幹壞事是進步最大的原動力
Hacker News 上看到的消息,Alexa.com 將在 2022 年五月退役:「We will be retiring Alexa.com on May 1, 2022」,對應的討論在「We will be retiring Alexa.com (alexa.com)」這邊。 討論裡面有提到一些替代方案,大概只有 similarweb 堪用,另外也有提到「Tranco」這個: A Research-Oriented Top Sites Ranking Hardened Against Manipulation 歷史啊...
Mozilla 對 Alexa Top 1M Sites 偏安全面向的分析:「Analysis of the Alexa Top 1M Sites」。 對一般情況比較有用的應該是看絕對數字,也就是哪些功能是大家都優先採用了... 然後可以看出 HPKP 跟 SRI 果然是大家都懶得上的功能 (事倍功半 XDDD)。 另外也可以當作是安全性確認的 list,把 HTTP header 類的安全性設定都放上去了。
Mozilla 觀測 Alexa Top 1M 網站,對 HTTPS 使用情況的分析:「Analysis of the Alexa Top 1M sites」。 可以看到比較明顯的是 HTTPS 以及 HTTP → HTTPS Redirection 這兩塊: 不過用 Alexa 的資料有種怪怪的感覺啊... 在討論 HTTPS (有點在推廣的感覺),但 Alexa 的網站現在是做反過來的 HTTPS → HTTP Redirection XDDD
很久前 (突然找到我在 2006 的文章) 就說 Alexa 只是個參考用的工具... (參考「Search Results for: alexa」) 如果要看結論的人請直接跳到文章尾部,中間是說明發現的過程。 昨天 (星期五) 的時候跑去找肥睡睡餵食「摩斯吃到飽」,然後 xdite 也一起亂入,剛好聊到兩件事情。 第一件事情是要幫友站 Logdown 測試流量,講了一堆嘴砲方式... (惡搞的方式先拿掉了) 第二件事情是前天 (星期四) 的時候我發現前公司 pixnet.net 的 Alexa 從六月開始排名突然爆增,大約從全球 600 名跳到 120 名,台灣排名的部份居然超越了 YouTube (目前 PIXNET 在第五名,YouTube 在第六名),但到達率、PV、停留時間都沒有大的變化,就問問 xdite 與肥睡睡有沒有什麼想法,是不是最近有上什麼功能是我沒注意到的 XD 不過餵食席間沒有討論出結果來,吃飽後閃人了... (我不確定肥睡睡有沒有吃飽啦,不過我是不怎麼餓...) 回到家後想說來研究 Logdown 使用的服務,asset 什麼的就先不管好了,到是有一段 code 我之前沒遇過: Update:結果回到家後研究 Logdown 的服務,就看到 xdite 把 Alexa 的 … Continue reading "快速衝高 Alexa 排名的方法"
在 Alexa 的不準確性 提到有許多人對於 Alexa 以 Web Traffic 作為的評分方式質疑後,當然就會有人試著去找替代的方案。 在 (Mis)Tracking Web Traffic 所引用的 Web Numbers: What's Real? 這篇就有人去用不同的方法分析網站的排名,結果得出一些相反的結論。 這就讓很多網站開始緊張啦,因為廣告主會開始質疑「是不是值得投資這麼多錢」... :p
Slashdot 這篇 Alexa, Amazon's Most Flawed Idea 所引用的 Alexa: Amazon’s Most Flawed Idea 這篇文章提到 Alexa 易於「操控」(提供假資料),同時會因為頁面設計過爛 (像 Myspace) 導致連線數量較多而排名較高,另外更重要的是 Alexa Toolbar 是 IE only,所以對於某些站台完全沒有意義。 多沒意義呢?依照 Alexa 的資料,Slashdot 在目前的排名是 227 名 (Related Info for: slashdot.org),但 Slashdot 有 75% 的人是使用 Firefox,如果把這些人都算進去的話...: 更不用說根本不是以 Windows 為導向的站,MacRumors 只有 13% 的使用者用 IE... 所以當有人說他的站在 Alexa 排名多前面的時候,聽聽就好,因為 1) 可以自己寫程式造假 2) 他的站設計的很爛,造成要抓取多次才能完成一個動作 3) 只有 … Continue reading "Alexa 的不準確性"
剛剛在 Boing Boing 看到有人提出來為什麼 MySpace 在 Alexa 的排名會這麼高的原因了,因為 Alexa 是以 Pageview 計算,而 MySpace 的網站設計得太糟糕了,隨便幾個動作就可以造成極大的 Pageview:Evhead: pageviews are obsolete。 PS:國內某個站好像也是這樣 :p
Pi-hole 最近愈來愈紅的一個計畫,技術上是透過 DNS 把不想要的網域名稱擋掉,通常就是擋掉各種 tracking 與廣告系統。 因為是透過 DNS 擋,當然沒有像 uBlock Origin 直接 parse 網頁內容來的有效,但對於方便性來說則是大勝,只需要在網路設備上設一次,所有的裝置都可以用到。 剛剛看到「How a Single Raspberry Pi made my Home Network Faster」這篇,可以看到 Pi-hole 有不錯的介面可以看 (讓你自我感覺良好?XD): 文章作者跑了一個月後,也直言還是有些東西會壞掉,需要設定一些白名單讓他動: Review after 1 month in operation The Pi-Hole has been running for 1 month now on my home network. I have had to whitelist 1 or 2 … Continue reading "擋廣告的 Pi-hole"
在「Large-scale analysis of style injection by relative path overwrite」這邊看到的,記得這個方式不是新方法,不過還是有人會中... 這種攻擊是組合技,基礎是引用 css 或是 js 時使用相對路徑 (像是 static/style.css 這樣的引用法),再加上 https://www.example.com/a.php 這樣的頁面通常也可以吃 https://www.example.com/a.php/,甚至是後面再加東西... 在某些情境下組不出來,但精心策劃後就有機會在頁面上弄出奇怪的 xss 或是其他攻擊了。而論文內列出了常見的的組合: 然後拿 Alexa 的排名來看,其實還是有些站台可以打: 防禦的方式也不算太難,absolute path 是個還不錯的方式: One option is to use only absolute URLs, taking away the relative path expansion. 而 base tag 也是個方式 (不過在 IE 上還是有問題): Alternatively you can specify a … Continue reading "相對路徑的攻擊方式 (Relative Path Overwite,RPO)"
Session Replay 指的是重播將使用者的行為錄下來重播,市面上有很多這樣的服務,像是 User Replay 或是 SessionCam。 這篇文章就是在討論這些服務在處理個資時的方式,像是信用卡卡號的內容,或是密碼的內容,這些不應該被記錄下來的資料是怎麼被處理的:「No boundaries: Exfiltration of personal data by session-replay scripts」,主要的重點在這張圖: 後面有提到目前防禦的情況,看起來目前用 adblock 類的軟體可以擋掉一些服務,但不是全部的都在列表裡。而 DNT 則是裝飾品沒人鳥過: Two commonly used ad-blocking lists EasyList and EasyPrivacy do not block FullStory, Smartlook, or UserReplay scripts. EasyPrivacy has filter rules that block Yandex, Hotjar, ClickTale and SessionCam. At least one of the five companies … Continue reading "各家 Session Replay 服務對個資的處理"