Gea-Suan Lin

用 Brave 的 brave://flags 設定

因為 Brave 會繼續支援 webRequest 的完整功能，所以早早就已經跳槽過來，不過 Brave 的垃圾功能太多 (一堆 cryptocurrency 相關的功能)，有需要全部關掉，所以裝好後第一件事情就是到 brave://flags 裡面把所有 Brave 自家功能的設定關光光，只留下 Brave Sync V2 的功能。

先前都是用滑鼠一個一個關，剛剛覺得太累了，研究一下 js 直接在 dev console 裡面關：

document.querySelector('flags-app').shadowRoot.querySelectorAll('flags-experiment[id^=brave]').forEach(flag => {
  flag.shadowRoot.querySelectorAll('option').forEach(o => {
    if (o.innerText === 'Disabled') {
      o.selected = 'selected';
      o.parentElement.dispatchEvent(new Event('change'));
    }
  });
});

這樣會全部把 brave 開頭的 feature flag 都關掉；最後再手動把 Sync V2 開回來就可以重開 Brave 了。

後續就是 GUI 上面的選單再調整成自己要的。

這邊搞 javascript 的部分有遇到四個地方要處理... 第一個是現在 dev console 預設不讓你貼東西進去，貼了以後會顯示要輸入 allow pasting 後才行，這個字串以及方法之後不知道會不會改。

第二個是遇到 querySelectorAll 穿不過 shadow DOM，所以可以看到程式碼裡面需要先選出 shadow DOM 元素，用 shadowRoot 鑽進去再 querySelectorAll 一次。

第三個是 css selector 沒辦法針對 innerHTML 或是 innerText 的內容判斷，所以得自己拉出 option 後對 innerText 判斷。

最後一個是改變 select 的值後，得自己觸發 change event，這樣才會讓 Brave 偵測到並且儲存。

tf-idf 與 BM25

tf–idf 與 BM25 是兩個在資訊檢索 (IR) 裡面的經典演算法，也常被用在搜尋引擎技術上。

前陣子在練 Go，剛好找個主題來練，tf-idf 已經很熟了，但 BM25 沒有實際寫過，而自己的 blog 也累積了七千多篇，這個數量還算好用，不用自己另外 dump 維基百科的文章跑... (而且量太大)

第一步是拆成 token，我這邊就拿 bigram 拆了，但英文的部分把一整個詞當作一個單位，而非一個字母一個字母拆。

btw，這邊 tf-idf 與 BM25 的公式就請大家自己去維基百科上翻了...

tf-idf 概念上很簡單，而也沒有什麼 magic number 在公式裡面。

如果把 tf-idf 當一個 function 來看的話會是 score = tfidf(w, d, D)，表示一個字 w 在一份文件 d 裡面的分數 (而 D 是所有文件)。

而 tf 只跟文件本身有關，可以預先算好放著，df 在後續文件新增刪除時都可以 incremental update，不需要重頭算，是個對於平行化運算很友善的演算法。

接著是看 BM25，如果把 BM25 當作一個 function 來看的話，會是 array = bm25(Q, D)，針對 query words Q 與所有文章 D 傳回一個排序結果 array，裡面會是排序過的 document id，通常會包括分數。

而從公式可以看到 BM25 其實就是把 Q 裡面的每個字丟進 tf-idf 後加起來的變形，只是多考慮到文件大小對分數的影響，另外裡面引入了一些花招，像是 k₁ 與 b 這兩個常數項。

所以我就寫了兩個版本，一個是單純用 tf-idf 相加 (這樣長文章分數應該會比較高)，另外一個是用 BM25 的公式跑... 算是趣味趣味的寫法。

算是清掉了之前一直放著的項目...

首先是在 Hacker News 的 best 頁上看到「Netlify just sent me a $104k bill for a simple static site (reddit.com)」這篇，點進去以後是 Reddit 的「Netlify just sent me a $104K bill for a simple static site」這篇，看了一下作者的敘述，是個用 Netlify 的服務，上面有個 3.44MB 的音檔被針對攻擊，造成 190TB 的流量，以及 $104K 的帳單 (十萬多美金)，之後 Netlify 的客服同意這是 DDoS 攻擊，給他 95% discount，也就是還是要付 $5K 左右...

Reddit 下面最高分的回應是：

[–]thankyoufatmember 2262 points 14 hours ago
Don't pay, post the story to Hackernews!

Okay，我想說我就是從 Hacker News 上看到點過來的... 回去看一下好了，結果在 Hacker News 的留言最上方是：

bobfunk 10 hours ago | next [–]

Netlify CEO here.

Our support team has reached out to the user from the thread to let them know they're not getting charged for this.

It's currently our policy to not shut down free sites during traffic spikes that doesn't match attack patterns, but instead forgiving any bills from legitimate mistakes after the fact.

Apologies that this didn't come through in the initial support reply.

然後我剛好在喝茶，就嗆到了...

人家常說 Ptt 的電蝦板 (PC_Shopping) 是全台灣最大的客服中心，遇到各種不公不義的問題貼上去就會解決了... 這點倒是頗像的。

找出任意 S3 bucket 對應的 AWS Account ID

在 Hacker News 上看到「How to find the AWS account ID of any S3 bucket (tracebit.com)」這篇，作者利用不同的額外條件，讓 S3 bucket 產生不同的 response，進而取得 AWS 的 Account ID。

首先是先確定 S3 bucket 在哪一區，這個部分比較簡單，即使是 denied response 也會附上 x-amz-bucket-region 這個資訊。

接下來是在對應的區域建立 VPC 以及 VPC Endpoint for S3，接著準備一台 EC2 instance 確認是否透過 VPC Endpoint for S3 存取 Amazon S3 的資料。

接下來的重點就在「Modify the VPC Endpoint policy to determine whether the account ID of the target bucket starts with "0"」這段了，建立一個 policy，限制只能存取 Account ID 是 0* 的 S3 bucket：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "s3:*",
            "Effect": "Allow",
            "Resource": "*",
            "Principal": "*",
            "Condition": {
                "StringLike": {
                    "s3:ResourceAccount": "0*"
                }
            }
        }
    ]
}

然後發 request 去要檔案，理論上在 command line 這邊都會收到 denied 的訊息，但在 CloudTrail 裡面會有兩種不同的情境，如果 CloudTrail 裡面有這筆記錄，表示 Account ID 是 0*；如果沒有的話，表示 Account ID 不是 0*：

If we find our request in CloudTrail, it means that the VPC Endpoint policy permitted the request - i.e. the Account ID of the bucket starts with 0. If we don't find the request, then the VPC Endpoint policy blocked the request - i.e. the Account ID of the bucket does not start with 0.

有了這個破口後，後續的事情就可以自動化了，平行測試以及二分搜尋法拿出來用就可以加速進行。

而 AWS 的 Account ID 雖然不是敏感資訊，但能挖出來還是頗... 有趣的？

各家首頁 JavaScript 的大小

看到「JavaScript Bloat in 2024 (tonsky.me)」這篇在講各家首頁 JavaScript 的大小，原文在「JavaScript Bloat in 2024」這邊。

作者 Nikita Prokopov 創造了很多 open source project，我比較有印象的是 Fira Code，這篇比較像是他在抱怨現在的網站...

裡面站台一堆都是 10MB+ 的 JavaScript 在跑的，突然提到 P 站只有 1.4MB 的時候笑了出來 (在 Hacker News 的 comment 裡面也有人提到這個)：

Compare it to people who really care about performance — Pornhub, 1.4 MB:

另外 Jira 也被拿出來鞭：

Here, Jira, a task management software. Almost 50 MB!

但趨勢看起來不可逆？現在開發網站一堆都搞前後端分離，用 JavaScript 產生出所有頁面，然後再想辦法補 SEO...

Martti Malmi 與 Satoshi Nakamoto 一些早期關於 Bitcoin 的信件

Martti Malmi 把早年與 Satoshi Nakamoto 的信件公佈出來：「Satoshi - Sirius emails 2009-2011」。

主要是因為作證而整理出來的：

I did not feel comfortable sharing private correspondence earlier, but decided to do so for an important trial in the UK in 2024 where I was a witness. Also, a long time has passed now since the emails were sent.

另外這些是有備份到的部分，在改成 @aalto.fi 的部分就沒備份到了：

The archive is incomplete and contains only emails from my address @cc.hut.fi. My university email addresses changed to @aalto.fi in early 2011, and I don't have backups of those emails.

這次公開的看起來共 260 封，從 2009 到 2011 的信件，算是新出土的史料... (?)

CloudFront 端出 Embedded Points of Presence

看到 CloudFront 的產品新聞稿：「Amazon CloudFront announces availability of Embedded Points of Presence」，AWS 在 CloudFront 上端出了 Embedded Points of Presence 服務，看名字就是更彈性的 CDN PoP，不過想知道更細節的東西得去看 FAQs 的部分...

從這段可以看到應該是 AWS 的 appliance，然後放到實體機房裡面提供服務：

These embedded POPs are owned and operated by Amazon and deployed in the last mile of the ISP/MNO networks to avoid capacity bottlenecks in congested networks that connect end viewers to content sources, improving performance.

比較特別的消息是，這個不會額外收費：

Q. Is there a separate charge for using embedded POPs?
No, there is no additional charge for using CloudFront embedded POPs.

另外這個服務會是 opt-in 選擇加入，但不需要額外設定 distribution，而且 CloudFront 會針對有 opt-in 的 distribution 自動混搭：

Embedded POPs are an opt-in capability intended for the delivery of large scale cacheable traffic. Please contact your AWS sales representative to evaluate if embedded POPs are suitable for your workloads.

No, you do not need to create a new distribution specifically for embedded POPs. If your workload is eligible, CloudFront will enable embedded POPs for your existing distribution upon request.

You don't have to choose between CloudFront embedded POPs or CloudFront POPs for content delivery. Once your CloudFront distribution is enabled for embedded POPs, CloudFront's routing system dynamically utilizes both CloudFront POPs and embedded POPs to deliver content, ensuring optimal performance for end users.

下一章「Compliance」的部分有提到 embedded POPs 是不包括在 PCI DSS、HIPAA 以及 SOC 這些 compliance 的，所以也可以回頭看到在提到推薦掛上來的內容，有避開掉敏感服務，主要是以大家都會看到一樣的內容的東西為主：

Embedded POPs are custom built to deliver large scale live-streaming events, video-on-demand (VOD), and game downloads.

看起來有點像是 Netflix 的 Open Connect 或是 Google 的 GGC，讓 ISP 或是 MNO 可以放 cache service 降低對外消耗的流量。

這應該會回到老問題，ISP/MNO 當然是希望 CloudFront 花錢放機器進來，不會是 ISP/MNO 自己申請放，這不是技術問題而是商業問題...

Google Groups 脫離 Usenet 系統

先前在「Google Groups 將在 2024/02/22 斷開與 Usenet 的連接」這邊提到的，Google Groups 在 2024/02/22 會斷開與 Usenet 的 NNTP peering，日子到了...

在 Google Groups 上官方更新 banner 訊息了：

從我自己架的 News Server 上也可以從 innreport 中 incoming feed 的各個指標看到差異了：

可以再觀察幾個月看看後續的量，原先使用 Google Groups 的人會跑來 Usenet 上面嗎？或是 Usenet 就繼續萎縮下去...？

Ubuntu 上 PPPoE 自動重撥的設定

tl;dr：在設定檔裡面除了 persist 外，還要加上 maxfail 0。

中華 HiNet 家用方案有提供固一動七的 IPv4 address 可以用，我自己因為玩 DevOps/SRE 的項目，有個固定 IPv4 address 弄一台便當盒小主機跑個 Ubuntu 系統當 jump server (跳板機) 總是對於防火牆的設定比較友善。

家用方案的固定 IP 在網站上申請完以後，透過 PPPoE 撥號指定另外一組 username 拿到。

我遇到的問題時大多數斷線後會自己重連，但偶而就是不會，這次難得在土城家裡的主機發生，看 log 發現是 pppd 自己 exit 了：(時間是 UTC，大約是 2024/02/22 的早上三點多)

Feb 21 19:09:15 kennel pppd[716]: No response to 4 echo-requests                                                      
Feb 21 19:09:15 kennel pppd[716]: Serial link appears to be disconnected.                                             
Feb 21 19:09:15 kennel pppd[716]: Connect time 7434.5 minutes.                                                        
Feb 21 19:09:15 kennel pppd[716]: Sent 1240056869 bytes, received 1018762497 bytes.                                   
Feb 21 19:09:21 kennel pppd[716]: Connection terminated.                                                              
Feb 21 19:09:21 kennel pppd[716]: Connect time 7434.5 minutes.                                                        
Feb 21 19:09:21 kennel pppd[716]: Sent 1240056869 bytes, received 1018762497 bytes.                                   
Feb 21 19:09:21 kennel pppd[716]: Modem hangup                                                                        
Feb 21 19:10:27 kennel pppd[716]: Timeout waiting for PADO packets                                                    
Feb 21 19:10:27 kennel pppd[716]: Unable to complete PPPoE Discovery                                                  
Feb 21 19:11:32 kennel pppd[716]: Timeout waiting for PADO packets                                                    
Feb 21 19:11:32 kennel pppd[716]: Unable to complete PPPoE Discovery                                                  
Feb 21 19:12:37 kennel pppd[716]: Timeout waiting for PADO packets                                                    
Feb 21 19:12:37 kennel pppd[716]: Unable to complete PPPoE Discovery                                                  
Feb 21 19:13:42 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:13:42 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:14:47 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:14:47 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:15:52 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:15:52 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:16:57 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:16:57 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:18:02 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:18:02 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:19:07 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:19:07 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:20:12 kennel pppd[716]: Timeout waiting for PADO packets
Feb 21 19:20:12 kennel pppd[716]: Unable to complete PPPoE Discovery
Feb 21 19:20:12 kennel pppd[716]: Exit.

這邊算了一下「Unable to complete PPPoE Discovery」出現了十次，這種數字看起來就蠻可疑的，回頭去 pppd 的說明找 10 可以看到這段：

Terminate after n consecutive failed connection attempts. A value of 0 means no limit. The default value is 10.

接著網路上翻，在「How do I set a PPPoE connection to redial?」這邊看到有人也提到了這點：除了 persist 以外，也要記得改 maxfail...

RFC 9512：application/yaml

看到「RFC 9512: YAML Media Type」這個，原來還沒有註冊 application/yaml 啊...

另外在 media type 的文件裡面，意外的給出了安全性的建議：

Code execution in deserializers should be disabled by default and only be enabled explicitly. In the latter case, the implementation should ensure (for example, via specific functions) that the code execution results in strictly bounded time/memory limits.

這邊用的是 should 不是 SHOULD，所以當一般的英文句子在讀，而非具有規範性的敘述。

但還是給了預設關閉 code execution 的建議...

Category: Computer