one – Gea-Suan Lin's BLOG

Google One 的使用者都有 VPN 服務可以用了...？

在 MacRumors 上面看到 Google 提供 VPN 服務給所有付費的 Google One 使用者使用：「All Paid Google One Subscribers Now Get VPN Access」。而 Google 的公告在這裡：「New security features for all Google One plans」。

主打隱私性，避免被追蹤 IP 位置之類的：

VPN by Google One adds more protection to your internet activity no matter what apps or browsers you use, shielding it from hackers or network operators by masking your IP address. Without a VPN, the sites and apps you visit could use your IP address to track your activity or determine your location.

看到這則留言，很貼切 XDDD

Google running a VPN is like McDonalds running an exercise gym.

不了謝謝 XDDD

Amazon EFS 推出 One Zone 版本

Amazon EFS 提供 One Zone 的版本，用較低的可靠度提供更低的價錢：「New – Lower Cost Storage Classes for Amazon Elastic File System」。

價錢大約是 53 折，不過要注意不在同一個 AZ 時使用會有頻寬費用：

Standard data transfer fees apply for inter-AZ or inter-region access to file systems.

目前想的到的是 /net/tmp 這類的用途，資料掉了也就算了，考慮到可靠度，其他的用途好像暫時想不到...

讓手機上瀏覽器自動帶出數字鍵盤的方式

在「HTML attributes to improve your users' two factor authentication experience」這邊看到關於讓使用者輸入 2FA (通常是數字) 比較流暢的設定。

原始是上面這張這樣，目標是希望下面這張這樣，當透過 SMS 2FA 時可以提供選項直接貼上，而且也自動帶出數字鍵盤：

給出的幾個重點在於 inputmode、pattern 以及 autocomplete：

<input
  type="text"
  name="token"
  id="token"
  inputmode="numeric"
  pattern="[0-9]*"
  autocomplete="one-time-code"
/>

查了一下 caniuse.com 上面的支援度，pattern 基本上都支援了，autocomplete 在這邊用到的 one-time-code 基本上也沒問題，只有 inputmode 這邊支援度比較差，IE11 (基本上不會更新了)、Firefox 與 Safari 沒支援。

Amazon S3 推出新的等級 One Zone-IA

Amazon S3 有 RRS，提供給那些掉了可以重新產生的資料使用 (像是縮圖)；另外也有 IA，提供給不常存取的資料使用。現在推出的這個等級結合了兩者，使得價錢更低：「Amazon S3 Update: New Storage Class and General Availability of S3 Select」。

New S3 One Zone-IA Storage Class – This new storage class is 20% less expensive than the existing Standard-IA storage class. It is designed to be used to store data that does not need the extra level of protection provided by geographic redundancy.

Cloudflare 總算支援 TOTP 了

Cloudflare 宣佈支援 TOTP 形式的 OTP 了：「You can now use Google Authenticator and any TOTP app for Two-Factor Authentication」。

這樣可以重設然後把 Authy 砍掉了，這樣就不用把 OTP 的 secret data 放在別人家了 :o

把 CSC (卡片背面的三碼) 變成 OTP (動態密碼)

把信用卡背面的後三碼 (Card security code) 變成動態密碼，雖然一般只會有三碼，但對於網路消費應該會有不少幫助，不過這樣就不能完全不拿出卡片了...：「This high-tech card is being rolled out by French banks to eliminate fraud」。

產品叫做 MotionCode，會先從法國開始：

Today both Société Générale and Groupe BPCE, two of France’s largest banking groups, are preparing to roll out these cards across all their customers after completing a pilot scheme last year.

然後是波蘭、墨西哥以及英國在規劃：

There are other pilots underway in Poland and Mexico, and Davis is running Oberthur’s UK operation with the hope of getting a pilot or trial started with a UK bank soon.

歷史上的爆炸記錄？

在「a brief history of one line fixes」列出了許多經典的問題...

裡面最有印象的還是 2008 年 Debian OpenSSL 問題，也因為這個問題影響太嚴重，後來預設會安裝 openssl-blacklist 這個套件，在連線時檢查是不是有問題的 key...

然後 Android memset() 那個很精彩啊 XDDDDDDDDDDD

WordPress.com 也支援 OTP 了...

WordPress.com 前幾天宣佈支援 One Time Password (OTP，動態密碼)：「Greater Security with Two Step Authentication」。

因為是使用 HOTP 與 TOTP，所以可以使用 Google Authenticator (Android) 或是 Google Authenticator (iOS) 當做 OTP software。

不過用手機跑 OTP software 的安全性還是沒有傳統實體 token 的高 (可以藉由 OS exploit 取得 key)，像 AWS 就同時有提供實體 OTP 與 HOTP+TOTP 的版本...

不過 AWS 的實體 OTP 低成本應該是靠 AWS 量而壓出來 (靠 IAM 一個帳號設很多子帳號，每個子帳號都可以設定要不要用 OTP)，這部份 WordPress.com 沒有這個需求。另外 WordPress.com 的資料似乎沒有 AWS 吸引人，所以...

大概還是不會設 OTP 吧...

裝 Ubuntu One...

Ubuntu One 是個類似 Dropbox 的軟體，有 5GB 免費空間可以用。

看到「Ubuntu One Mac Client Out of Beta, Now Stable」之後跑去裝 Mac 版，發現 Mac 版上的安裝介面跟 Mac 的風格完全不一樣... (很突兀，有種看到沒有 CSS 的 HTML 的感覺...)

裝完後開起來在這個畫面跑很久：

完成後的畫面：

另外在安裝完以後 Finder 不會出現 Ubuntu One 的側邊欄，對於第一次用的人應該會覺得有點茫然...

設定畫面長這樣：

那個配色與圓角框感覺起來好糟糕 XDDD

反正都裝起來了，就測試看看吧，晚點在 Ubuntu 上也跑起來看看是不是配色會比較搭？

Google +1 按鈕的效率問題

在「Google +1 Button Performance Review」這篇中，Aaron Peters 對 Google +1 按鈕所提供的方法感到疑惑，因為官方所提供的方法效率其實並不好。

首先先拿出官方的 sample：

 <script type="text/javascript" src="http://apis.google.com/js/plusone.js"></script>
 <g:plusone></g:plusone>

即使 Google 給了建議「Place this tag in your head or just before your close body tag」，但這仍然會延遲 onload 的時間。

另外一個更糟的是，目前 Google 的伺服器會把使用者從 http://apis.google.com/js/plusone.js 導到 https://apis.google.com/js/plusone.js，多一個重導又使得 onload 時間又更久了。接下來是噴飯的「Cache-Control: private, max-age=360」，這使得 proxy server 無法 cache，而且因為 cache 的時間過短而經常要向 server 要資料。

再來是這個 js 沒有 minified，造成 gzip 後仍有 628bytes 的差距。然後在這個 script 裡面還可以看到特地為 Blogger「減速」使用 sync loading (喔喔)。

從以上的情況，可以看出來 Google +1 這個產品符合了不少產品成功的要件... XD

Anyway，真正的重點在文章最後面，他有引用一段 async loading 的程式碼讓大家用，雖然不能解決所有問題，但至少可以讓 onload 事件儘快觸發... (這是其中一個很大的問題)