WWW – Page 2 – Gea-Suan Lin's BLOG

nginx 分家：freenginx

在 Hacker News 上看到 Maxim Dounin 決定分家到 freenginx 的消息：「Freenginx: Core Nginx developer announces fork (nginx.org)」，原文在 mailing list 上：「announcing freenginx.org」，這邊提到分家的原因：

Unfortunately, some new non-technical management at F5 recently decided that they know better how to run open source projects. In particular, they decided to interfere with security policy nginx uses for years, ignoring both the policy and developers’ position.

在 freenginx 的 mailing list 上有提到更多，在 2024-February/000007.html 這篇：

The most recent "security advisory" was released despite the fact that the particular bug in the experimental HTTP/3 code is expected to be fixed as a normal bug as per the existing security policy, and all the developers, including me, agree on this.

And, while the particular action isn't exactly very bad, the approach in general is quite problematic.

這邊提到的 security advisory 是「[nginx-announce] nginx security advisory (CVE-2024-24989, CVE-2024-24990)」這個，看起來是個沒有 enabled by default 的功能：

Two security issues were identified in nginx HTTP/3 implementation,
which might allow an attacker that uses a specially crafted QUIC session
to cause a worker process crash (CVE-2024-24989, CVE-2024-24990) or
might have potential other impact (CVE-2024-24990).

The issues affect nginx compiled with the ngx_http_v3_module (not
compiled by default) if the "quic" option of the "listen" directive
is used in a configuration file.

The issue affects nginx 1.25.0 - 1.25.3.
The issue is fixed in nginx 1.25.4.

在 id=39373804 這邊有些目前 nginx 組成的資訊可以讀，目前 nginx 的 core devs 應該就三位 (在 Insights/Contributors 這邊看起來只有兩位，這是因為 GitHub 上面的 mirror 看起來是從 Mercurial 同步過去的，而 Sergey Kandaurov 沒有 GitHub 帳號)：

Worth noting that there are only two active "core" devs, Maxim Dounin (the OP) and Roman Arutyunyan. Maxim is the biggest contributor that is still active. Maxim and Roman account for basically 99% of current development.

So this is a pretty impactful fork. It's not like one of 8 core devs or something. This is 50% of the team.

Edit: Just noticed Sergey Kandaurov isn't listed on GitHub "contributors" because he doesn't have a GitHub account (my bad). So it's more like 33% of the team. Previous releases have been tagged by Maxim, but the latest (today's 1.25.4) was tagged by Sergey

現在就是單方面的說法，可以再讓子彈多飛一點時間... 看 F5 要不要回應，以及 F5 的說法 (如果要回應的話)。

蒐集 Hacker News 上被不合理條件「消失」的連結

在「Stories removed from the Hacker News Front Page, updated in real time (github.com/vitoplantamura)」這邊看到的計畫，專案在 GitHub 上面：「vitoplantamura/HackerNewsRemovals」。

蒐集的條件是假設如果本來在第一頁上面 (top 30)，不應該下一分鐘就調出 top 90：

The assumption is that a Story cannot go from the top 30 to a position higher than 90 in a single minute, without having been explicitly removed.

dang 在 id=39231821 有解釋有些情況是會直接被 downrank 出去的：

The first two you listed were downranked by the flamewar detector. The last one was downranked by users. Admins didn't touch any of them.

其實 Hacker News 混久了大家心裡也都有底，這兩個很 buggy 的機制就是要夠 buggy 才能操弄，這點從某些特定主題 (像是 climate change 相關的) 會突然消失，然後被推給這兩個系統...

所以 Hacker News 被說黑箱也不是一天兩天了，隔壁 Lobsters 至少有 Moderation Log 可以看...

現在這樣可以撈出其他有用的連結來看了，另外應該也可以讓他變成類似 Hacker News Daily 的方法才對，每天整理出來後變成一篇 blog post，這樣可以訂起來看，來提議給作者看看好了？

佛州眾議院通過禁止 16 歲以下的未成年人使用社群媒體

多個媒體都有報導，這邊挑一篇：「Florida’s GOP-controlled House passes strict social media restrictions for minors」。

之前猶他州通過的法律是要求要有父母明確的同意才能使用，這次則是更嚴格，父母同意也不開放使用：

Florida’s legislation appears to be stronger than laws that passed in other states recently such as Utah, where a new policy requires social media companies to receive parental consent before minors under 18 can open or maintain an account.

“If we just let parents decide on this one, parents are going to be harangued so much because it makes a kid ostracized not to be on social media,” Renner told reporters earlier last week.

是個當作「電子毒品」的概念：

“These dopamine hits [from social media] are so addictive, it’s like a digital fentanyl,” said state Rep. Fiona McFarland.

目前眾議院先通過了 (106 對 13)，會送往佛州的參議院：

Legislators passed the social media legislation 106-13, with a few Democrats voting against; the adult websites bill was approved unanimously.

從通過的議案可以看到目標是今年七月生效：

This act shall take effect July 1, 2024.

猶他州那邊幾家 social media 還在跟政府打各種官司，佛州這邊看起來會有新的戰線。

Kagi 訂閱數量過兩萬

看到 Kagi 公佈了訂閱數量破兩萬的新聞：「Celebrating our first 20,000 members」，翻了一下先前的文章，九月的時候才接近 9k：「Kagi 又恢復 $10/mo 的 Unlimited Search Plan 了」。

目前的目標看起來是訂在 50k (至少圖表上面的是 50k)：

從 Internet Archive 上面查，可以看到九月到十月那波是漲最多的，差不多 22%：(出自 https://web.archive.org/web/20231011042040/https://kagi.com/stats 這邊)

依照 2022 年當時在「Kagi status update: First three months」這篇的說法，要 25k users 才能打平所有的開銷，雖然後來產品線改變蠻多的，但 25k 應該還是會算個重要的 milestone？

We are planning to reach sustainability at around 25,000 users mark, by further improving the product, introducing new offerings and pricing changes. With the product metrics being as good as they are, we should be able to reach this as our visibility increases.

現在看起來應該再給幾個月就會達到了，看起來會證明這塊小眾市場還是能做的？

SQLite 官方提供的網頁版 playground

Hacker News 上看到「Sqlite3 Utility in the Browser (sqlite.org)」這個，看了一下是官方提供的 playground：「SQLite3 Fiddle」。

從 https://sqlite.org/fiddle/fiddle.js 這邊可以看到 2022 年就有的東西，在 Internet Archive 上也可以看到也是差不多時間被記錄下來的：「Saved 21 times between August 12, 2022 and January 24, 2024.」。

看起來是用 WebAssembly 包起來的，不過如果是自己的機器，本機跑 sqlite3 好像會方便一些...

捷克政府宣布 2032/06/06 政府網站將停用 IPv4 服務

看到「Czech republic sets IPv4 end date (konecipv4.cz)」這篇，捷克政府公告了政府網站將在 2032/06/06 停用 IPv4 服務：「Czech republic sets IPv4 end date」。

On 17 January 2024, the Government of the Czech Republic approved the material "Restarting the implementation of DNSSEC and IPv6 technologies in the state administration". On the basis of this decision, the Czech state administration will stop providing its services over IPv4 on 6 June 2032. Thus, the Czech Republic knows its IPv4 shutdown date.

剛好昨天在試著將手上 AWS 的 EC2 instance 拔掉 IPv4 address (因為 2024/02/01 開始收費，參考先前寫的「AWS 將開始收取 IPv4 的 Public IP 費用」)，結果還是遇到相依服務還沒有上 IPv6 endpoint 的問題，如果要轉移的話得開 DNS64 與 NAT64，但因為目前就只有兩台小機器在 AWS 上，在上面租 NAT64 或是自己架 NAT64 的費用反而比付 IPv4 address 的費用還貴，就先暫時丟著了。

我這邊遇到的問題是 api.slack.com 目前只有 IPv4 address，這邊因為是走 HTTPS，也許可以靠其他在有 IPv6 address 的 VPS 上的 proxy server 解決 (我剛好有租一些 VPS instance)，這幾天再來看看怎麼弄...

密碼裡面不能有 SELECT/INSERT/UPDATE/DELETE/DROP

這是在 Hacker News 上看到的：「Password may not contain: select, insert, update, delete, drop (uni-lj.si)」，原網站在「Password reset - ID portal」，熱鬧的地方在於原作者 (或是外包商？) 也在 Hacker News 上面回應...

禁止密碼裡面有某些字元還蠻常見的，但這次看到的很有趣 (然後被貼到 Hacker News 上)：

Your password must also not contain the following character combinations: script, select, insert, update, delete, drop, --, ', /*, */.

從網域及英文版的介面可以查到這是盧比安納大學的系統，作者 (或是外包) 在 id=39079030 提到了這是上面的要求：

Oooh! I put that string there! It was a request by management, and I still don't know why. This site doesn't store any passwords, it's basically just a nice interface to external account management.

I heard a rumour that some legacy apps have weird validation on their login fields, so students wouldn't be able to log in with passwords containing certain strings. But I don't actually know of any examples.

就... 很好玩？

紐約時報早期的 Flash 圖表使用 Ruffle 執行

剛好上一篇才在講 Ruffle，結果看到「New York Times Flash-based visualizations work again (flowingdata.com)」這邊的討論才發現紐約時報也開始用 Ruffle 呈現早期的報導裡面的 Flash 圖表了：「NYT Flash-based visualizations work again」，這篇文章裡面則是引用了「The New York Times now has a web Flash player」。

文章裡面給了好幾個範例頁面，像是「The Ebb and Flow of Movies: Box Office Receipts 1986 — 2008」這個，我用桌機開起來的時候 CPU 也是狂操了一陣子才跑出來，而且操作起來有點卡，但至少有東西繩線出來可以用...

Bluesky 支援 RSS 2.0

在「Bluesky has launched RSS feeds (openrss.org)」這邊看到 Bluesky 支援 RSS 2.0 的消息：「Bluesky has launched RSS feeds」。

以作者提到的例子來說，Jay Graber 的頁面上 (在「@jay.bsky.team on Bluesky」這邊) 有 auto-discovery link：

<link rel="alternate" type="application/rss+xml" href="https://bsky.app/profile/did:plc:oky5czdrnfjpqslsw2a5iclo/rss">

選擇 RSS 2.0 而不是 Atom，不知道是什麼原因...

有了 feed 以後現有的 RSS reader 都可以直接訂起來了，像是在 Slack 上可以用 /feed add [url] 訂閱。

CSS Flexbox 裡元素的 margin 不會重疊

前陣子在動手弄 css 的東西，才注意到 flex 有很多不太一樣的設計，對於學過「以前的標準」的人來說會比較意外，就像標題提到的...

我在 JS Fiddle 上面做了一個範例可以測試，裡面有兩組 container，第一組就很標準的 div 設定為 100x100 的大小，然後 margin 設為 10px。

可以看到第一組裡面，上下 block 的 margin 會「疊」起來 (也就是上面 block 的 margin-bottom 與下面 block 的 margin-top 疊起來)，變成 10px，而不是分開算的 20px。

這個特性可以用「margin collapsing」查到，在 MDN 上甚至有一篇「Mastering margin collapsing」可以看，而這個特性對於老人來說已經用習慣了...

但如果用 flex 實作時 (display: flex; 以及 flex-direction: column;)，會發現所有的 margin 都是自己計算而不會疊加，這點在 W3C 的文件「CSS Flexible Box Layout Module Level 1」裡面有提到：

For example, floats do not intrude into the flex container, and the flex container’s margins do not collapse with the margins of its contents.

這個特性無法被改變，取而代之的是用 gap 這個 property 設定元素之間的間格。