GitHub 總算把使用者頁面放到新的 domain 上:github.io

剛剛看到 GitHub 公告,將使用者網站 (http://username.github.com/ 這種) 改到 http://username.github.io/ 下:「New GitHub Pages domain: github.io」。

GitHub 總算把把使用者頁面放到 subdomain 下這種對安全性問題吃力不討好的事情給搞定了...

PS:我還是對 HiNethinet.net 用在使用者 IP 上這件事情感覺到... XD

Firefox 加強對 Cookie 的管制...

Mozilla 官方的 Blog 上說明了 Firefox Nightly 引入了新的 Cookie 機制,預設將不允許以追蹤為目的的 cookie:「Firefox getting smarter about third-party cookies」。

最粗淺的想法是,如果 cookie 是沒有逛過的網站所發出來的就擋掉。所以:(出自 bug 818340 的 comment)

1) if an origin is first-party, it has ordinary cookie permissions
2) if an origin is third-party
	a) if the origin already has cookies, it has ordinary cookie permissions
	b) otherwise, the origin gets no cookie permissions

也就是在 Mozilla Bugzilla 裡的紀錄「Block cookies from sites I haven't visited」,開 bug 的作者是看到 Safari 處理 cookie 的方式而決定要在 Firefox 上也幹類似的事情 :p

所以 google-analytics.com doubleclick.net 的 cookie 永遠不會成立 (因為沒去過這個網站),但 facebook.com 的外掛還是會動... 其他的廣告商就類推... XD

這對於目前的廣告商會很傷 :p 透過 cookie 實作個人化廣告的功能會被廢掉一半的武功,得用其他方法惡搞 :o 可以預期在 Google Chrome 後面的 Google 一定超級不想實作這功能... XD

不過 Google Chrome 好像可以自己阻擋第三方 cookie,然後設定白名單,晚點來研究看看... (反正會保持登入的 social network 沒幾家)

Hostname 最後面的點 (dot) 會造成的影響...

在這邊探討了 FQDN 形式 (hostname 最後面有 dot 結尾的形式) 對於瀏覽器的影響:「The danger of the trailing dot in the domain name」。

影響包括了 HTTPS 的 SSL Certificate 會失效:

另外,cookie domain 會不一樣,所以在有 dot 的頁面上登入後,重導到沒有 dot 的網址上會讀不到 cookie 而造成登入失敗。

瀏覽器應該對 dot 處理嗎?一時間想不到有什麼問題,不過好像又不應該處理...

Google Chrome 上的 Cookie 隱私機制...

最早用 Firefox 的時候 cookie 都是設成 Keep until I close Firefox,然後再把需要 login cookie 的網站設為白名單。

比較早的 Google Chrome 沒有內建這個功能,必須透過 Vanilla Cookie Manager 設定每次啟動時清掉...

前陣子發現 Google Chrome 內建這個功能了,很開心的把 Vanilla Cookie Manager 移除掉,改用內建的功能做,結果發現 Google 系列的服務 (像是 Google ReaderGmail) 常常被登出,而維基百科左側的展開偏好也會被 reset,其他的網站到是還算正常...

花了些時間看,找不到原因,只好換回 Vanilla Cookie Manager...

跑兩個不同 Profile 的 Chrome

因為 Gmail 沒辦法很方便的切換帳號,所以得想辦法讓 cookie 分開存。

試著找套件來做到這件事情,但都不太好處理... 於是決定跑兩個不同 profile 的 Chrome (這樣 cookie 就會分開存了)。

script 長這樣:

#!/bin/sh
cd $HOME
exec chromium-browser --user-data-dir=.config/chromium-2/ &

留個紀錄起來...

Google Chrome 的 Cookie 隱私功能...

Firefox 裡,我們可以藉由「預設所有的 cookie 都只能是 session only」加上「例外名單」,做出「關閉瀏覽器就把白名單以外的 cookie 清掉」的功能,但在 Google Chrome 裡面,用內建的功能做不到這件事情。(他只能做到關閉時全部清除,沒辦法把白名單清除在外)

剛剛找到一個 extension 實做了這個功能:「Vanilla Cookie Manager」,在每次打開 Google Chrome 時會清除所有白名單以外的 cookie,也算是做到這個功能了... (雖然我比較喜歡在關掉的時候處理)

繼續找 Google Chrome 上對應的套件...

evercookie - 想辦法在瀏覽器留下紀錄...

evercookie 是一套想辦法在瀏覽器上留下可供紀錄的痕跡的 javscript library,支援非常多方法,想盡辦法產生類似 HTTP cookie 的效果...

從標準的 HTTP cookie、Flash 的 Local Shared Object,以及 HTML5 規格中的各類 Storage 外,另外還想實做 Web History 與 ETags!這真的不知道該說什麼了... XD

HTTP cookie 可以用內建設定保護,而 FlashblockBetterPrivacy 可以擋 Flash 的 LSO 部份,至於其他的還要再找看看有沒有解...