feature

Safari 的 "feature"

在 Hacker News Daily 上看到「Safari tries to fill username」這個 Safari 的 "feature"。

作者發現網站在 Safari 上會出現登入的提示功能，像是這樣：

本來以為是 bug，但實際測過後看起來像是 feature，但抓字串的方法很容易誤判，看起來是抓 welcome back 這組字串：

On further consideration I don't think it's a bug. I think Safari is assuming any page with "Welcome Back" on it is a login page and enabling this behaviour. Therefore I think it's intended.

然後作者也有找到 workaround，用   去閃偵測：

Nice one. I found that using a non-breaking space prevents the behaviour.
>p>welcome back</p>

其他人也有發現其他的字串也會中獎：

It seems the same applies to "Sign In"

"Log in" works too. I tried a couple other languages (Finnish, German, French, Chinese) but the issue/feature seems to only happen with English (although I did use Google Translate, so I can't guarantee I used the right idioms).

目前看起來遇到就只能先 workaround 了...

NordVPN 綁架使用者的方式...

在 Hacker News Daily 上看到「NordVpn disables features when you turn off auto-renew」這個，這也太厲害了：

NordVPN 設計成只要關掉 auto-renewal 就直接拔掉一些功能，一臉 WTF...

在 Hacker News 的「NordVPN disables features when you turn off auto-renew (reddit.com)」看到這段提出來的論點蠻有趣的，當作一個參考觀點：

By now these VPN providers are like toothpaste, diapers or soft drinks: completely undifferentiated between competitors, and so only able to maintain their market share by spending loads on marketing. Of course the company with most egregious dark patterns and aggressive churn dampening wins.

Thankfully a tube of toothpaste doesn't allow implementing dark patterns like this... yet.

Chrome 與 Chrome OS 最近不會更新新功能

這邊看到的消息，Chrome 與 Chrome OS 會避免在最近推出新功能，以維持軟體的穩定性，最近更新的主力會放在安全性上：「Google halts upcoming releases of Chrome and Chrome OS to keep things stable for everyone working from home」。

報導引用自 Twitter 上的宣佈：

Due to adjusted work schedules, we’re pausing upcoming Chrome & Chrome OS releases. Our goal is to ensure they continue to be stable, secure, & reliable for anyone who depends on them. We’ll prioritize updates related to security, which will be included in Chrome 80. Stay tuned.

— Chrome Developers (@ChromiumDev) March 18, 2020

呃，突然想到 Windows 的更新情況...

Elasticsearch 提供免費版本的安全功能

Elasticsearch 決定將基本的安全功能從付費功能轉為免費釋出，很明顯的是受到 Open Distro for Elasticsearch 的壓力而做出的改變：「Security for Elasticsearch is now free」。

要注意的是這不是 open source 版本，只是將這些功能放到 basic tier 裡讓使用者免費使用：

Previously, these core security features required a paid Gold subscription. Now they are free as a part of the Basic tier. Note that our advanced security features — from single sign-on and Active Directory/LDAP authentication to field- and document-level security — remain paid features.

這代表 Open Distro for Elasticsearch 提供的還是比較多：

With Open Distro for Elasticsearch, you can leverage your existing authentication infrastructure such as LDAP/Active Directory, SAML, Kerberos, JSON web tokens, TLS certificates, and Proxy authentication/SSO for user authentication. An internal user repository with support for basic HTTP authentication is also avaliable for easy setup and evaluation.

Granular, role-based access control enables you to control the actions a user can perform on your Elasticsearch cluster. Roles control cluster operations, access to indices, and even the fields and documents users can access. Open Distro for Elasticsearch also supports multi-tenant environments, allowing multiple teams to share the same cluster while only being able to access their team's data and dashboards.

目前看起來還是可以朝 Open Distro for Elasticsearch 靠過去...

Hacker News 的潛規則

在「A List of Hacker News's Undocumented Features and Behaviors」這邊列了不少 Hacker News 的潛規則，看過後其實比較重要的是「當你需要自己實做一個類似的系統時，有哪些歷史教訓是人家已經走過的」。

像是 Anti-Voting Manipulation 與 Flame-War Detector 都是蠻常見的情境，Shadowbanning 則是防治廣告機制中比較軟性的一環。Green Usernames 也算是軟性的機制...

另外產品面上，Hacker News 也設計一些常見的 list 讓使用者除了首頁以外的選擇。

KPTI (Meltdown Mitigation) 對 MyISAM 的痛點

在 MariaDB 的「MyISAM and KPTI – Performance Implications From The Meltdown Fix」這篇看到頗驚人的數字，這篇提到了他們收到回報 (回報的 ticket 可以參考「[MDEV-15072] Massive performance impact after PTI fix - JIRA」)，說 KPTI (Meltdown Mitigation) 對 MyISAM 效能影響巨大：

Recently we had a report from a user who had seen a stunning 90% performance regression after upgrading his server to a Linux kernel with KPTI (kernel page-table isolation – a remedy for the Meltdown vulnerability).

他們發現 90% 是因為 VMware 舊版本無法使用 CPU feature 加速，在新版應該可以改善不少。但即使如此，文章內還是在實體機器上看到了 40% 的效能損失：

A big deal of those 90% was caused by running in an old version of VMware which doesn’t pass the PCID and INVPCID capabilities of the CPU to the guest. But I could reproduce a regression around 40% even on bare metal.

然後後面就在推銷 MariaDB 的 Aria Storage Engine 了，不是那麼重要... 不過知道 MyISAM 在 KPTI 下這麼傷還蠻重要的，因為接下來五年應該都還是愈的到 KPTI，應該還是有人在用 MyISAM...

Amazon API Gateway 支援壓縮了...

Amazon API Gateway 支援壓縮了：「Amazon API Gateway Supports Content Encoding for API Responses」。

You can now enable content encoding support for API Responses in Amazon API Gateway. Content encoding allows API clients to request content to be compressed before being sent back in the response to an API request. This reduces the amount of data that is sent from API Gateway to API clients and decreases the time it takes to transfer the data. You can enable content encoding in the API definition. You can also set the minimum response size that triggers compression. By default, APIs do not have content encoding support enabled.

打開後傳回的資料就會自動壓縮了，然後還可以設定觸發的 response size... 依照文件 (Content Codings Supported by API Gateway)，目前支援的壓縮格式應該是最常見的 gzip 與 deflate。

這功能好像是一開始有 API Gateway 就一直被提出來的 feature request...

MySQL 8.0 的功能

之前陸陸續續寫了一些關於 MySQL 8.0 的新改善 (參考「MySQL 8.0 的 performance_schema 加上 index 了...」、「MySQL 8.0 將會實作「真正的」Descending Indexes」、「MySQL 8.0 對 4 bytes UTF-8 的效能改善」)，官方在 RC1 的時候整理了一篇出來：「MySQL 8.0 RC1 – Highlights」。

我覺得比較值得看的是「Better Handling of Hot Rows」、「Invisible Indexes」這兩個吧，前面這點對於效能可以有些幫助 (針對某些情境不要 waiting，直接 skip lock)，後面這點對於維運應該也有不錯的幫助 (像是拔掉 index 的過渡驗證階段)。

當 MySQL 8.0 真的出了之後，Percona 應該也會出文章，到時候可以看出從不同面向的觀察與想法...

Facebook 上貼的所有的連結都是公開的

tl;dr：Facebook 認為這個功能是 feature，不是 bug。

在「Why you shouldn’t share links on Facebook」這邊作者發現在 Facebook 上貼的「任何一個連結」都會產生 object id，而任何一個 object id 都可以直接取得 url，無論權限設定，像是這樣：

而 Facebook 認定這是 feature 而非 bug：

可以想像 NSA 之類的單位與地下組織開始狂掃...

Firefox 十週年

Mozilla 的 blog 上提到了 Firefox 十週年：「Celebrating 10 Years of Firefox」。

2002 年，Mozilla 推出了 Firebird，後來因為商標名稱的衝突，在 2004 年 11 月 9 日改名叫 Firefox，並推出 Firefox 1.0：「Mozilla Foundation releases the highly anticipated Mozilla Firefox 1.0 web browser」。

Firebird/Firefox 的出現改變了整個 web，讓人有所選擇，並且推動了 web 的發展。如果當年沒有 Firebird/Firefox，HTML5 這些新技術不知道要晚幾年才會出現。

Firefox 最新的版本增加了 Forget 功能，可以「遺忘」這五分鐘的資料，或是兩小時、24 小時：

這功能頗有趣的 XD