free – Gea-Suan Lin's BLOG

Elasticsearch 提供免費版本的安全功能

Elasticsearch 決定將基本的安全功能從付費功能轉為免費釋出，很明顯的是受到 Open Distro for Elasticsearch 的壓力而做出的改變：「Security for Elasticsearch is now free」。

要注意的是這不是 open source 版本，只是將這些功能放到 basic tier 裡讓使用者免費使用：

Previously, these core security features required a paid Gold subscription. Now they are free as a part of the Basic tier. Note that our advanced security features — from single sign-on and Active Directory/LDAP authentication to field- and document-level security — remain paid features.

這代表 Open Distro for Elasticsearch 提供的還是比較多：

With Open Distro for Elasticsearch, you can leverage your existing authentication infrastructure such as LDAP/Active Directory, SAML, Kerberos, JSON web tokens, TLS certificates, and Proxy authentication/SSO for user authentication. An internal user repository with support for basic HTTP authentication is also avaliable for easy setup and evaluation.

Granular, role-based access control enables you to control the actions a user can perform on your Elasticsearch cluster. Roles control cluster operations, access to indices, and even the fields and documents users can access. Open Distro for Elasticsearch also supports multi-tenant environments, allowing multiple teams to share the same cluster while only being able to access their team's data and dashboards.

目前看起來還是可以朝 Open Distro for Elasticsearch 靠過去...

美國政府發行的字型 Public Sans

Public Sans 是一套美國政府出資而產生的無襯線字型，專案放在 GitHub 上 (uswds/public-sans)。這套自行不是全部都自己刻，而是改自於 Libre Franklin Font (以 SIL Open Font License v1.1 授權，而 Public Sans 沿用同樣授權)。

第一個目標是授權：

Be available as a free, open source webfont on any platform.

另外是使用的廣度：

Have a broad range of weights and a good italic.
Perform well in headlines, text, and UI.

Have good multilingual support.
Allow for good data design with tabular figures.

在 GitHub 頁面上有整理與 Libre Franklin 的差異，可以看到配合現在的呈現媒體而做了不少調整。

Dropbox 免費版限制三個裝置更新...

Dropbox 決定限制免費版的裝置數量，最多只能有三個裝置同步：「Dropbox adds three-device limit for free users」，對應的頁面是「Is there a limit to the number of devices I can link to my account?」。

既有的裝置不受限，但無法再增加：

If you're a Basic user and you linked more than three devices prior to March 2019, all of your previously linked devices will remain linked, but you can’t link additional devices.

另外一個選擇是付費版，最低是 1TB USD$9.99/month (年繳是 USD$99/year)。

看起來像是養肥了要殺，不過這個領域相關的技術應該是夠成熟，而且也不會用到什麼特別的功能，應該會去看看其他平台的情況，像是 Sync 與 pCloud。

其中 Sync 有免費版 (空間限制 5GB，付費版 500GB USD$49/year)，不過官方不支援 Linux，有人用 Wine 跑過，但據說穩定性與效能都不太好：「Sync.com in Linux」。

pCloud (500GB EUR$47.88/year) 也是剛剛提到在 Linux 上跑 Sync 的人後來測試的服務，官方有支援 Linux (看起來是透過 AppImage 包裝)，也許可以測試看看。

另外一個是自己一直都有在用的 Syncthing，不過設定同步的操作上只有 web interface，而且因為是信任架構，需要多台互相設定，沒那麼方便...

AWS 對 Elastic Stack 實作免費的開源版本 Open Distro for Elasticsearch

Elasticsearch 的主體是 Apache License 2.0，但 Elastic Stack (以前叫做 X-Pack) 則是需要付費使用的功能，其中包括了不少跟安全有關的項目在裡面，所以其實有不少人抱怨過產品凌駕安全性的問題，像是「ES 6.3: X-Pack Licence is "Expired" on New Install」這篇官方回應的：

A basic license is not entitled to security features. To try out security you need to use a trial license or obtain a subscription.

AWS 這次則是出手實作了他們自己的版本，叫做 Open Distro for Elasticsearch：「New – Open Distro for Elasticsearch」。

如果你看文章說明，他列出來的 feature 全部都是在 Elastic Stack 這頁上列出來的項目，針對性的意思其實很清楚了：

In addition to Elasticsearch and Kibana, the first release includes a set of advanced security, event monitoring & alerting, performance analysis, and SQL query features (more on those in a bit).

而前面提到的安全性功能也包括在內：

Security – This plugin that supports node-to-node encryption, five types of authentication (basic, Active Directory, LDAP, Kerberos, and SAML), role-based access controls at multiple levels (clusters, indices, documents, and fields), audit logging, and cross-cluster search so that any node in a cluster can run search requests across other nodes in the cluster.

目前支援 Docker Image 與 RPM，之後看看有沒有機會出 deb 版本：

In addition to the source code repo, Open Distro for Elasticsearch and Kibana are available as RPM and Docker containers, with separate downloads for the SQL JDBC and the PerfTop CLI.

這樣應該會讓 Elasticsearch 的服務模式受到很大的影響，來看 Elastic N.V. Ordinary Shares Real Time Stock Quotes 這邊會掉多少...

各種 Java 的版本

看到這則 tweet，提到 Java 的支援度：

We've released version 2.0.0 of Java Is Still Free (https://t.co/VvAPtBYE1C) - giving you a full and balanced view of the #java and #openjdk choices you have going forwards, including commercial support, $free and free to use - read it today!
— Java Champions (@Java_Champions) March 3, 2019

主要是裡面有張圖列出了目前市場上有的選擇，可以當關鍵字來查：

目前看起來如果要 Java 8 只有三個方案，其中有過 TCK 的只有兩個，看起來用 Amazon Corretto 算是個還不錯的選擇？

GitHub Free 開放 Private Repository

GitHub 的免費版本宣佈開放 Private Repository：「New year, new GitHub: Announcing unlimited free private repos and unified Enterprise offering」。

有些限制 (最多三個參與者)，但對不少人應該是夠用了：

GitHub Free now includes unlimited private repositories. For the first time, developers can use GitHub for their private projects with up to three collaborators per repository for free. Many developers want to use private repos to apply for a job, work on a side project, or try something out in private before releasing it publicly. Starting today, those scenarios, and many more, are possible on GitHub at no cost. Public repositories are still free (of course—no changes there) and include unlimited collaborators.

不過 Gitea 也用習慣了，先放著吧...

Flickr 限縮免費帳號的容量

Flickr 在今年四月的時候放出消息被 SmugMug 收購後 (參考先前的文章「SmugMug 買下 Flickr」)，過了半年總算是有新的動作了，跟 SmugMug 完全走使用者付費的想法類似，這次將免費帳號的容量大幅限縮，從本來的 1TB 空間變成 1000 張照片，在 2019/01/08 將會生效：「Why we’re changing Flickr free accounts」。

Beginning January 8, 2019, Free accounts will be limited to 1,000 photos and videos. If you need unlimited storage, you’ll need to upgrade to Flickr Pro.

現在點進去看 Flickr Pro 的費用是 USD$35/year。我在 2005 年以 USD$59.95/year 買過當時的 Flickr Pro... 特別有印象是因為剛好是宣佈被 Yahoo! 收購的前幾天買的訂閱，在被收購後 Flickr 宣佈降價，而先前買的人直接多一年。

參考當年的「http://www.flickr.com/help.gne」頁面)：

We are currently offering an introductory Pro Account special -- Buy yourself (or a friend) an annual Pro Account for US$41.77 and save yourself around 30% from the anticipated annual price of $59.95. That's less than $3.50 a month!

不過現在好像也用不到這個平台了... 反正都公開的資料，也許資料拉一拉丟到其他地方吧，或是想看看要怎麼放。

不吃電池的 HD Camera Streaming...

在 Hacker News Daily 上看到「Towards Battery-Free HD Video Streaming」這個，不使用電池僅靠反射產生訊號，可以達到 HD 畫質的 Camera Streaming (在原型機上測試可以跑出 720p/10fps)：

Finally, we design a proof-of-concept prototype with off-the-shelf hardware components that successfully backscatter 720p HD video at 10 fps up to 16 feet.

而且畫質比想像中好很多，算是比「可用」的等級還高不少：

愈來愈多在研究用 backscatter 拼一些比較複雜的應用...

IDA 免費版

Update：被 comment 提醒，找了一下資料，看起來有段歷史了，所以說 RetDec 的影響就未必是這樣了。下面的文章內容就不修正了...：「IDA Support: Evaluation Version」。

IDA 居然也提供免費版了，雖然是比較舊的版本，而且不提供技術支援：「IDA Support: Freeware Version」。IDA 是個可以反組譯以及當 debugger 的工具：

IDA is a Windows, Linux or Mac OS X hosted multi-processor disassembler and debugger that offers so many features it is hard to describe them all. Just grab an evaluation version if you want a test drive.

我猜是 Avast 放出 MIT 授權版本的 RetDec 的關係 (參考「Avast 放出他們的 Decompiler，RetDec」這篇)，導致 IDA 這邊要做一些動作推廣試用...

不過我覺得有了 open source 的工具後，會看到 open source 工具慢慢成長...

歐洲議會嘗試撥款支援 Open Source Software 的 Bug Bounty 計畫

在 Hacker News 上看到歐盟議會試著以 Bug Bounty 計畫支援 Open Source Software 的消息。這次看到的是 VLC：「VLC: Bug Bounty Program - Get Rewards through HackerOne」。

The European Parliament has approved budget to improve the EU’s IT infrastructure by extending the free software security audit programme (FOSSA) and by including a bug bounty approach in the programme.

這還蠻特別的... 由官方經費贊助 open source 的計畫，除了 VLC 外，重點會在成效以及後續還有哪些被贊助。