PHP 的 Composer 推出 1.0 版

目前 PHP 上最重量級的軟體,Composer,推出 1.0 版了:「Composer goes Gold」。

然後作者女朋友想到奇怪的點子:

My girlfriend had a brilliant idea, and a few days and a couple express deliveries later here we are. We made an actual Composer gold master copy of the 1.0 release, on a floppy!

這張黃金磁片在 eBay 上競標中 XDDD

GitHub 支援 GPG sign

GitHub 推出一個超級重要的功能,確認 GPG sign 的正確性:「GPG signature verification」。

之前被同事複製了一份 .gitconfig.gitconfig.local 後沒有修改裡面的內容,結果我在收到 diff mail 的時候看了半天想說「我什麼時候寫出這樣的 code」... -_-

不知道什麼時候會有「擋沒有 GPG sign」的功能,有的話就更好了 :o

HPKP (HTTP Public Key Pinning) 常見的錯誤

Netcraft 因為有一套系統在觀察整個 internet 的架構,有時後會整理出一些有趣的東西,像是這次整理出來的 HPKP,就找出很多設定上的錯誤:「HTTP Public Key Pinning: You’re doing it wrong!」。

抓了一下列出來哪些:

  • Zero max-age:這個 XDDD
  • Wrong pin directives:沒寫 pin-sha256,包括寫成 pin-sha512 (RFC 不支援)、pin-sha1 (RFC 也是不支援)、pin-sha (RFC 還是不支援)、pin-sha245 (按歪了 XDDD)、ping-sha256 (XDDD)。
  • Only one pinned public key:HPKP 規定要有兩個 pinned public key。
  • No pins at all:因為 typo 而導致失效,像是忘記用雙引號包起來 (double quote,也就是「"」)。
  • At least two pins, but no backup pins:應該要是兩個完全獨立的 CA。
  • Setting HPKP policies over HTTP:這個會被直接忽略。
  • Not quite got round to it yet...:看到「Public-Key-Pins: TODO」也頗不賴 XDDD
  • Using HPKP headers to broadcast skepticism:跟上面那個有異曲同工的感覺 XDDD Public-Key-Pins: This is like the most useless header I have ever seen. Preventing MITM, c'mon, whoever can't trust his own network shouldn't enter sensitive data anywhere.
  • Violation reports that will never be received:有問題時的 report 送到有問題的 domain 上,於是就送不出去了 XD

Safari 也有測試版本了

如標題所說的,現在 Apple 的團隊決定提供測試版本的 binary 了:「Introducing Safari Technology Preview」。可以在「Safari Technology Preview」下載到,版號從 1 開始跳 XD

類似於 Google ChromeFirefox 的 channel 機制,開另外一條線讓大家玩新東西。

BMW 遵守 LGPL v2.1 的方法

在「BMW *are* complying with the GPL」看到的,BMW 的車上軟體有用到 LGPL v2.1 的軟體,於是在車上的電腦可以翻到版權宣告:

於是作者就去要 source code,並且在 Twitter 上記錄:

兩個禮拜後,他拿到一封信與一張 DVD:

然後他把這份光碟的內容放上 GitHub:「All the Open Source Software provided by BMW for their i3」。

Google BigQuery 提供的 Public Datasets

AWS 的「AWS Public Data Sets」一樣,Google Cloud Platform 也提供了類似的服務給使用 Google BigQuery 的人使用:「Google BigQuery Public Datasets」。

目前資料看起來比較少 (因為最近才建立),包括了這六個項目:

  • USA Names Data
  • NYC TLC Trips
  • Hacker News
  • USA Disease Data
  • GDELT Books Corpus
  • NOAA GSOD Weather

在「Other Public Datasets」的地方就是不寫 AWS 的... XD

Preload、Prefetch 與 Preconnect 的差異

KeyCDN 的「Resource Hints – What is Preload, Prefetch, and Preconnect?」這篇文章介紹了 Preload、Prefetch 與 Preconnect 這三者的差異。

Preconnect 從字面上看就很好理解,而 Preload 與 Prefetch 最大的差異:

Preload is different from prefetch in that it focuses on current navigation and fetches resources with high-priority.

主要在 priority 的差異。

CloudFlare 與 Tor 之間的戰爭...

首先 CloudFlare 先發了一篇「The Trouble with Tor」批判 Tor 的問題,然後是 Tor 這邊發了一篇「The Trouble with CloudFlare」反擊。

首先先提到兩邊數字的落差,也就是 Tor 這邊提到的:

2) External research has found that CloudFlare blocks at least 80% of Tor IP addresses, and this number has been steadily increasing over time.

落差很明顯在於 CloudFlare 拿到的數字是「自己實際的數字」,而第三方研究是用各種方法推估出來的數字。就像很多單位都在推估 Facebook 或是 Twitter 的數字,然後你拿第三方研究的報告去反戳 Facebook 說你們數字不準的感覺...

另外一方面,CloudFlare 其實也沒什麼想要解決 Tor 的問題,只是想要拋出來轉移焦點,這點在 Tor 這篇也有提到:

1) CloudFlare uses an IP reputation system to assign scores to IP addresses that generate malicious traffic.

CloudFlare 其實覺得 IP-based 的評價系統就很好用,並沒有想要解決 Tor 的問題。丟出來的幾個方案都是現成的,另外也反過來要求 Tor 加強 hidden service 的安全性。

Hidden service 以現在的角度來看的確已經不太安全 (因為 SHA-1 160bits,然後又切一半當 hostname 的關係),但跟你 IP-based 評價系統有什麼關係啊...

兩邊還有得吵...

Facebook 在 18-34 的佔有率與使用率

目前普遍的認知是 Facebook 的佔有率與使用率在年輕族群愈來愈低,不過 2015 年十二月的資料給了相反的方向:「Are Young People Leaving Facebook? Not Even Close. (Chart)」。

comScore 最近提出的報告書「2016 U.S. Cross-Platform Future in Focus」裡面:

可以會發現,Facebook 的 Reach Rate 與 MAU 都遠遠超越其他對手,甚至連 MAU 除以 Reach Rate 的值也是最高的一個等級 (表示每個人平均每個月使用的次數,可以看做是活躍率),跟 Snapchattumblr 差不多?

Git 2.8 的平行下載 submodule 加速

Git 推出新版的時候,幾家 Git Hosting 都會撰文寫一些重要的進展,像是 GitHub 這次的內容:「Git 2.8 has been released」。

GitHub 這次說明平行下載的範例直接清楚表示出來功能:

git fetch --recurse-submodules --jobs=4

用 Google 找了一個 .gitmodules 裡面有很多筆的 repository 測了一下,的確是快了不少...