TOTP 为什么不算非常安全？为什么在多因素验证中又算是第二因素中常用的因素？

记一次服务器被挂挖矿软件

自从买到了心心念念的偶尔才有货的 CanoKey 后就想着怎么发挥我能用到的它的所有功能，配置好一些网站的 2FA 后就咸鱼了。 然后我发现他可以保存 OpenPGP 密钥，作为 GPG 的物理密钥。

在进行 Reposite 开发的过程之中遇到了访问本地文件的需求，同时又需要暴露文件。在查看 rocket.rs 的文档寻找这部分文档之时知道了 目录遍历攻击(directory traversal attack) 。