幹壞事是進步最大的原動力
AWS IAM 總算可以掛多個 MFA 到同一個帳號下了:「You can now assign multiple MFA devices in IAM」。
先前的 workaround 是開多個一樣權限的帳號,一個帳號掛 TOTP MFA,另外的每個帳號掛一隻 U2F MFA,但偶而會遇到會認 IAM account 的權限檢查,就會比較麻煩...
先說明一下,目前這個功能看起來還在 rolling update (也有可能是 bug?),我的公司帳號就成功把本來只有 TOTP MFA 的加掛 U2F MFA 上去,但我自己的 AWS 帳號就怎麼樣都看不到這個新功能。
這是加好的:
這是我自己的 AWS 帳號,沒有像上面那樣可以管理多個 MFA,而點開 Manage 也只會看到移除的選項:
到另外一個掛 U2F MFA 的帳號下一樣也看不到:
另外我在刪除 IAM 帳號時也發現會有無法刪除 MFA 設定的錯誤訊息 (但點進去看 IAM user 可以確認 MFA 已經背山掉了),這時候再刪一次就會成功,看起來 console bug 還不少... 也許再放個兩天看看?
Twitter 上看到 Jeff Barr 提到 AWS 的 Elastic IP 可以轉移到不同帳號下了:
This is a new & very helpful feature for #AWS VPCs: Transfer of Elastic IP Addresses Between AWS Accounts:
📰What's New - https://t.co/ex0eFvMFEX
📓Docs - https://t.co/OZGa3s1IxW pic.twitter.com/RiuGTAkOMB
— Jeff Barr ☁️ (@ 🏠 ) 💉 (@jeffbarr) November 1, 2022
Today, we are announcing Elastic IP transfer, a new Amazon VPC feature that allows you to transfer your Elastic IP addresses from one AWS Account to another, making it easier to move Elastic IP addresses during AWS Account restructuring.
這點在架構的 refactoring 上會有蠻大的幫助,遇到鎖 IP address 的金流系統就不會被這點卡住了,以前得重新掛新的 IP 進去白名單...
Cloudflare 宣佈讓所有人用 RBAC:「Now all customers can share access to their Cloudflare account with Role Based Access Controls」。
產品線夠多,所以支援的 role 也很多 (原文裡面有,另外截圖放在最後面)。
看起來真正的神仙權限要開 Administrator (Can access the full account, except for membership management and billing) + Billing (Can edit the account’s billing profile and subscriptions),但不確定 Billing 有沒有包括前面 Administrator 所去掉的「membership management」。
剛好拿來當內部系統的教材 :o
Raspberry Pi OS 改掉預設的帳號 pi 與密碼 raspberry 這個 security hole 了:「An update to Raspberry Pi OS Bullseye」。
取而代之的是在安裝時要求使用者建立帳號密碼:
如果是 terminal-based 的會是這樣:
之前裝完都要自己用 vipw 改掉,然後接著修改 /etc/group... (沒有習慣用 vigr)
Wikimedia 收到通報,有一個使用者變身成其他使用者,目前調查仍在進行中,但合理的保護措施包括了將所有使用者都 logout (也就包括了維基百科):「Logging everyone out」。
事件的後續追蹤在「User authentication security issue (Oct 1)」這張 ticket 進行中,裡面有看到另外一張 ticket 被提到:「1.36.0-wmf.11 deployment blockers」,但目前看起來還沒有完全確認相關性...
目前只能先等看看了,只能說還在進行中...
Notion 把本來收費 USD$4/month 的個人版拆開多推出一個層級,改成 Personal 與 Personal Pro,其中 Personal 包括了:
Unlimited pages & blocks
Share with 5 guests
Sync across devices
而 Personal Pro 則是多了:
Everything in Personal, plus
Unlimited file uploads
Unlimited guests
Version history
API access COMING SOON
不知道這個免費策略跟「Announcing Microsoft Lists - Your smart information tracking app in Microsoft 365」有沒有關係,以拆分 Personal 帳號來說,應該是事前就有先規劃了... 當然也有可能是內部先拿到消息?
Notion 對一般個人要丟東西應該還不錯,現在 Personal 版本少了之前免費版的 1000 blocks 限制,對於 issue tracking 這種會長期一直增加使用量的應用來說應該會方便不少,不過我自己 Trac + MediaWiki 用習慣了,再加上考慮到資料的自主性,應該就不會考慮跳到 Notion 上...
另外之前有抱怨過多帳號登入的部份看起來還是沒解,目前看到的解法還是使用不同的瀏覽器登入管理 (甚至是建議直接用不同的裝置登入),再來就是 Firefox 提供的 container 處理,其實都是在 client 端拆 cookie 的方案,這對於同時有公司帳號與個人帳號的人會變得頗麻煩的...
看到 Twitter 要清沒有在用的帳號的消息:「Twitter will remove inactive accounts and free up usernames in December」,官方的「Inactive account policy」裡面也可以看到。
看起來定義上是六個月沒有動,官方就可以當作 inactive account 處理:
We encourage people to actively log in and use Twitter when they register an account. To keep your account active, be sure to log in and Tweet at least every 6 months. Accounts may be permanently removed due to prolonged inactivity.
讓我想到先前 arashi_5_official 帳號的取名原因 XDDD
另外不知道會怎麼處理權限上的配套措施,像是有不少網站支援 Twitter 帳號登入,如果被其他人拿到後代表有機會取得其他非 Twitter 系統的權限...
這篇是 StackOverflow 在講 cache 的文章,裡面不是什麼新東西,只是看到有趣的項目所以拿出來講:「How Stack Overflow Caches Apps for a Multi-Tenant Architecture」。
在講 cache 前通常都會說明各種儲存空間速度的差異,但裡面混了一個奇怪的東西:
裡面混了一個不是 storage 的東西進去比較,你們是對 Microsoft 的帳號系統有多不爽 XDDD
另外他們列出了目前 Redis 的使用情況:
For the curious, some quick stats from last Tuesday (2019-07-30) This is across all instances on the primary boxes (because we split them up for organization, not performance…one instance could handle everything we do quite easily):
- Our Redis physical servers have 256GB of memory, but less than 96GB used.
- 1,586,553,473 commands processed per day (3,726,580,897 commands and 86,982 per second peak across all instances – due to replicas)
- Average of 2.01% CPU utilization (3.04% peak) for the entire server (< 1% even for the most active instance)
- 124,415,398 active keys (422,818,481 including replicas)
- Those numbers are across 308,065,226 HTTP hits (64,717,337 of which were question pages)
然後更長的版本可以在作者自己的 blog 上讀到,裡面講到的 cache invalidate (purge) 這部份有談到一些他們的作法:「Stack Overflow: How We Do App Caching - 2019 Edition」。
看到「Disable SMS or voice codes for 2-Step Verification for more secure accounts」這邊的說明,G Suite 的管理員可以將 SMS 與 Voice 強制關閉 (也就是不認為這兩個管道是安全的 2FA)。
主要是因為行動網路一直都不怎麼安全,像是 GPRS 與 3G network 使用的 KASUMI,或是 downgrade attack (用 2G network)。
目前 G Suite 登入有提供的 2FA 除了上面這兩個以外,應該還有 TOTP 與 U2F 類的認證方式,這次影響最大的應該是堅持用非智慧型手機的人?這種:
Flickr 在被 SmugMug 收購後就開始在整理架構,其中一塊是把本來綁定 Yahoo! 的登入拿掉,現在官方推出計畫了:「Flickr login freedom is here.」。
不過不是所有人都馬上可以用,而是逐步開放給使用者:
The first page of the login experience has already been updated with a new look, but you will continue to log in to your Flickr account with your Yahoo credentials as you always have until the rollout reaches you.
來繼續等...
