂。最近一些年，又出现了 Trojan 这个项目，直接使用 TLS 进行伪装，不过也未能逃脱配置过于复杂的问题。

VPN 方面，市面上也有很多方案。比较有代表性的比如 PPTP，但是由于安全问题，PPTP 已经很少见了；又比如 L2TP/PSK-IPSec，这个协议还广泛存在，但是由于 IPSec 握手有各种问题或者被屏蔽，并不是特别稳定的存在。近些年，Wireguard 以其简练巧妙的设计打动了不少人，并且性能非常好。但是 Wireguard 跟别的 VPN 一样，UDP 作为中国互联网的二等公民，过得非常难；而且 Wireguard 也有明显的数据包特征，可以被轻易地识别。VPN 其实也是有 TLS 的方案的，那就是微软的 SSTP，但是这个方案部署起来比较困难，原生的你需要用 Windows Server，开源的实现也不多（SoftEther 是其中一个），暴露的端口也不好隐藏 VPN 服务。

在隐藏代理或者 VPN 意图，以及避免 ISP QoS 的路上，代理和 VPN 最终都指向 TLS，伪装成正常的网站服务。但是这两个其实都没特别好的实现，所以最近一些日子，我琢磨琢磨着，自己写了好多工具。到今天，我发现，其实写这些工具并没多难，而且上面提到的一些工具，我觉得都搞得大而全，搞得太复杂了。实现这些工具，其核心其实并不需要多少代码或者逻辑。

最开始的，我们使用的是普通 HTTP 代理，但是其实与代理服务器之间的连接，也是可以建立 TLS 通讯的，这样可以隐藏正在使用代理的情况，于是我写了 go-shp 这个项目。服务端并非没有现成的实现，比如 Caddy 1.x 就是一个。但是支持的客户端不多，比如操作系统就没支持的，浏览器我也就看到 Chrome 支持（Firefox 或许也支持），所以我也撸了一个本地的转发代理。而既然 Chrome 支持，我也写了一个浏览器插件，不过步子迈得有点大，自动检测并使用代理那个功能写了很多代码却没写多好。

不过 HTTP 代理天生是没办法转发 TCP 以外的流量的。有这种需求的时候，我用的是 Wireguard。直接用原生的 Wireguard 确实太容易被识别了，所以我撸了一个 udp-xor。但是只是 xor 还是有特征的，所以我在练习 rust 的时候，写了 udp-prepend 这个项目。UDP 虽好，但是 QoS 啊，所以我写了 ws-udp 把 UDP 流量塞进 WebSocket 里头，这样就顺便可以使用 TLS 伪装了。这却没办法地引入了 TCP over TCP 的问题，但是，这也没好多解决方案了。不过，Wireguard 本身已经有一层加密了，TLS 的 Websocket 再做一次确实让我不爽，我开始想念 SSTP 的好了。但正如前面所言，市面上并没有特别好的实现，于是我又动手写了 ws-tun。

我曾经一度想实现一个 SSTP 的 server 的，但是这个协议还是稍微有点复杂，并且不大好跟正常的流量区分开。为此，我选择直接自己做一个 tun 或者 tap VPN。坦白说，websocket 的开源实现我也是找到过的，但是有一个用的是一个小众的语言，还有一个项目不支持 TLS 被我放弃了，而且，他们确实写得有点复杂。tun / tap 之间，tap 我觉得没有必要，而且它需要 root 权限才能跑，所以我决定写一个 tun 就好了。tun 的数据包传输，选择 websocket 也是很自然的，研究 websocket 的协议，其实它的 overhead 不算太大，有了它，我也不需要自己实现一套分片的逻辑了。tun 的调用，我也没自己写，直接把 Cloudflare 的 boring-tun 项目抄了过了，改吧改吧就有了。唯一比较坑我的地方，就是 rust 的编写过程，要编译通过非常痛苦，并且异步改造也费了我很多时间。这个项目实测可以在 macOS 和 Linux 上和谐运行。至于配置，服务端和客户端只需要商量好一个 websocket 的地址就可以了，别的都不需要另外配置。我这里把服务端和客户端都写一个程序里头了，其实这个并不是特别好的选择，因为服务端我是设计为放到 nginx 之类的后面的，所以 TLS 加密是不需要配置的，搞得服务端体积也不小；客户端没办法，就包含了 TLS 所需要的包。

但 ws-tun 的移动端之路却不是那么容易，因为我没写过移动端端程序。不过这周，我花了一点时间，写了 ws-tun-android，我发现 Android 端 VPN 还是非常简单的，Google 给了一个 ToyVPN 的项目，改吧改吧又能用了。但是昨晚我准备去写 iOS 的时候，发现并没那么容易，首先开发者账户是必须的，然后 NetworkExtension 只能给企业用户了？我就 GG 告辞了。

Anyway 了，过一段时间，或许我并不需要再折腾这个事情了，谨以此文作为折腾网络多年的总结吧，从用别人的服务，到自己用别人到代码搭一个服务，最后到自己动手写代码实现一个服务，谢谢 GFW 教会了我许多。

出发

上个周末我也不知道去哪，家里领导想出去玩，看了一下北京周边，好像也没啥能去的地方，不过搜寻了一会，发现大同只要 2 小时高铁，有点意外，所以就坐了一次从没坐过的京张高铁。

高铁从清河站始发，终到大同南，其实如果不是这趟停很多站的车，快的可以 1 小时 40 分钟多点就到了。

打车去清河站的司机说，这个站去年才落成，有些路牌还不准，想起上次我路过清河，13 号线还走着临时铁轨，清河站这个位置还是一个大坑。当然啦，新冠疫情，似乎让时钟转得比以往要快一些，转眼两年多了，这个车站修好了，京张高铁也通了。这条为冬奥会打造的高铁，护栏都是运动的小人。清河站其实已经五环外了，不在地下走了，不知道下次有没有机会从北京北坐一次试试地下高铁。

周五华北天气非常好，新车新线路，一切都非常干净，加上窗外景色饱和度实在太高了，让我联想到几年前去日本关西旅行的时候，由于做过了站看到的日本农村的田园风光。

到达大同，天上还挂着一点晚霞，从大同南站出来，打车直奔市区，第一印象就是，这城市真新，几乎一切都是新建的。

后面的体验也印证了这一点，大同很多地方都被拆了重建，城市中心很多平房都拆掉了，盖成新楼房，市区里面还能看到很多拆掉不久的建筑瓦砾。周五入住酒店，然后出来吃饭，表示对消费水平表示惊奇，领导挑了一个面馆，装修十分精致，服务员统一着装，都是一身黑色，领导结账给我推送了一个刷卡通知，35 元，我问了一句，「你就点了一个面嘛？」，「不是啊，两个，你不吃嘛」…表示离开帝都不到 3 个小时，有点不适应。

Day 1

第二天的行程，第一站选择的事云岗石窟，从市中心打车 15 公里左右，花了 31 块。云冈石窟是北魏孝文帝时期开始修建的，和洛阳的龙门石窟、敦煌的莫高窟并称中国三大石窟。龙门石窟我还没去过，不过那个也是北魏孝文帝修的（可想而知人家多牛逼），比起莫高窟，在我眼中，我会觉得艺术价值要差一些，但也有很多牛逼的石刻技艺。在文物保护方面，我有点觉得做得远不如莫高窟到位，本来风化就不少了，但是感觉修缮做得不大好。值得一提的是，这里一样有清朝时期一些狗尾续貂的操作。网上图很多，这里就不放太多了。

因为是佛教胜地，所以外面还有一个寺庙，寺庙的建筑还是真材实料的木质结构，很有意思，屋檐上的风铃古色古香，之前就在日本看到，让我产生了一点错觉，又转而变成可惜，明明这里就是唐文化的发源地，但是保护得却没传到东瀛好。

景区门口吃个午饭，太咸了，吃都吃不下，就打车回城里了。大同的老城区，把古城墙完全重新修了，还弄了一个带状公园，内城的平房也是几乎全部拆了。我们从华严寺起，到法华寺终，由西往东走了一遍核心部分，下面是地图可以参考一下：

华严寺要 50 块门票，我们虽然没进去，但是围墙之外也看到了其斗拱精致，很是漂亮。我是有点想进去的，不过领导嫌贵，而且我们两个对寺庙没多大兴趣，就放弃了。

寺庙东侧是一个很大的商业区，做得很仿古，但是门可罗雀，也没多少店铺开着。

往西一点，走到了一个清真寺，很有特色，中西结合，但是好像没开门，也没进去。

然后就是四牌楼，一般般吧。

路过号称宇宙最大的九龙壁，比京城的还要大。

现在这个是新中国中央人民政府后挪过位置的，原来是代王府的门面。

九龙壁北边就是代王府了，这地方有意思了，简直就是个故宫复刻，就是大部分屋顶换成了蓝绿色，毕竟是「代」。这个地方现在免费参观，但是入口有点小，一不注意就错过了，还有免费讲解。代王府其实大部分都是现代拆了平房新建的，但是我觉得修得非常有诚意，因为很多现代建的古建筑，斗拱、柱子用的都是水泥了，这里用的都是木头。规制还是按照原来的原址修建的，之所以「代」王府都可以修这么大，是因为这是给朱元璋最宠爱的儿子的，明代刚刚开始，也没什么具体建制，所以基本是想修就修了这么大。

也不完全是蓝绿房顶的，有「承运殿」是黄色房顶的，像不像故宫？

景区太小众了，几乎没人，简直是小姐姐拍照片的好去处。

最后一站，去了法华寺，很干净，古色古香的寺庙

运气很好，还拍到了佛光。

总结一下，古城里头其实现在没多少生活气息，基本都拆得差不多了，建了一大半，但是游客很少。最有生活气息的居然还是最后看的法华寺了，因为里面的僧人都还在。就是，出门看到个兔肉店，天呐，在寺院门口开这个，佛祖知道嘛？

Day 2

这天的行程是悬空寺、北岳恒山。诶，你说我拖着任小姐上恒山，仪琳小师妹会吃醋躲着我不出来见我嘛？

悬空寺就在恒山下面，离大同还有七八十公里，本来想着报个团的，但是看了一下，这些一日游都是包含云冈石窟的，行程也真够赶的。然而后面我们发现，其实一天也是可以差不多搞定的（雾）。

睡醒吃过早饭走到租车的地方已经 9 点多快 10 点了，出城还堵了一小会，最后快 12 点钟到了浑源县吃午饭。县城到悬空寺就很近了，一小会就到了。悬空寺门票很便宜，上去寺庙要另外加 100，我们就在下面看了看，其实吧，停车场都可以看到了。

紧紧贴着岩壁建筑的，不过远远可以看到，其实现在已经不是木质结构了，早换成钢筋混凝土了。「壮观」两个字是李白题的字。换个角度，能看到真的很险峻：

悬空寺前面有一条河，现在水不大，上游围了一个水电站。

10 块钱停车费告诉我，我在悬空寺呆了 40 分钟，怪不得有些人直接停到了收费卡位前面的空地上。原路出来，进国道，开过恒山隧道，然后上恒山了。这条国道啊，被重车压得挺破的，恒山风景区就在国道边，停车场也是挺小的。恒山是五岳唯一的 AAAA 景区，另外四个都是 AAAAA，上去下来发现 AAAA 也是有点悬。

山脚的恒山派演武场（其实是这里是道观，恒山并没有尼姑庵）：

直接爬是可以的，就是这山还是蛮高的，你可以选择坐缆车，或者坐大巴。缆车到大半山腰，大巴到半山腰吧。下面这个照片，还有三分之一到顶，右边树梢叶子所指的位置就是景区门口（水库左边三角空地），中间看到一块空地，就是上山大巴车下车的地方。我们这次来，因为山西最近下雨比较多，山顶最上面不让上了，感觉强度还不如香山，爬山含下山一共花了两个多小时。

工具人在爬山。

康熙帝御笔

反正要是没啥期待，倒也还行吧。

别的

来山西嘛，还是看到煤矿的，就包括云冈石窟旁边，还是能看到煤矿和运煤的火车。这里是著名的「大秦铁路」的起点，大同-秦皇岛的煤炭专用重载铁路，运送了中国将近 20% 的煤炭，贡献将近 10% 的全国电力，也是上市股票。有传闻说，从大同到秦皇岛的火车，几乎不用消耗电力，甚至火车头机车刹车制动发的电可以导致电力消耗为负数。

黄土高原，也真的是邱壑纵横，动不动就一个大深坑，植被也不是很多，所以水土流失也是真的。

大同的消费非常低，感觉当地人收入也不高，但是能感觉得到当地政府倒是有钱得多，到处拆迁重建古建筑。想想也是啊，这里一个资源型城市，除了少数煤老板，很多矿都是政府的，普通人确实没什么特别的机会。政府这么拆啊建啊也可以理解，毕竟总有资源枯竭的一天，趁当下有钱，早投资搞点第三产业也是可持续发展的路子。

而对于北京的小伙伴，既然现在京张高铁通了，大同确实可以作为周末的一个旅行目的地，不算特别优秀，但是期待不高，体验一下也还可以，就着目前大同的消费水平而言，我甚至觉得玩出了点性价比。

10 年前我用安卓是个刷机 boy，10 年后我用安卓依然还是那个刷机 boy

这句话几乎就是我这个端午假期最好的总结。

再之前一周，我买了一部小米 11 Pro，其实也不是为了换手机，就是想折腾一下，看看当今安卓的生态都发展成什么样子了，另外，有一个可以跑 Linux 的设备，也可以玩很多别的花样，当然啦，毕竟 618 打折嘛，加上在北京出差，正好用上北京消费券，用不到 3900 的价钱就买到了这部 8 + 128GB 的机器了。

买回来既然是要折腾，肯定就是想 root 啦，不过现在不能直接 root，解锁是有限制的，需要先绑定手机到自己的小米账户，然后等 168 小时（7 天），具体可以参考官方教程。

我也不着急，所以就先体验了一把原版的国产 MIUI。MIUI 还是如当年一般做了好多功能，不过也真的是有各种广告。表示越来越觉得手里的 iPhone 12 mini 真香，安卓的生态太不让人省心了，虽然感觉比以前已经好了不少，同样是国产 App，虽然都一样卷，花里胡哨各种推荐各种噪音，但是 iOS 还是要收敛一些的。就小米而言，我觉得目前体验离高端还有距离，功能确实很接地气，功能也让我惊讶，但很多细节有待打磨。比如说，三个摄像头的白平衡是不一致的，对比之下，iOS 这边简直是调教逆天。iOS 最近几年软件质量不行了，但是比 MIUI 还是要领先一两个身位的。最近也留意了一下华为的鸿蒙，我觉得吧，小米在研发上的投入可能真的还不够。广告的问题，也是其高端路线的一个坎。我体验下来，确实大多数广告都是可以关闭的，但是藏得都很深。小米的运营策略也很尴尬，想要互联网估值，就需要有互联网业务啊，这一块好像广告就是为数不多的变现方式了，但是其实贡献的营收也不是很多，我觉得很鸡肋，当然我不知道小米的大佬们怎么看吧。我也不知道为啥，我装了 Google Play，但是就是没办法下载软件。Debug 的过程中，我发现应该不是我网络的问题，但是也发现了这系统，平时请求的奇奇怪怪的域名也太多了吧。隐私安全上，还真的是很不让人放心啊。

一周以后，就是端午三天假期了，开始折腾。解锁过程有官方教程，按下不表。刷机最开始选择的是国际版（其实感觉就是美国版），但是后来发现 MIUI 还没更新到 12.5，所以又换成了欧洲版，据说欧洲版更新也更快一些，而且隐私上面也更收敛一些，没那么多广告。具体的刷机教程我也按下不表，值得提一点的就是需要下载完整的刷机包，也有官方教程。解锁的工具要用 Windows，刷机我实测也可以在 macOS 上搞定，需要稍微修改一下脚本。注意不要重新锁了机器就好了。

既然都刷机了，肯定还是要玩 root 的啦，现在流行的是使用面具（Magisk）这个工具，注意，Google 搜索出来那个 .com 的并非作者所有的网页，作者只有 Github 上的那个页面，不过好像下载的还是 Github 的，但是还是自己去 Github 比较保险。过程 Magisk 上面的文档也说的很清楚了，我就不翻译了。特别提醒一下，安装 Magisk 模块的时候，记得先把 adb 打开，而且要用电脑先连一次让手机信任了，折腾死了有时候可以救命。

欧洲版的 MIUI 其实少了很多实用的功能，比如：

• 公交卡、门禁卡
• 小米应用商店
• 照明弹等等高级权限控制

理论上是可以通过 Magisk 来恢复的，我为此也折腾了一番，不过结果我也就搞定了公交卡、门禁和小米应用商店，别的都没搞定。不清楚是不是因为目前欧洲版是 12.5.3 ，大陆版是 12.5.4 的原因，还是别的。特别是我想装回权限控制的时候，直接就无法开机了，而且 adb 上去卸载掉模块也不行。

网上有好几篇写如何恢复公交卡和门禁卡的，我测试了一下，可能因为现在是新版本了，我按照上面的操作也并不能使用，打开小米钱包以后，点击门禁、公交卡没有反应，所以我自己折腾了一番。

网上介绍的，都是针对老版本的 Magisk 制作方法，新版的其实很简单的，不需要那么多文件。详细可以参考文档，这里简单描述一下。

随便弄一个文件夹，新建一个文件 module.prop ，例如：

id=mi_smart_card
name=Xiaomi Smart Card
version=v0.0.1
versionCode=1
author=Yingyu
description=Add MIUI CN Features to 11 pro

找对应的大陆版 MIUI，提取 /system/app/ 对应的 App，我对在我这个手机上使用银联卡并不感兴趣，所以我觉得我并不需要恢复银联卡的功能。试了一下，如果只是要公交卡和门禁，我只需要恢复 TSMClient 就可以了，值得注意的是，/system/app/TSMClient/lib/arm64 里头是两个符号连接，也要把他们对应的文件复制好，具体地就是 /system/lib64 的 libentryexpro.so和libuptsmaddonmi.so两个文件。当然，因为考虑到有些软件 Google Play 上没有，我还是恢复了小米应用商店 MiuiSuperMarket。

公交和门禁，需要将系统设置里头，NFC 安全模块设置改成内置安全模块，然而，欧洲版并没有这个选项，恢复这个选项，需要修改系统的 prop。具体是，根目录新建system.prop，内容如下：

ro.se.type=eSE,HCE,UICC

将上述文件夹里的内容打一个zip包，下载到手机，在 Magisk 上从本地安装即可。

安装上以后，这个模块，桌面只会多一个小米应用商店。然而并不能看到门禁、公交卡的影子。我们需要给他们建一个快捷方式，这里用到 Shortcut 这个 App，下载后，在 Activity 里头，给小米智能卡这个 App 创建几个快捷方式即可，分别是：

• 门卡：com.miui.tsmclient.ui.MifareCardListActivity
• 公交卡：com.miui.tsmmclient.ui.introduction.CheckServiceActivity
• 双击电源界面：com.miui.tsmclient.ui.quick.DoubleClickActivity

其中，双击电源那个，只有打开了，才能注册上锁屏界面双击使用。其他界面可以照常使用即可。公交卡需要在系统设置里头登陆了小米账户，绑定了公交卡才能拥有两张以上门禁卡。

小米的云服务我都换掉了，查找手机的功能也关掉了，但是我尝试去用 adb 卸载这个应用，结果就无法开机了，但是这玩意不厌其烦地在后台活跃，还给我推送通知，我也没啥办法，只能把它通知关掉。。至于这通知，竟然冒充起别人了（微信安装好以后就出现这个通知）：

没办法，只能躺平。。

Notes for extract img

1. download and extra from https://www.xiaomi.cn/post/25769526
2. brew install simg2img and simg2img images/super.img out_super.img
3. http://newandroidbook.com/tools/imjtool.html imjtool/imjtool out_super.img extract
4. ext4fuse extracted/system_a.img sysa -o allow_other

https://medium.com/@chmodxx/extracting-android-factory-images-on-macos-cc61e45139d1

also see: https://blog.minamigo.moe/archives/184

最近因为 Elon Musk 的一个推，这个 App 在我的圈子里也火起来了，主要是中文推特、科技圈。当然，这个 Clubhouse 不是我司用的那个工单系统。经过同事邀请，我也终于用上了，开始体验。

产品形态

这个 App 目前是邀请机制的，一个人注册后，可以立刻获得 2 个邀请机会（后面好像不是每个人都有了）。而且会显示邀请的 credit，他们还把这个放在了每个人的 profile 里头，所以就在全网公开了这样一颗关系链二叉树，每棵树的树根都是某一个最原始的种子用户。

Clubhouse 的每个人用户，有独立的 ID，名字，头像，可以写自己的一段 Profile 介绍，可以链接 Twitter，Instagram，可以关注别人也可以被关注。

Clubhouse 的帮助文档是放到了 Notion 上面的。

用户注册 Clubhouse 以后，可以选择感兴趣的领域，一个个领域里头一个个 Club，用户可以选择 Follow 某一个 Club。这部分基本上是中文社区好像还没开始认真体验的。好像是 host 几次 room 才可以创建 Club。

每个人都是 Host Room，可以是 Private 的，可以是允许 Follow 的人加入，也可以完全公开。在一个 Room 里头，可以有主人和管理员（Moderator）。房间的人可以举手发言，房主可以决定什么人可以举手，比如所有人、关注的、都不可以。

用户的首屏就是正在发生的 Room 根据推荐、关注、或者关注的人在里头。还有日历，显示即将发生的活动。

用户的通知管理还是很完整的，比如被关注、发布的活动、有通讯录的朋友加入等等。

产品除了语音，没有别的沟通方式，比如文字图片都是没有做的。而且所以用户也没办法在 App 内并发沟通。但是在某个房间的时候还可以出去闲逛。

内容上，这个都是实时的，比较随意，所以不会有很高质量内容（至少目前如此）。对我而言，我很多时候都觉得别人说话太慢了，没有倍速比较浪费时间。同时，因为没有具体的文本介绍，中间进去以后，不会立刻知道话题，要很长时间 bootstrap。内容本身也不会有录制，所以很难形成沉淀。更多就是一种讨论工具，社交属性。或许类似于头脑风暴是一个不错的场景。

技术上还是很厉害的，声音质量很好，切换网络的时候也可以快速重新上线。用的是声网的技术，然后声网一天之内就股票翻翻。所以，Clubhouse 的公司本身并不掌握核心技术。

Clubhouse 解决了什么问题别人没解决的问题

视频化的空白区域。我觉得解决了其中一个点是，说是现在 5G 了，都视频化了，但是视频很多场景是不合适的，比如我们开会，就不会开视频。这种语音的降维攻击把剩下的不想视频的收割了。同时，听东西的时候，人是可以继续做很多事情的，比如走路、做饭、开车。这种产品形态，有点像多年以前电台节目，你可以打电话进去跟主播聊天。

实时沟通的社交网络。这里我们可以先对比一下现存的在线声音视频方案，他们要么是点对点的私密会议、在线教学，要么就是点对多的直播。前者是私密的，非公开的，实时的；后者是多数是公开的，几乎实时的（目前的直播技术，至少会有秒级延迟）。我们或许可以把 Clubhouse 跟 YY 之类的游戏语音平台进行比较，但是这二者还是有点区别的，就是两个产品面对的用户群不一样。YY 那种产品，对于游戏用户的渗透是可以的，但是作为普通社交用户的渗透就会很差，这个跟产品形态还是有区别的。Cloud house 一开始就是奔着社交去做的。

更加难以信息污染。相较于文本，它有很强的发声成本，需要真人实时发言。相较于视频，普通人参与成本更低。所以如果想要使用水军，这种地方就很难了。

中文圈的特殊之处

中国大陆用户想用这个还是有门槛的，需要用的 iOS 并且有一个境外的 AppleID，所以先进去的，都是科技圈的人物。也正因为这样，把我这种 nobody 跟大佬的距离拉近了。

第一个晚上，我听了几个圈：一个主体是中国的投资圈、产品经理，他们主要探讨这个产品在中国区怎么运营，怎么下沉到三四线城市。不过必可避免谈到可能性，这个产品做监管太难了，所以几个产品都不看好。也提到了商业化问题，另外一些投资人还在观察，觉得这个破圈太快了，所以可以先培养土壤，说不从后面有更大可能。另外一个就是飞猪（Flypig），此人网红，去哪都自带流量，我也听了第一个卖货（义务的），分享 3000 块可以买什么快乐，其中我买了个 App AutoSleep，还真的挺好用的。飞猪有句话很有意思：该死的邀请码，还要一个 iOS，还要没区账户，他的 follower 大堆大堆的 VC，一夜之间从华为换成了 iphone。还有一个香港的产品经理圈，当然这里就只谈产品了，相对境内的圈子，没有聊监管的问题。中文圈感觉最火的还是政治 Room，表示长了三十多年，第一次看出好几千人的社会化大讨论到凌晨三点。

因为监管，所以国内已经开始有人做 Copy Cat 的工作了。但是产品可以复制，但是这群人很难复制的。这很对，因为有些人是为了无国界来的，如果国内互联网来一个，我觉得他们就不回来了。

所以，它有什么用？

我也不知道这个产品会演绎到什么形态。我觉得，最后应该都是内容为王，应该还是要有一些用户定期地分享一些内容。但是，这个也可以是陌生人社交的机会，就比如说，随便路过一个咖啡店，遇到了聊两句，寻找共同爱好，或者是就是缓解寂寞。或者是城市论坛。

说起来，2020 年是我写博客的第十年了。可惜，没写成什么有用的东西。今天算起来也很久没有更新了，所以唠叨几句流水账。

早上起来，持续关注着北京新增的肺炎病例。感觉这次很有危机感啊，毕竟这回离我很近了。特别是，昨天做了 1900 人的检测，早上公布了 500 多个样本的数据，里面有 45 个阳性结果，这将近 10% 的比例，表示吓人。而且，全国没有本土病例已经有一段时间了，最后居然是在首都翻车。。当然，该出门的还得出门，我还是要去吃个饭的。你要说担心，好像街上的样子好像也没啥变化，除了偶尔一个保安又开始弱弱地查出入证和体温也没啥变化。毕竟，北京也是很大的，哪怕朝阳区也是很大的，而且当下世局，啊 Q 一下，你看看境外的情况，北京这里个位数好像差了好几个数量级。。

说起这次疫情，坦白说对我的中短期影响还是很大的，最近好长一段时间，我心里面都有对未来的极度不确定感，并且多少有点焦虑——不知道应该去哪。只是我不是很喜欢啊 Q 精神，我说的这些不确定性，只是工作地点、生活上的变化，相较于其他很多人，这就算不上什么东西了。当然，另外一方面就是，我内心对于世界的糟糕状态的焦虑：疫情全球蔓延，很多人都身处困难；全球政治环境的变糟，中美从合作走向对抗，民粹盛行，而且还有些人无脑奉行「加速主义」。世界处于这种糟糕的状态，然而我一点办法都没有，这就更让无力感在我心中肆虐了。。

今天下午的时候，在 B 站看了个 UP 主分享，讲美国在日韩的军事基地的，后来我详细查了一下，发现美军在全世界基本都有驻扎啊。然后顺便去看了一些美国的海外领地的词条，最后发现这个：美國第 51 州很有意思，原来这世界上这么多地方想成为美国的第 51 个州的啊。当然啦，这个词条里面，也有讽刺的意思，讽刺当地被美国化太严重。不过其中波多黎各引起了我的注意，这个地方的现状就是一个美国下面的自治邦，要说想独立成为一个国家，他们也可以，但是进行了几次公投，想加入美国成为一个州的支持率在持续上升。但是美国的国会呢，又不想它加入，因为多一个州，就会分薄了其它州的投票权。这倒是给我一种感觉，有种真正意义上的万国来朝的意味，这才是一个国家强大的体现啊。或许天朝在唐朝的时候，就是这种感觉？我这里不想展开讨论中美这方面的差异，单纯提供今天这个发现。。

毕业以后，我的工作都是在美国企业在中国的全资公司工作。过去两年，在中美对抗的日子里，我们同事多多少少都会问总部的老大关于对我们北京团队的影响。当然，因为目前我们的公司，在境内没有业务，只是单纯的研发团队，而且我们公司也的确很小，所以一句「We are too small to mater」通常是可以糊弄过去的。我倒是会建议我们在一些词汇上面用温和的词语，比如说「北京」、「华盛顿」要好于「中国」、「美国」。我们 SFO 同事对于 PEK 的同事，其实都是非常礼貌、友好的。有时候我会觉得，我们都只是两个大国之下的小民而已，但是我们在这之间却有太多微妙的影响，或者说我们有一些责任。所谓「歧视源于偏见、偏见源于无知」，我们这种小民，其实对于两边互相增进了解，进行交流，最后减少对抗是多少有义务的。可惜，很多人都没办法洞察到这一点。特别是最近些年，民粹盛行，头脑一热就开始上纲上线、战狼外交、大国崛起、虽远必诛；又或者图一时嘴快乱斗机灵去讽刺对面、制造误解和对抗。这时代啊，真的需要「越是觉得要激动的时候，越要保持冷静」。。

Anyway，这个世界，最终和平和发展才是主题，愿周遭的世界早日康复。。