user – Gea-Suan Lin's BLOG

密碼輸入上的 UX

Hacker News 上看到「Gmail password first character is case insensitive on mobile device (support.google.com)」這篇，在講密碼輸入上的 UX。

在 Hacker News 上的討論看到這則：

This is a well-understood feature. Facebook does the same thing[0].

Quote:

Facebook actually accepts three forms of your password:

* Your original password.

* Your original password with the first letter capitalized. This is only for mobile devices, which sometimes capitalize the first character of a word.

* Your original password with the case reversed, for those with a caps lock key on.

[0]: https://www.zdnet.com/article/facebook-passwords-are-not-case-sensitive-update/

接受三種密碼，第一種是完全正確的密碼，第二種是第一個字如果是大寫時的密碼 (在行動裝置上可能的行為)，第三種是大小寫全部相反的密碼，這在沒注意到 caps lock 時會發生。

強度不會削弱太多，但對於 user experience 好很多的設計。

在本機用 pip 直接安裝 PostgreSQL server

看到 PostgreSQL 官方站台上的介紹，可以直接用 Python 的 pip 指令安裝 PostgreSQL server：「Install a local, non-root PostgreSQL Server with Python "pip"」，專案在「postgresql-wheel」這邊。

照 GitHub 上面的說明跑了一下，還真的可以惡搞... 這樣如果真的要在 CI 裡面跑的話也簡單很多了？只要能 pip 裝軟體就能跟你拼 XDDD

也省掉需要設定一些權限跑 Docker-in-Docker...

GitHub 的 Race Condition 造成安全性問題

GitHub 在月初的時候把所有人都 logout，然後前幾天發文解釋了當時的情況：「How we found and fixed a rare race condition in our session handling」。

起因於月初時有使用者回報他在登入後，變成其他人的身份：

On March 2, 2021, we received a report via our support team from a user who, while using GitHub.com logged in as their own user, was suddenly authenticated as another user. They immediately logged out, but reported the issue to us, as it rightfully worried them.

後面其實就是在講他們在改善 github.com 的效能時是在 Rails 架構上疊上許多 threading 的機制，但是沒有處理好 critical section 與 object reuse 而造成後續的問題。

知道是 thread safety 的問題發生點後，其實就大概知道怎麼解決，主要還是 GitHub 在這篇文章裡面透漏了不少有趣的技術。

首先是 github.com 有保留 HTTP header 與 HTTP body，而且有記錄是在哪台機器、哪個 process 處理的，這對於事後找問題時很有幫助：

From reviewing logs, we could gather that the HTTP body in the response to the client we sent was correct and only the cookies in the response to the user were wrong. The affected users from the support reports received a session cookie from a user who very recently had a request handled inside the same process. In one case, the two requests were handled sequentially, one after the other. In the second case, there were two other requests in between.

不確定是不是所有的 HTTP request 都有記錄，以 GitHub 的量來說應該是蠻可觀的，但感覺上現代的硬體好像又可以暴力解...

另外是 github.com 引入了 threading 技術改善效能，不過這邊不確定這邊是用 C/C++ 寫，還是單純用 Ruby 本身提供的 threading 撰寫：

Threads were already used in other places in this application, but the new background thread produced a novel and unforeseen interaction with our exception handling routines. When exceptions were reported from a background thread, such as a query timeout, the error log would contain information from both the background thread and the currently running request, showing that the data was being pulled across threads.

這種最佳化的方式只有在夠大的服務上做才有效益，只能說 GitHub 的人比較無奈，threading 掛上一個已經很複雜的應用程式的確是容易中獎...

Wikimedia 的安全性事件

Wikimedia 收到通報，有一個使用者變身成其他使用者，目前調查仍在進行中，但合理的保護措施包括了將所有使用者都 logout (也就包括了維基百科)：「Logging everyone out」。

事件的後續追蹤在「User authentication security issue (Oct 1)」這張 ticket 進行中，裡面有看到另外一張 ticket 被提到：「1.36.0-wmf.11 deployment blockers」，但目前看起來還沒有完全確認相關性...

目前只能先等看看了，只能說還在進行中...

用 Python 刻 GUI 的 guietta

翻 Hacker News Daily 翻到的奇怪工具 guietta，可以在 Python 下用奇怪的方法刻 GUI，範例就很好解釋了調性：

from guietta import _, Gui, Quit

gui = Gui(
    
  [  'Enter numbers:', '__a__'  , '+' , '__b__',  ['Calculate'] ],
  [  'Result:  -->'  , 'result' ,  _  ,    _   ,       _        ],
  [  _               ,    _     ,  _  ,    _   ,      Quit      ]
)

with gui.Calculate:
    gui.result = float(gui.a) + float(gui.b)
    
gui.run()

然後 Ubuntu 下的輸出會是：

在 Hacker News 的討論串「Guietta – Python module to create simple GUIs (github.com)」這邊有人也介紹了其他 Python 下刻 GUI 的方式，翻了一下也還不少有趣的東西。

guietta 看起來拿來刻一些簡單的東西應該還算堪用，尤其是討論裡面有提到在教學授課時可以簡化不少 interface 的問題。

模擬 Windows 98 風格的 CSS

在「98.css」這邊看到的，專案的網頁在「98.css」這邊。

不知道真的用下去會怎樣... XD

把 BOOKWALKER 的書名完整顯示出來

從剛開始工作就有在看輕小說，但是現在住在外面租屋，實在不方便買一堆實體書，所以就弄了 iPad 在看電子書 (yeah，我對電子紙的材質還是不太喜歡，不過那是另外一回事了...)，平台的話主力就是 BOOKWALKER。

然後每次買書都會遇到很討厭的問題，最重要的集數給我顯示出來啊啊啊 (上排中間的書名，與下排左二與中間的書名)：

看起來是被 height + overflow 幹掉了，所以寫了一個 www.bookwalker.com.tw.user.css 處理，讓他不受到 height 限制冒出來 (需要安裝 Stylus (Chrome) 或是 Stylus (Firefox) 之類的套件)：

這樣總算是好了點...

讓手機上瀏覽器自動帶出數字鍵盤的方式

在「HTML attributes to improve your users' two factor authentication experience」這邊看到關於讓使用者輸入 2FA (通常是數字) 比較流暢的設定。

原始是上面這張這樣，目標是希望下面這張這樣，當透過 SMS 2FA 時可以提供選項直接貼上，而且也自動帶出數字鍵盤：

給出的幾個重點在於 inputmode、pattern 以及 autocomplete：

<input
  type="text"
  name="token"
  id="token"
  inputmode="numeric"
  pattern="[0-9]*"
  autocomplete="one-time-code"
/>

查了一下 caniuse.com 上面的支援度，pattern 基本上都支援了，autocomplete 在這邊用到的 one-time-code 基本上也沒問題，只有 inputmode 這邊支援度比較差，IE11 (基本上不會更新了)、Firefox 與 Safari 沒支援。

User-Agent 的淘汰提案

看到廢除更新 User-Agent 字串的提案：「Intent to Deprecate and Freeze: The User-Agent string」。

一方面是 User-Agent 裡面太多沒用的假資料 (像是每一家都是 Mozilla)，另外 User-Agent 會帶出一些隱私問題 (辨識資訊)。

目前的提案是希望改用 User-Agent Client Hints (UA-CH) 取代 User-Agent 的功能，把預定義好的東西透過對應的 HTTP header 傳遞。

Chromium 的計畫是在 M81 (stable 版預定在 2020 年三月中釋出) 先 deprecate navigator.userAgent，所以有存取時 web console 上會出現警告。而 M83 (2020 年六月初) 則是不再更動 user agent 字串 (鎖住)。到了 M85 (2020 年九月中) 則是統一 desktop 的 user agent 字串，並且盡可能統一 mobile 上的字串。

另外裡面也有整理了其他瀏覽器的意願：

Edge: Public support

Firefox: Public support for freezing the UA string - “freezing the User Agent string without any client hints—seems worth-prototyping”

Safari: Shipped to some extent. Safari has attempted to completely freeze the UA string in the past, without providing an alternative mechanism. That got a lot of pushback, which resulted in somewhat reverting that decision. Nowadays, their UA string seems frozen, other than updates to the OS version and the browser major version.

雖然不是完全都同意，但看起來應該有機會在今年陸陸續續搞定...

寫了一個可以用 '/' 在 AWS 上快速切換服務的小工具

在 AWS Management Console 上切換服務需要用到滑鼠，而這個 Userscript 工具提供了 / 快速鍵可以直接拉出服務選單，另外也可以用 Esc 鍵關閉服務選單：「AWS Web Console Service Shortkeys」。

這個套件應該是支援多個瀏覽器，但是需要先安裝 Tampermonkey 這類可以跑 Userscript 的套件。

主要是常常在切的時候發現需要拿滑鼠，寫了這個 script 後多了一個方式可以用，而不需要把手移開鍵盤，會順手一些...

不過還是希望這個功能直接變成內建的 :o