user – Gea-Suan Lin's BLOG

GitHub 的 Race Condition 造成安全性問題

GitHub 在月初的時候把所有人都 logout，然後前幾天發文解釋了當時的情況：「How we found and fixed a rare race condition in our session handling」。

起因於月初時有使用者回報他在登入後，變成其他人的身份：

On March 2, 2021, we received a report via our support team from a user who, while using GitHub.com logged in as their own user, was suddenly authenticated as another user. They immediately logged out, but reported the issue to us, as it rightfully worried them.

後面其實就是在講他們在改善 github.com 的效能時是在 Rails 架構上疊上許多 threading 的機制，但是沒有處理好 critical section 與 object reuse 而造成後續的問題。

知道是 thread safety 的問題發生點後，其實就大概知道怎麼解決，主要還是 GitHub 在這篇文章裡面透漏了不少有趣的技術。

首先是 github.com 有保留 HTTP header 與 HTTP body，而且有記錄是在哪台機器、哪個 process 處理的，這對於事後找問題時很有幫助：

From reviewing logs, we could gather that the HTTP body in the response to the client we sent was correct and only the cookies in the response to the user were wrong. The affected users from the support reports received a session cookie from a user who very recently had a request handled inside the same process. In one case, the two requests were handled sequentially, one after the other. In the second case, there were two other requests in between.

不確定是不是所有的 HTTP request 都有記錄，以 GitHub 的量來說應該是蠻可觀的，但感覺上現代的硬體好像又可以暴力解...

另外是 github.com 引入了 threading 技術改善效能，不過這邊不確定這邊是用 C/C++ 寫，還是單純用 Ruby 本身提供的 threading 撰寫：

Threads were already used in other places in this application, but the new background thread produced a novel and unforeseen interaction with our exception handling routines. When exceptions were reported from a background thread, such as a query timeout, the error log would contain information from both the background thread and the currently running request, showing that the data was being pulled across threads.

這種最佳化的方式只有在夠大的服務上做才有效益，只能說 GitHub 的人比較無奈，threading 掛上一個已經很複雜的應用程式的確是容易中獎...

Wikimedia 的安全性事件

Wikimedia 收到通報，有一個使用者變身成其他使用者，目前調查仍在進行中，但合理的保護措施包括了將所有使用者都 logout (也就包括了維基百科)：「Logging everyone out」。

事件的後續追蹤在「User authentication security issue (Oct 1)」這張 ticket 進行中，裡面有看到另外一張 ticket 被提到：「1.36.0-wmf.11 deployment blockers」，但目前看起來還沒有完全確認相關性...

目前只能先等看看了，只能說還在進行中...

用 Python 刻 GUI 的 guietta

翻 Hacker News Daily 翻到的奇怪工具 guietta，可以在 Python 下用奇怪的方法刻 GUI，範例就很好解釋了調性：

from guietta import _, Gui, Quit

gui = Gui(
    
  [  'Enter numbers:', '__a__'  , '+' , '__b__',  ['Calculate'] ],
  [  'Result:  -->'  , 'result' ,  _  ,    _   ,       _        ],
  [  _               ,    _     ,  _  ,    _   ,      Quit      ]
)

with gui.Calculate:
    gui.result = float(gui.a) + float(gui.b)
    
gui.run()

然後 Ubuntu 下的輸出會是：

在 Hacker News 的討論串「Guietta – Python module to create simple GUIs (github.com)」這邊有人也介紹了其他 Python 下刻 GUI 的方式，翻了一下也還不少有趣的東西。

guietta 看起來拿來刻一些簡單的東西應該還算堪用，尤其是討論裡面有提到在教學授課時可以簡化不少 interface 的問題。

模擬 Windows 98 風格的 CSS

在「98.css」這邊看到的，專案的網頁在「98.css」這邊。

不知道真的用下去會怎樣... XD

把 BOOKWALKER 的書名完整顯示出來

從剛開始工作就有在看輕小說，但是現在住在外面租屋，實在不方便買一堆實體書，所以就弄了 iPad 在看電子書 (yeah，我對電子紙的材質還是不太喜歡，不過那是另外一回事了...)，平台的話主力就是 BOOKWALKER。

然後每次買書都會遇到很討厭的問題，最重要的集數給我顯示出來啊啊啊 (上排中間的書名，與下排左二與中間的書名)：

看起來是被 height + overflow 幹掉了，所以寫了一個 www.bookwalker.com.tw.user.css 處理，讓他不受到 height 限制冒出來 (需要安裝 Stylus (Chrome) 或是 Stylus (Firefox) 之類的套件)：

這樣總算是好了點...

讓手機上瀏覽器自動帶出數字鍵盤的方式

在「HTML attributes to improve your users' two factor authentication experience」這邊看到關於讓使用者輸入 2FA (通常是數字) 比較流暢的設定。

原始是上面這張這樣，目標是希望下面這張這樣，當透過 SMS 2FA 時可以提供選項直接貼上，而且也自動帶出數字鍵盤：

給出的幾個重點在於 inputmode、pattern 以及 autocomplete：

<input
  type="text"
  name="token"
  id="token"
  inputmode="numeric"
  pattern="[0-9]*"
  autocomplete="one-time-code"
/>

查了一下 caniuse.com 上面的支援度，pattern 基本上都支援了，autocomplete 在這邊用到的 one-time-code 基本上也沒問題，只有 inputmode 這邊支援度比較差，IE11 (基本上不會更新了)、Firefox 與 Safari 沒支援。

User-Agent 的淘汰提案

看到廢除更新 User-Agent 字串的提案：「Intent to Deprecate and Freeze: The User-Agent string」。

一方面是 User-Agent 裡面太多沒用的假資料 (像是每一家都是 Mozilla)，另外 User-Agent 會帶出一些隱私問題 (辨識資訊)。

目前的提案是希望改用 User-Agent Client Hints (UA-CH) 取代 User-Agent 的功能，把預定義好的東西透過對應的 HTTP header 傳遞。

Chromium 的計畫是在 M81 (stable 版預定在 2020 年三月中釋出) 先 deprecate navigator.userAgent，所以有存取時 web console 上會出現警告。而 M83 (2020 年六月初) 則是不再更動 user agent 字串 (鎖住)。到了 M85 (2020 年九月中) 則是統一 desktop 的 user agent 字串，並且盡可能統一 mobile 上的字串。

另外裡面也有整理了其他瀏覽器的意願：

Edge: Public support

Firefox: Public support for freezing the UA string - “freezing the User Agent string without any client hints—seems worth-prototyping”

Safari: Shipped to some extent. Safari has attempted to completely freeze the UA string in the past, without providing an alternative mechanism. That got a lot of pushback, which resulted in somewhat reverting that decision. Nowadays, their UA string seems frozen, other than updates to the OS version and the browser major version.

雖然不是完全都同意，但看起來應該有機會在今年陸陸續續搞定...

寫了一個可以用 '/' 在 AWS 上快速切換服務的小工具

在 AWS Management Console 上切換服務需要用到滑鼠，而這個 Userscript 工具提供了 / 快速鍵可以直接拉出服務選單，另外也可以用 Esc 鍵關閉服務選單：「AWS Web Console Service Shortkeys」。

這個套件應該是支援多個瀏覽器，但是需要先安裝 Tampermonkey 這類可以跑 Userscript 的套件。

主要是常常在切的時候發現需要拿滑鼠，寫了這個 script 後多了一個方式可以用，而不需要把手移開鍵盤，會順手一些...

不過還是希望這個功能直接變成內建的 :o

各種對 AWS Managemenet Console 的抱怨...

在 Hacker News Daily 上看到 Reddit 上面有一篇對 AWS Management Console 的抱怨文，差不多是兩個月前開始累積的：「I am stupefied every day by the awfulness of the AWS web console」。

AWS 的主力開發因為是以 API 為主，而 AWS Management Console 能做的事情一直都少蠻多的 (看起來是一個團隊在開發，然後呼叫 API)，而且的確是常常中 bug，所以會有這樣的抱怨其實不太意外...

然後就有人放火了：

[–]canadian_sysadmin 24 points 2 months ago
I see you've never used Azure...

[–]myron-semack 18 points 2 months ago
AWS’s console sucks because they don’t give a damn about UI. They are API-first.

Azure’s console sucks because they tried to make it nice but failed.

[–]ryantiger658 5 points 2 months ago
I was scrolling looking for this comment. Azures interface has made me appreciate AWS even more.

Azure 被偷戳了好幾下 XDDD 然後 GCP 也被偷戳了：

[–]edgan 1 point 2 months ago
It could br better, but it is far better than than Azure and GCP. Azure's old one was better than their new beta interface last I saw it. GCP has some interesting ideas, but the side bar centric design doesn't function well. It also tries to do too much, and is too JavaScript-y happy.

通常用 AWS 自己的 CloudFormation 或是第三方的 Terraform 管理還是比較常見的方式 (基於 Infrastructure as code 的概念)，而 AWS Managemenet Console 當作是輔助，因為目前的雲端服務在設計上的確是希望你多用 API...

Dropbox 免費版限制三個裝置更新...

Dropbox 決定限制免費版的裝置數量，最多只能有三個裝置同步：「Dropbox adds three-device limit for free users」，對應的頁面是「Is there a limit to the number of devices I can link to my account?」。

既有的裝置不受限，但無法再增加：

If you're a Basic user and you linked more than three devices prior to March 2019, all of your previously linked devices will remain linked, but you can’t link additional devices.

另外一個選擇是付費版，最低是 1TB USD$9.99/month (年繳是 USD$99/year)。

看起來像是養肥了要殺，不過這個領域相關的技術應該是夠成熟，而且也不會用到什麼特別的功能，應該會去看看其他平台的情況，像是 Sync 與 pCloud。

其中 Sync 有免費版 (空間限制 5GB，付費版 500GB USD$49/year)，不過官方不支援 Linux，有人用 Wine 跑過，但據說穩定性與效能都不太好：「Sync.com in Linux」。

pCloud (500GB EUR$47.88/year) 也是剛剛提到在 Linux 上跑 Sync 的人後來測試的服務，官方有支援 Linux (看起來是透過 AppImage 包裝)，也許可以測試看看。

另外一個是自己一直都有在用的 Syncthing，不過設定同步的操作上只有 web interface，而且因為是信任架構，需要多台互相設定，沒那麼方便...