united

紐約州在推動電子產品的維修權

在清 Hacker News Daily 的時候看到「New York could become first state with a ‘Right to Repair’ law for electronic devices」這篇，在講紐約州有團體在推動電子產品的維修權。

先前有提過歐盟對電子產品的維修權有在推動法案 (參考「歐盟在推動的設備維修權...」這篇)，確保十年內有料可以維修，後來這個法案已經生效了：「New EU ‘right to repair’ laws require technology to last for a decade」。

可以觀察一下會不會過...

AWS 在阿聯開區域了 (me-central-1)

AWS 在阿聯開新的區域了：「Now Open–AWS Region in the United Arab Emirates (UAE)」。

也是首發就 3 AZ：

The Middle East (UAE) Region has three Availability Zones that you can use to reliably spread your applications across multiple data centers.

中東的第一個區域是巴林，首都麥納瑪離阿聯的首都杜拜直線距離大約 500km，算起來蠻近的... 對於主要客群是中東的用戶，看起來可以設計 Active-Active 的機制做到跨區備援？

不過更重要的還是繼續等台灣的 local zone...

白宮宣佈由政府資助的研究，都必須馬上公開

一樣是 Hacker News 上看到的：「Guidance to make federally funded research freely available without delay (whitehouse.gov)」，白宮的公告在「OSTP Issues Guidance to Make Federally Funded Research Freely Available Without Delay」這邊。

開頭有重點，不得限制以及收費。所以 paywall 是一定不行，另外要註冊才能看也算是一種限制，應該也會被這次的政策要求改善：

In a memorandum to federal departments and agencies, Dr. Alondra Nelson, the head of OSTP, delivered guidance for agencies to update their public access policies as soon as possible to make publications and research funded by taxpayers publicly accessible, without an embargo or cost.

時間表的部份，短期是 2023 年中更新 policy，並且在 2025 年年底前全部施行：

In the short-term, agencies will work with OSTP to update their public access and data sharing plans by mid-2023. OSTP expects all agencies to have updated public access policies fully implemented by the end of 2025.

這次的算政府方面的政策，至少這些論文會有地方可以公開下載。

找了一下之前寫下來跟 open access 有關的消息，從學校方面給壓力的也不少，不過我記錄下來的主要都是跟 Elsevier 的中止合約：

2019 的「加州大學宣佈不與 Elsevier 續約」，
2020 的北卡大學系統對 Elsevier 的不續約「Upcoming Elsevier Cancellations」，
2020 的紐約大學系統對 Elsevier 的不續約「State University of New York Steps Away From the “Big Deal” with Elsevier」，
2020 的「MIT 終止與 Elsevier 的合約」。

看起來不同角度都有一些推進...

GOV.UK 拔掉網頁上的 jQuery

英國政府的網站拔掉 jQuery 了：「GOV.UK drops jQuery from their front end.」，Hacker News 上的討論也可以看一下：「Gov.uk drops jQuery from their front end (web.dev)」。

當年會選擇用 jQuery 大概有幾個原因，第一個是當年 (很舊的 browser 版本) 對 DOM 的操作非常的混亂，像是：

有 appendChild() (IE5+) 但沒有 prependChild()。後來才有 append() 與 prepend() (兩個在 IE 都沒支援，要到 Edge 17+)。
有 insertBefore() (IE6+) 但沒有 insertAfter()。後來是透過 insertAdjacentElement() (IE5+ but only for HTMLElement) 解決。

而 jQuery 在那個年代就已經把這堆 DOM operation 都窮舉支援了 (可以直接看「Category: DOM Insertion, Around」、「Category: DOM Insertion, Inside」、「Category: DOM Insertion, Outside」這三個大分類)，可以注意 jQuery 1.0 就已經把基本界面都弄出來了，而 jQuery 1.0 是 2006 年八月出的，另外 IE7 是在 2006 年十月出，也就是說在 IE6 的年代就提供一整套完整的方案。

另外 jQuery 幫忙處理了早期 IE 與 W3C 標準的不一致行為，像是經典的 attachEvent (出自 DOM events)：

Microsoft Internet Explorer prior to version 8 does not follow the W3C model, as its own model was created prior to the ratification of the W3C standard. Internet Explorer 9 follows DOM level 3 events, and Internet Explorer 11 deletes its support for Microsoft-specific model.

就功能面上來說，jQuery 提供的 Sizzle engine 也提供了 CSS selector 的能力，這在早期還沒有 querySelectorAll() (IE9+) 的時候方便不少，而且就算有了 querySelectorAll()，Sizzle 支援的 CSS selector 更完整。

上面提到的解決 browser 早期的各種亂象，jQuery 其實也帶入了不少好用的 pattern，其中一個是 fluent interface 讓人寫起來很舒服：(這個範例只是要介紹 fluent interface，不要管實際上在亂搞什麼 XD)

$('#foo').html('<p>bar</p>').css('width: 100px;');

另外就是不需要對 null object 做太多處理：

$('#foo').css('width: 100px;');

與這樣比較：

let elem = document.querySelector('#foo');
if (elem) {
    // ...
}

不過在這些年，負面的部份已經大幅改善了，所以也陸陸續續可以看到很多人在討論要怎麼拔掉 jQuery。而這次英國的 GOV.UK 拔掉 jQuery 有看到一些效果：

Less front end processing time overall.
11% less blocking time at the 75th percentile.
10% less blocking time for users at the 95th percentile. These are users who experience seriously adverse network and device conditions, and every performance gain matters especially for them.

但說實話，~10% 左右的 performance 改變比預期中少很多耶？可以看出來 John Resig 當年在上面為了效能花了多少功夫...

這次的結果反倒是讓我在思考，如果可以用 jQuery 降低開發的瓶頸，我還蠻偏好就拿 jQuery 進來用...

美國人使用社群媒體的情況

在「Social Media Usage by Age」這邊看到的文章，把美國人使用社群媒體的情況做成圖，資料來源是 Pew Research Center 的「Social Media Fact Sheet」這裡。

很明顯的可以看到 Google (Alphabet) 基本上就是 YouTube 一個產品吃天下，而 Facebook (Meta) 有三個產品在滲透，包括 Facebook、Instagram 與 Whatsapp：

LinkedIn 在出社會後會開始用，另外 Pinterest 這麼多老人家在用到是很驚奇 XDDD

美國聯邦政府推動的 Zero Trust 架構

看到美國總統行政辦公室發佈的「Moving the U.S. Government Toward Zero Trust Cybersecurity Principles」這個備忘錄，在講 Zero trust security model，算是讓其他聯邦單位可以依循的指引，從比較高的角度來說明聯邦政府對系統安全設計的方向。

裡面有提到「Phishing-resistant MFA」，一般的 MFA 無法防止 phishing (像是軟體 TOTP 類的 Google Authenticator 或是硬體式 TOTP 的 RSA SecurID，或是透過簡訊輸入收到的字串那種)，要能夠對抗 phishing 的應該只有 U2F 或是後續的 WebAuthn 這種有把網站位置也放進 protocol 的協定。

另外提到了 RBAC 與 ABAC 兩種設計，而且更偏好用 ABAC 得到更多彈性：

Currently, many authorization models in the Federal Government focus on role-based access control (RBAC), which relies on static pre-defined roles that are assigned to users and determine their permissions within an organization. A zero trust architecture should incorporate more granularly and dynamically defined permissions, as attribute-based access control (ABAC) is designed to do.

另外因為 zero trust 的設計，內部網路其實只能當作是一個傳輸媒介，不能當作是一個安全的傳輸層，任何的傳輸都需要有另外的驗證機制確保 CIA，所以從 DNS 的流量必須是透過 DNS over HTTPS 或是 DNS over TLS 的保護：

Agencies must resolve DNS queries using encrypted DNS wherever it is technically supported. This means that agency DNS resolvers must support standard encrypted DNS protocols (DNS-over-HTTPS or DNS-over-TLS), and must use them to communicate with upstream DNS resolvers.

任何 HTTP 傳輸都需要使用 HTTPS 保護，甚至是把 .gov 直接放進 HTTPS-only 清單 (應該是指 HSTS preload？)：

More generally, the .gov top-level domain has announced an intent to eventually preload the entirety of the .gov domain space as an HTTPS-only zone.

不過裡面也有提到 email 的 encryption 到目前為止沒有好的方法可以確保 encryption 的使用，尤其是跟外部的人溝通：

Unlike HTTP and DNS, there is not today a clear path forward for guaranteeing that Federal emails are encrypted in transit, particularly for emails with external parties.

然後提到安全漏洞的測試與回報機制也蠻有趣的，像是鼓勵外部測試：

In addition to their own testing programs, agencies must increase their reliance on external perspectives to identify vulnerabilities that internal staff may not identify

以及鼓勵安全回報的制度：

Public vulnerability disclosure programs, which allow security researchers and other members of the general public to report security issues safely, are used widely across the Federal Government and many private-sector industries. These programs are an invaluable accompaniment to existing internal security programs and operate as a reality check on an organization’s online security posture.

拿來翻一翻讀一讀...

英國五十英鎊鈔票圖案 (Alan Turing) 釋出

Twitter 上看到圖案釋出了：

The new £50 note featuring Alan Turing is coming on 23 June 2021. Find out about its design and security features: https://t.co/nbOlU9kgCU #TheNew50 pic.twitter.com/FhPBJAVFP6

— Bank of England (@bankofengland) March 25, 2021

官網上有放出背面圖案：

2021/06/23 上，可以考慮收一張起來...

英國的 ISP 開始記錄使用者的連線資訊

從「Two UK Broadband ISPs Trial New Internet Snooping System」這邊看到英國的 ISP 開始記錄使用者的連線資訊，簡化後的 log 樣子像是這樣：

Two unnamed broadband or mobile ISPs are reportedly helping the UK Home Office and the National Crime Agency (NCA) to trial a new internet snooping system on their customers, which is being conducted as part of the controversial 2016 UK Investigatory Powers Act (aka – snoopers charter).

加上「T-Mobile US 打算要賣使用者的瀏覽記錄了」這篇，繼續推廣 DNS over HTTP、DNS over TLS，以及 ECH (Encrypted Client Hello)。

印度威脅要逮捕 Facebook、WhatsApp 與 Twitter 的員工

在 The Wall Street Journal 上看到的，印度政府威脅 Facebook、WhatsApp 與 Twitter，如果不配合政府的要求提供資料並將內容下架，將會逮捕他們在印度的員工：「India Threatens Jail for Facebook, WhatsApp and Twitter Employees」。

這應該是透過上個月才剛過的法令：「Facebook, WhatsApp and Twitter Face New Rules in India」。

印度的市場太大，各家社群網站都想要進去，造就了政府的有足夠的能力跟這些大公司談判，而且是具有壓制性的力量。

在去年殺完 Tiktok 後，上個月擴權然後這個月反過來殺這些美國的企業。

美國政府不知道會幫到什麼程度...

美國政府的 SSO 網站 login.gov

在 2017 年的時候 18F 推出了美國政府的 SSO 服務 login.gov：「Government launches login.gov to simplify access to public services」，當時只支援聯邦政府的系統。

這幾天看到了新的公告，宣佈 login.gov 的服務範圍打算擴大到州政府與地方政府的計畫：「Login.gov to provide authentication and identity proofing services to a limited number of federally funded state and local government programs.」。

翻了一下開發網站「Welcome to the login.gov developer guide | login.gov」，可以看到使用的技術應該是 OpenID 與 SAML：

Select between OpenID Connect (OIDC) or SAML protocol implementation protocols. Please note that we recommend OIDC.

難得看到 OpenID 被拿出來用，記起來好了...