user – Gea-Suan Lin's BLOG

uBlock Origin 1.48.0 的改善

Hacker News 上看到「uBlock Origin 1.48 adds readiness status, code viewer, and other fixes (github.com/gorhill)」這則消息，uBlock Origin 在 1.48 有個蠻重要的 UI/UX 改善 (Readiness status at browser launch)。

uBlock Origin 預設會搭配「工人智慧」維護的列表，這些列表通常都不小，在剛開瀏覽器，還在讀取的過程中去看網站會遇到阻擋不完整的情況。

先前沒有辦法知道這個問題，在這版加上了對應的 icon color 來解決，黃色表示還在讀：

這時候跑去逛網站的話會出現驚嘆號：

讀取完後 icon 會變成標準的紅色，但驚嘆號仍然會留著，表示這個頁面未必有完整過濾：

正常有阻擋的則是這樣：

理論上可以減少 bug report XDDD

To reduce the number of reports caused by this issue which is outside of uBO's control, uBO's toolbar icon will now reflect its readiness status at browser launch.

Mac 會自己改變 Desktop 位置的問題

以前好像沒遇過，換了 M1 以後才注意到 desktop 位置位自己被改變，覺得很阿雜... 找了資料才發現是個 "feature"：「How to prevent Mac from changing the order of Desktops/Spaces」。

關掉就好了，網路上的資料最早出現在 2018 年左右，大概是那個時候被加進去的？

Banner blindness

前幾天的 Hacker News Daily 上看到「Why do people not notice our enormous, prominent, clear and contrasting purple banner?」這篇 2018 年的討論，裡面在講為什麼使用者會常態性忽略 banner 的內容。

在答覆區裡面有人提到了維基百科上面的 Banner blindness 這個條目，題到了網站的使用者會刻意或是非刻意的忽略掉像 banner 的資訊：

Banner blindness is a phenomenon in web usability where visitors to a website consciously or unconsciously ignore banner-like information. A broader term covering all forms of advertising is ad blindness, and the mass of banners that people ignore is called banner noise.

開頭也提到了 banner 廣告 CTR 的變化：

The first banner ad appeared in 1994. The average click-through rate (CTR) dropped from 2% in 1995 to 0.5% in 1998. After a relatively stable period with a 0.6% click-through rate in 2003, CTR rebounded to 1% by 2013.

所以這個現象有個專有名詞來形容...

如果把 OpenSSL 包裝成 GUI 版本

在 Hacker News Daily 上看到這則，蠻有趣的嘗試，如果幫 OpenSSL 包裝成 GUI 版本的話，可能會長的樣子：「If OpenSSL were a GUI」，而 Hacker News 上對應的討論在「If OpenSSL were a GUI (smallstep.com)」這邊可以看到。

要注意的是這是 mock 出來的圖，而不是真的有人這樣幹了一個版本出來。主要是在帶出 OpenSSL 這個工具極度複雜的問題，另外也因此帶出 GUI application 的取捨問題，在 Hacker News 上的討論都有人提出來。

不過讓我吸引的點反而是 mock UI 的選擇上，看起來作者選了 Platinum 風格 (Mac OS 8 & Mac OS 9)，在維基百科的「Appearance Manager」這個頁面有提到：

The default look and feel of the Appearance Manager in Mac OS 8 and 9 is Platinum design language, which was intended to be the primary GUI for Copland.

是個讓人懷念的風格，而且意外的看起來反而讓 GUI 柔和不少，而且其實就功能性來說還蠻不錯的？

Raspberry Pi 的 OS 將不會有 pi 這個預設帳號與 raspberry 的密碼，改在裝機時詢問使用者帳號與密碼

Raspberry Pi OS 改掉預設的帳號 pi 與密碼 raspberry 這個 security hole 了：「An update to Raspberry Pi OS Bullseye」。

取而代之的是在安裝時要求使用者建立帳號密碼：

如果是 terminal-based 的會是這樣：

之前裝完都要自己用 vipw 改掉，然後接著修改 /etc/group... (沒有習慣用 vigr)

Firefox 的 UI/UX 歷史

在 Hacker News 首頁上看到「Firefox UI/UX History (github.com/black7375)」這篇，整理了 Firefox 的 UI/UX 歷史，裡面也試著分析各個不同版本的優缺點。

話說看到這個最早的版本的 screenshot 讓人懷念 (還叫做 Phoenix 的版本)：

裡面也提到了一些 fork，像是「Early (v1 ~ v3)」這個 UI 版本的 fork 還可以在 SeaMonkey 看到。

到了「Classic (v4, 2011.3)」這個版本，目前還有在維護的 fork 則是 Pale Moon，不過核心的部份沒有跟上，很多網站的新功能是沒辦法用的。

接著是「Australis (v29, 2014.04)」這個版本，目前已經沒有在維護的 fork 了，2021 年年底 Basilisk 宣佈停止維護。

然後是「Photon (v57, 2017.11)」這個版本，目前還有在維護的 fork 是 Waterfox 的 G3 系列。

目前最新的一個是「Proton (v89, 2021.06)」這個版本。

網頁的死亡線

是一篇 2017 年的文章，前幾天在 Hacker News 上重新被提出來：「The Line of Death (2017) (textslashplain.com)」。

文章開頭在講瀏覽器 UI 的信任區，這條線以上是 native UI，以下是網站可以任意操控的內容：

所以 UI 上面有些小細節讓你區分，但這其實對不是專精 phishing 的人很不友善：

另外當然就會提到 browser-in-a-browser (以及 picture-in-picture) 類的 phishing 了：

另外提到了 Fullscreen API，這使得信任區間變成 0：

提到 Fullscreen API 所以就去翻資料，意外發現 IE11 居然支援這組 API，雖然是帶 ms 的 prefix，而且不支援一些輔助性的功能 (像是傳回 Promise object)。

這些 UI 與 security 類的問題，主要還是得考慮到使用者未必那麼熟悉，以及就算有經驗的人也很有可能不小心中獎...

昨天在 AWS User Group Taiwan 上分享的「High Availability Vault Service on AWS Environment」

昨天在「AWS User Group Taiwan Meetup 2022-03 線上 / 下小聚」這邊分享的主題，在講如何在 AWS 上弄出一個高可靠性的 Vault 服務。

投影片在 https://bit.ly/3igUbgh 這邊可以抓到，我另外傳到 Speaker Deck 上面了：(好久沒用這個網站了？)

其實這類架構的設計有點像是 AWS 的 Solution Architect 在做的事情，如果一般的客戶開出類似的需求，應該也是會設計出類似的東西...

另外畢竟是在 AWS 的會議室裡面講，有些東西還是會避免提到，但裡面有很多概念是可以互換的，像是 Microsoft Azure 或是 GCP 上面都有可以抽換的服務，Vault 也都有支援。

Amazon CloudWatch 推出 RUM (Real-User Monitoring) 的功能

看到 AWS 的 CloudWatch 推出 RUM (Real-User Monitoring) 的功能：「New – Real-User Monitoring for Amazon CloudWatch」。

從畫面截圖可以看到目前支援 javascript 的版本：

一定都會有的全站分析：

另外給了 client 端的一些情況：

然後可以針對比較慢的頁面進行了解：

然後有觀看頁面的記錄：

價錢是每 1M events 是 US$10，感覺不算便宜？

CloudWatch RUM is available now and you can start using it today in ten AWS Regions: US East (N. Virginia), US East (Ohio), US West (Oregon), Europe (Ireland), Europe (London), Europe (Frankfurt), Europe (Stockholm), Asia Pacific (Sydney), Asia Pacific (Tokyo), and Asia Pacific (Singapore). You pay $1 for every 100K events that are collected.

功能上的競爭對手，可以想到 Datalog 有 RUM 產品，如果也是沒有 commit 的話是 US$0.65 (Per 1,000 sessions, per month)。

另外 New Relic 有 Browser Monitoring 的功能應該也是類似的東西，但價錢好像沒有單獨列出來。

Mixpanel 這邊 $25/month 的套餐可以吃 100K MTUs (monthly tracked users)，每個 MTU 可以吃 1K events，好像也可以做到類似的功能，隔壁 Amplitude 的話沒列出來...

不過就帳單的立場來說是方便不少...

開 S3 bucket 與 IAM 帳號的工具

看到 Simon Willison 的「s3-credentials: a tool for creating credentials for S3 buckets」這篇，裡面講到了幾件事情。

在 AWS 上比較好的安全設計是，不同專案之間都有自己的 S3 bucket，然後建立對應的 IAM user，每個 IAM user 只能存取自己的 S3 bucket。

但這個建立過程很煩：

Creating those credentials is surprisingly difficult!

整個建立的過程包括了四個步驟：

建立 S3 bucket。
建立 IAM user。
將 IAM user 掛上對應的 S3 權限。
建立 IAM user 的 access key。

讓人煩的主要是第三個，那個 JSON format 每次都要翻資料 XD

所以他寫了 s3-credentials 這個套件讓大家用，可以透過 pip 直接安裝起來用。

不過我是偏好用 awscli 的，直接把指令放在 wiki page 上面：「awscli」，需要的時候就 copy & paste 過來執行就可以了。在公司的 wiki 上還有直接把 EC2 instance 生到對應的 subnet 指令可以用...

這東西大概不會簡化，只能大家自己找出路 XD