美國政府發行的字型 Public Sans

Public Sans 是一套美國政府出資而產生的無襯線字型,專案放在 GitHub 上 (uswds/public-sans)。這套自行不是全部都自己刻,而是改自於 Libre Franklin Font (以 SIL Open Font License v1.1 授權,而 Public Sans 沿用同樣授權)。

第一個目標是授權:

Be available as a free, open source webfont on any platform.

另外是使用的廣度:

Have a broad range of weights and a good italic.
Perform well in headlines, text, and UI.

Have good multilingual support.
Allow for good data design with tabular figures.

在 GitHub 頁面上有整理與 Libre Franklin 的差異,可以看到配合現在的呈現媒體而做了不少調整。

台美之間的租稅協定 (還在橋)

看到「因應美稅改 賴揆:加速洽簽台美租稅協定」這則消息,如果沒記錯的話,有不少服務都是美國公司出帳... (像是 AWSSlackGitHub 這類在公司裡很常用的服務)

參考「我國股利、利息及權利金扣繳率(%)一覽表」這邊的資料,應該有機會從 20% 降到 10%?也就是說實付 100 萬的金額本來要多繳 25 萬 (帳要做成 100 萬 / (1 - 0.2) = 125 萬,其中的 20% 是 25 萬萬稅,100 萬實際支付),現在只要繳 11.1 萬 (100 萬 / (1 - 0.1) = 111.1 萬)?

不過有些特殊情況本來就有更優惠的稅務方式 (像是使用國外平台提供服務 (e.g. AWS),而服務的對象也是境外使用者的情況),這些組合可以研究看看要怎麼搞...

IEEE P1735 漏洞,又是 Padding Oracle Attack...

在「IEEE P1735 Encryption Is Broken—Flaws Allow Intellectual Property Theft」這邊看到 US-CERT 發表的「IEEE P1735 implementations may have weak cryptographic protections」,裡面提到的主要漏洞:

The methods are flawed and, in the most egregious cases, enable attack vectors that allow recovery of the entire underlying plaintext IP.

主要應該是第一包:

CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle.

又是 CBCpadding oracle attack 啊... 看起來是標準沒有強制定義好造成的?

The main vulnerability (CVE-2017-13091) resides in the IEEE P1735 standard's use of AES-CBC mode.

Since the standard makes no recommendation for any specific padding scheme, the developers often choose the wrong scheme, making it possible for attackers to use a well-known classic padding-oracle attack (POA) technique to decrypt the system-on-chip blueprints without knowledge of the key.

去年 Cloudflare 寫的「Padding oracles and the decline of CBC-mode cipher suites」這邊有提到 padding oracle attack 的方式,比較一般性的解法是避開要自己決定 Encrypt-then-MAC (IPsec;也是數學上證明安全性) 或 Encrypt-and-MAC (SSH) 或是 MAC-then-Encrypt (SSL),而是用 AEAD 類的加密元件直接躲開 padding oracle attack 的某些必要條件 (像是 AES-GCM 或是 ChaCha20-Poly1305)。

不過這也是這幾年大家才了解這樣做的重要性,當年在訂規格的時候都比較沒在在意這些...

俄羅斯展現「錢要花在刀口上」的功力?

TechCrunch 這篇「Trump and Clinton spent $81M on US election Facebook ads, Russian agency $46K」講到 Facebook 目前階段所判斷出來,能夠識別是俄羅斯政府投入的資金,只有 USD$46K,相較於美國兩黨投入了 USD$81M 差了 1760 倍:

While there might have been other Russian disinformation groups, the IRA spent $46,000 on pre-election day Facebook ads compared to $81 million spent by Clinton and Trump together, discluding political action committees who could have spent even more than that on the campaigns’ behalf.

而俄羅斯投入的廣告散佈率超過 1.26 億的 Facebook 使用者,以及 2000 萬 Instagram 的使用者:

Facebook today said that the Russians still reached 126 million Facebook users, as well as 20 million Instagram users.

俄羅斯這團隊的水準真不賴... 只可惜大概沒辦法寫在 resume 上。

聽證會的資料可以從「Hearings」這邊看到。

AWS 的 us-east-1 開放第六個 AZ

AWSus-east-1 上次加第五個 AZ 不知道是什麼時候了,找資料找不太到... 這次宣佈加第六個 AZ 進去了:「Sixth AZ in US East (N. Virginia) Region」。

依照 AWS 之前有提出來的架構,所有 AZ 之間都是有互向連接的... 所以 us-east-1 加 AZ 都會比其他區域辛苦不少...

美國政府暗中介入好萊塢的劇本,影響大眾對戰爭的看法

透過 Freedom of Information Act (FOIA) 取得的資料顯示美國政府 (包括了五角大廈、CIA、NSA) 如何介入好萊塢,影響大眾對於戰爭的看法:「EXCLUSIVE: Documents expose how Hollywood promotes war on behalf of the Pentagon, CIA and NSA」。

灰標「US military intelligence agencies have influenced over 1,800 movies and TV shows」可以看出影響的層面。

The documents reveal for the first time the vast scale of US government control in Hollywood, including the ability to manipulate scripts or even prevent films too critical of the Pentagon from being made — not to mention influencing some of the most popular film franchises in recent years.

從很意想不到的地方介入... 引用其中一個說明:


Jon Voight in Transformers — in this scene, just after American troops have been attacked by a Decepticon robot, Pentagon Hollywood liaison Phil Strub inserted the line ‘Bring em home’, granting the military a protective, paternalistic quality, when in reality the DOD does quite the opposite.

AWS 美東第二區開放

如同之前 AWS 的規劃,宣佈啟用美東第二區了 (us-east-2,在俄亥俄州):「Now Open – AWS US East (Ohio) Region」。看了一下 EC2 的價錢,與 us-east-1 是同一個級別的,其他的服務應該是都差不多...

另外因為跨州了 (而且跟 us-east-1 很近),所以官方也推薦拿來做異地服務:

With just 12 ms of round-trip latency between US East (Ohio) and US East (Northern Virginia), you can make good use of unique AWS features such as S3 Cross-Region Replication, Cross-Region Read Replicas for Amazon Aurora, Cross-Region Read Replicas for MySQL, and Cross-Region Read Replicas for PostgreSQL.

其中有個特別的地方在於 us-east-{1,2} 之間傳輸的費用會以 Inter-AZ 計費,而非以跨 region 計費。大概是希望讓大家有動力多放些東西過去,畢竟 us-east-1 實在太大,穩定性超有名的關係 XDDD:

Data transfer between the two Regions is priced at the Inter-AZ price ($0.01 per GB), making your cross-region use cases even more economical.

關於 Sully (薩利機長:哈德遜奇蹟) 的資料

薩利機長:哈德遜奇蹟》講的是「全美航空1549號班機事故」,有不少資料可以先看過再去看電影。(這部片要整個劇透透光後,去電影院刷個兩次會特別有感覺)

特別推薦看 IMAX 版,螢幕大感覺就是不一樣... 另外結尾的彩蛋有兩則,請不要看完第一則就跑掉了。(話說回來,上上星期五去長春國賓看的時候居然沒看到第二則就被工作人員告知已經結束,不知道是怎麼一回事...)

首先是維基百科的資料 (當作入口點):

中文版會容易看一些,不過英文版的資料比較豐富。

另外維基百科上面也有人從 FAA 所公開的資料中截出 New York TRACON 的錄音抓出對應的部份,並且將對話過程抄寫出來:「File:Flight 1549 FAA New York TRACON audio extract.ogg」,電影的確照實將這些對話演出來:

在「Flight 1549 3D Reconstruction, Hudson River Ditching Jan 15, 2009」這邊依照公開的錄音 (從在機場起飛開始) 以及所有公開的對話記錄 (黑盒子的記錄),配上模擬機上的畫面,也可以看一看:

包括機長對著哈德遜河樹旗的「uh what a view of the Hudson today」... 然後是另外一個角度,混入 LGA 的錄音記錄以及雷達記錄:

再來是在電影裡面提到的 35 秒延遲實驗,這可以在 NTSB 的官方報告裡面看到對應的說明 (取自「Loss of Thrust in Both Engines After Encountering a Flock of Birds and Subsequent Ditching on the Hudson River - US Airways Flight 1549 - Airbus A320‐214, N106US - Weehawken, New Jersey - January 15, 2009」這份 PDF):

Regarding the second flight scenario, 20 runs were performed in the engineering simulator from a preprogrammed point shortly before the loss of engine thrust in which pilots attempted to return to either runway 13 or 22 at LGA or runway 19 at TEB. Five of the 20 runs were discarded because of poor data or simulator malfunctions. Of the 15 remaining runs, in 6, the pilot attempted to land on runway 22 at LGA; in 7, the pilot attempted to land on runway 13 at LGA; and in 2, the pilot attempted to land on runway 19 at TEB. In eight of the 15 runs (53 percent), the pilot successfully landed after making an immediate turn to an airport after the loss of engine thrust. Specifically, two of the six runs to land on runway 22 at LGA, five of the seven runs to land on runway 13 at LGA, and one of the two runs to land on runway 19 at TEB immediately after the loss of engine thrust were successful. One run was made to return to an airport (runway 13 at LGA) after a 35-second delay, and the landing was not successful.

也就是做了 20 次的模擬,而有效的模擬有 15 次,其中 8 次成功降落回機場 (成功次數分別是 LGA 22 跑道 2/6、LGA 13 跑道 5/7,以及 TEB 19 跑道 1/2),這些都是鳥擊後馬上選擇回機場迫降。

而加上 35 秒的反應時間後的 LGA 13 跑道則做了一次,那次降落則是不成功。

在 NTSB 報告上,加上 35 秒後的測試只有一次有點怪,但電影裡機長 Sully 臨時要求把「人性」加進去的劇情剛好符合這個解釋。所以有可能就如同電影所演出的,是現場追加的測試?

最後,有幾部記錄片則是透過不同的角度來看這次事故,都很值得看:

  • TLC,特別節目,Brace For Impact。
  • 空中浩劫,第十季第五集,Hudson River Runway。
  • 國家地理頻道,特別節目,Miracle Landing On The Hudson。

這些在網路上找一下都有,這邊就不提供連結了。

2012 與 2016 美國總統選舉的變化

The Economist 這邊看到圖表,比較 2012 與 2016 年投票的變化:「Who voters supported in the last American election compared with this one」。2016 美國總統選舉將在 11 月初舉辦,這邊是目前的情況。

這張圖表頗清楚的,雖然有些比例不太對... 可以看到兩大黨以外的票比 2012 增加了不少。

Google Cloud Platform 美西機房

Google Cloud 在七月的時候開放了美西機房:「Introducing Cloud Natural Language API, Speech API open beta and our West Coast region expansion」,而且東京機房也快開了:

And as we announced in March, Tokyo will be coming online later this year and we will announce more than 10 additional regions in 2017.

看到「Why we moved from Amazon Web Services to Google Cloud Platform?」的時候去找資料才發現的。這篇讓我重新算了一次成本,如果不計算 Bandwidth Cost 的話,GCE 整體的 f1-micro 記憶體 + 20GB 比 DigitalOcean 多 (不過 DO 給的是 SSD 就是了),而且還比較便宜啊...

不過如果把頻寬成本算進去,Internet Egress (i.e. Outbound bandwidth) 一定要走 Google Network,這點就比較傷了... 有美西機房後,看起來可以開始考慮用看看就是了 :o