所以 Brian Acton 不在 whatsapp 了？

這兩家公司的共生關係真是奇妙

hackernews討論串1

這個意境好深

經過這麼多年的催殘，帳號使用三個欄位才是長久之計。

1) 最底層用 uuid；2) 登入的話，我會選 email 了；3) 暱稱的話則無規則，反正最後一定改的亂七八糟。

雖然不是新聞，不過 patch 才釋出沒多久，大家趕快更新吧...

I say “unfortunately”, in part because there was a coordinated release date of January 9, 2018, agreed upon by essentially every operating system, hardware, and cloud vendor in the world.

Spectre 與 Meltdown 兩套 CPU 的安全漏洞1

效能少了 20%，表示上 patch 之後要加開機器嗎? =_=

中國有萬里長城，資本主義也快有了

看了一下NIST.SP.800-63b. 相關的有這段

Provide clear, meaningful and actionable feedback on entry errors to reduce user confusion and frustration. Significant usability implications arise when users do not know they have entered text incorrectly.

試一下google和fb都沒有這樣做, 可惜台灣大部分資安規則還是有這條, 可能十年以後才拿得掉

其實這是為了催毀廣告公司而來的，不止是擋廣告而已

每個廣告都點，所有的廣告系統都會崩潰 (基本上就是把你加入黑名單)，Google 就這樣把這個 extension 給 ban 了

瀏覽器裝 adblock 就好啦

原來對付 ads 最好手段不是擋下它，而是點爆它！

文件想說的帳號註冊的事吧！（標題殺人法）

這算是一種 pattern 漸漸就直接做成這樣嗎ＸＤ？

帳密怎麼會 commit 進對外的 repo 啦!

private repo 不保證就是安全的. 而且自己人也可以任意 checkout, 不是一個超大洞嗎. 密碼或 key 只能少數人會碰到才是

能 commit 進的, 頂多是那些受限的 aws iam 帳號而已

uber 把 aws 帳密 commit 到 github private repository, 然後駭客偷到密碼後去他們家 aws 逛街, 逛到了 archive 的司機和乘客的資料

駭客向 uber 勒索, 然後 uber 也付錢了事.

好啦，賣你廣告不夠，偷你資料也不夠。

最後只好拿你的電腦挖礦惹

然而，经过黑盒测试，当 PUT 地址为/1.jsp/时，仍然会创建 JSP，会影响 Linux 和 Windows 服务器，并且 Bypass 了之前的补丁，分析如下。

這一段提到的也會影響 Linux ...

目前来说，最好的解决方式是将 conf/web.xml 中对于 DefaultServlet 的 readonly 设置为 true，才能防止漏洞。

預設 readonly 就會是 true 了，所以沒有必要的話不要去改 ...

Windows

不痛不癢

We’re the product, not the customer.

和之前 IngramChen 說的1 有異曲同工之妙 ...

Low-tech tip to protect your privacy online

文章中提到的這張圖是我們自己能做的...

The only effective way to control big corporations is through big government.

最有效的辦法還是靠政府把關？

難怪今天早上收到 AWS 的信說有哪一些 S3 bucket 權限設成 public read，要我們檢查一下

面對udp ddos實務上現在應該只能靠大水管和anycast之類的分散流量。照這篇avg. 攻擊流量是7Gbps，所以牽個10Gbps回家吧～（ISP工商服務時間xd）

還是那句老話：如果你沒有花錢買產品，那你本身就是產品

網路上用什麼都免費，最後就通通在其他地方剝回來，各家公司程度的差異而已。

這無可避免，反正是等價交換…

但比較大的問題是我們沒有 -- 花錢、然後不被當產品的選擇。(例如 Google search 按 search 次數來計費就可避免犧牲隱私，我們沒有這種選項，真的有的話也不曉得要多少錢… ？)