@littleTomorrow1 和 Homebrew 版本无关。要回退的的是 homebrew-core 仓库（包 Formula 存储仓库），也就是只使用旧版软件。
即便回退 homebrew-core 也不能保证 formula 中声明的 bottle （编译好的包）没有被官方清理掉。

官方应该就是为了减少维护负担，故意砍掉旧版本支持。很多软件也这么干。非常讨厌吧。
目前要么等着它编译，要么订死在旧版本包上不升级。
不建议尝试其他包管理器如 MacPorts 。目前 Homebrew 才是 macOS 事实上的包管理器。其他包管理器下包维护人数太少，导致更新不及时、问题无人解决。而且换包管理器必须把包全换了，不然有依赖冲突。

https://keytty.com/
最好还是上 Magic Trackpad

是，没必要，因为代理不使用你本地解析出来的结果。
https://blog.skk.moe/post/what-happend-to-dns-in-proxy/

> 小鸡一号位于不远的异国他乡，运行 AdGuard Home，作用是从源头得到尽可能干净安全的 DNS
机器多的没处用吗？直接本地 DoT 、DoH 或者代理转发 DNS 请求到国外公共 DNS 不就行。都是转发 DNS 请求，你开台机器转发和本地直接转发没区别。你搞台机器在国外完全多此一举。
你可以直接用 Overture 把一号机的活儿干了。不过我更推荐 mosdns，没有 overture 那种只能引入 2 个配置文件的限制。另外他们 DoT 、DoH 实现上游不一样。历史上 overture 出现过 DoT 实现 bug，一个 DoT 到 8.8.8.8 花了我 1s…… 而 mosdns 还自己实现了连接复用。coredns 就更算了，连个好的 IP 过滤实现都没有，每次还得重新编译。

> 如果想更纯，国内也可以加密，但不知道实际意义有多大，我觉得有点太过于极端
这个通常不需要，国内走加密不是为了应对 DNS 污染，而是运营商 DNS 劫持。这个涉及运营商网间收费。比如，你移动宽带用户访问我联通宽带资源，联通就要收移动的钱。小运营商为了省钱会自己建立一些反代缓存，通过 53 口 NAT DNS 劫持把用户请求导过来。不过，这个要不要防劫持还有待商议，因为小运营商网络不是很好，很多网都是租来的，你不打到它的反代上速度肯定会变慢。

> 当然你可以在二号上套娃一个 AdH，但分流不太方便，没有 Overture 灵活
部署一个 AdGuadHome 做记录统计和去广告，上游指向同机器上 overture 而不是外网 DNS.

> 比如缓存设置多大、用 DoT 还是 DoH 、是否有更好的 AdH 替代品等等。
缓存单人 500 条就够用，我从来没打满过。家庭用我觉得 1000 条肯定够。
以前我用的是 dnsmasq/unbound+chinadns. dnsmasq 和 unbound 做转发功能没 mosdns 多，但设计的其他方面比 overture 、mosdns 这种业余的肯定要专业。dnsmasq 和 unbound 都可以查询一些统计信息，里边就包括缓存信息。

> 希望能抛砖引玉，看看还有没有优化空间（那么只有砸钱了）。
你 DNS 转发到小鸡一号，和直接 DoT 、DoH 到外网公共 DNS 没有什么区别。小鸡一号完全没必要。

扩展一下关于 EDNS Client Subnet，我自己是不开这个。因为不仅要去污染，还要走代理。代理是不使用你本地解析的 IP 的，甚至都不需要解析到没有污染的 IP，只要能正确分流即可。参考 https://blog.skk.moe/post/what-happend-to-dns-in-proxy/
比如 Surge 就没实现 Clash 那种 DNS 分流加无污染。

所以严格来说，完全可以不做 DNS 无污染。电脑上我会部署 mosdns 。如果你部署在路由上，想要记录查询请求，前边套一个 adguardhome 即可。

这都是 ClashX 干的，强制覆盖了你配置文件中的一些参数。还有 DNS，我设置监听在 127.0.0.1，他丫的非要监听在 0.0.0.0.
不爽可以换 CFW 或者直接 clash-premium TUI.

苹果的解决方案是把状态栏加宽，我干……

@monkeydev 跨 Windows *nix 不要使用 zip，换 tar 或者 7z.
zip 格式设计时没有考虑存储文件系统编码。*nix 下文件名、文件夹名都是 UTF-8 编码，中文 Windows 下大概是 GBK 之类的。直接解压对方压缩的 zip 时，会使用自己文件系统的编码，解压必然失败。

如果非要死磕 zip:

- 少量 GUI app （如 macOS 下 Entropy 和 The Unarchiver ）对 zip 解压加入了编码猜测支持，而不是直接使用当前文件系统的编码。
- 某些 TUI 支持解压 zip 时指定编码，如 unzip-iconv (patch 版 unzip, -O, -I 参数)，unarchive (The Unarchiver 应用底层命令行工具，-e gb18030)

更正：

- bitbucket 还需要指定 HostKeyAlgorithms +ssh-rsa
- 另外上条回复末尾 bitbucket 不支持椭圆曲线应该是错误的，不能只依据 host key algorithms 判断

@chengfeng 基本是正确的。严格来说不是 RSA 被废弃，RSA 公钥仍然安全，废弃的只是认证过程中的 ssh-rsa 签名格式，或者说哈希算法。

自从 OpenSSH 7.2，rsa-sha2-* 取代 ssh-rsa 作为默认的 ssh host key algorithm 签名算法。8.2 时通知 ssh-rsa 之后将废弃，8.8 正式废弃了 ssh-rsa.

https://security.stackexchange.com/a/226133/203193
> The RFC8332 RSA SHA-2 signature algorithms rsa-sha2-256/512. **These algorithms have the advantage of using the same key type as "ssh-rsa" but use the safe SHA-2 hash algorithms.** These have been supported since OpenSSH 7.2 and are already used by default if the client and server support them.

另外影响的只是 ssh-rsa hash 算法格式，RSA 公钥（即 id_rsa 文件）仍然使用 ssh-rsa 格式。 因为 RSA 公钥不依赖 hash 函数。

https://www.ietf.org/rfc/rfc8332.txt
> Since RSA keys are not dependent on the choice of hash function, the new public key algorithms reuse the "ssh-rsa" public key format as
defined in [RFC4253]:

https://superuser.com/a/1488613/733022
> RSA keys themselves are neither "SHA1" nor "SHA2" - the key format doesn't involve any hash algorithm at all. The private key just consists of two large numbers, and unlike certificates, there is no attached signature.

https://superuser.com/a/1556861/733022
> The key format has not changed. The only thing that changes is the signature format that's sent during each authentication handshake.

---

回归原问题，OpenSSH 8.8 客户端默认不提供 ssh-rsa hash function，而远端服务端不接受非 ssh-rsa 外的 rsa-sha2-*. 协商失败。

目前已知受影响的有 gitee.com, bitbucket.org.

测试方法： ssh -T [email protected] -vv 或者 ssh -T [email protected]. -vv 开启 debug2 级别日志。在结果中检索 'host key algorithms'，注意有 2 条匹配，一条客户端的，一条服务端的。

gitee: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519. OpenSSH 服务端没有支持 rsa-sha2-*.
bitbucket 就更狠了: ssh-rsa,ssh-dss. 根本就不支持任何椭圆曲线签名算法。

fzf 配置好后自带此功能，不过触发通过 ssh ** 双星后按 Tab 补全。
补全内容来自文件 ~/.ssh/config ~/.ssh/config.d/* /etc/ssh/ssh_config
源码在 https://github.com/junegunn/fzf/blob/master/shell/completion.bash

export GIT_SSH_COMMAND="ssh -vvv"

Firefox nightly 更新太频繁了，还是换 iceraven 比较好
https://github.com/fork-maintainers/iceraven-browser/releases

@FlyPuff 应该先开 Team 这样会有 15 刀免费试用，然后兑 250 刀 HAPPYHOUR coupon 。退了 Team 再兑 1000 刀 和 500 刀的 coupon 。

否则 credit 高于 200 需要自己掏 Team Plan 的 10 刀月费。这样拿到 1740 而不是 1750.

总计可以拿 1750 刀，有额外 250 刀 coupon 需要开通 Team Plan 才能兑换。https://www.ozbargain.com.au/node/654695

错了，用 dnsmasq 应该不是 Windows，总之把 OS 级别的自动代理检测关了。

在没有使用 dnsmasq 之前，操作系统默认拿到的是路由器下发的 DNS 服务器，通常是路由器自己运行了一个转发 DNS 。路由器知道自己 DHCP 服务下有哪些客户端，可能用这些信息作为对 .lan 的响应。如果没有匹配也不会将 .lan 转发给公共 DNS 服务器。

把 Windows 的自动检测代理关了试试？

另外，.lan 属于本地域名，应该配置 dnsmasq 不向上游转发，可能之前你没配置对导致向外部 DNS 转发查询了。

@forgottencoast 你是说那个 B 站视频，我记得本来价值就不大，没有大纲比较啰嗦，倍速随便听听就好。