Clik here to view.
利用手機的 sensor 取得 PIN 碼
把 side-channel information 配合上統計方法就可以達到 74% 的正確率:「Phone Hack Uses Sensors To Steal PINs」。 透過 browser 的 javascript 就可以拉出這些資料,然後利用這些資料去猜你的手機 PIN 碼: Researchers from U.K.-based Newcastle University...
View ArticleClik here to view.
Google Chrome 59 之後的新功能:看 CSS 與 JS 的 Coverage
在「What's New In DevTools (Chrome 59)」這邊看到 Google Chrome 59 後所推出新的工具,可以看目前網頁的 CSS 與 JS 跑過的 coverage 比率。 像是這樣,總大小以及未使用的比率: 然後可以再直接看有哪些部份沒跑到: 可以拿來分析,降低使用者下載的量。不過真的要切的話好像不太好做...
View ArticleClik here to view.
V8 對 Hash Flooding 的防禦措施
Hash Flooding 問題是指 Hash 這個資料結構是可以被預測 collision 所造成的問題,在隨機的情況下會是 的操作,在特定挑選故意讓他 collision 而變成 ,當有 個元素時,乘起來就會變成 。這算是一種阻斷攻擊 (DoS attack)。 在「About that hash flooding vulnerability in Node.js...」這邊提到了 V8...
View ArticleClik here to view.
Adobe 的 Typekit 在嘗試純 CSS 版本的網頁字型了
先前 Typekit 需要使用 JavaScript,現在則是開始嘗試純 CSS 版本了:「Now in Early Access: Serve web fonts without JavaScript」。 然後另外發現 use.typekit.net 以前是 EdgeCast,現在變成 Akamai 了...
View ArticleMatt Mullenweg 決定對 React 的專利議題投下反對票
React 的專利問題繼續燒... (可以參考「React 的專利授權議題」,不過陸陸續續還有發生一些事情沒寫...) 在 Facebook 表態他們不會修改 React 的條款後,Matt Mullenweg (WordPress 的共同創造人,以及 WordPress.com 現在的老大) 直接宣佈了 Gutenberg (WordPress 新的 editor) 將全面停用 React...
View ArticleFacebook 決定修改原先的授權條款
Facebook 在各個單位的砲火下決定將本來的 BSD+Patents 授權改為 MIT license:「Relicensing React, Jest, Flow, and Immutable.js」。 Next week, we are going to relicense our open source projects React, Jest, Flow, and...
View Article直接在網頁上使用 WebTorrent
看到 GitHub 上的「mikeal/webtorrent-component」這個專案,可以很方便直接嵌入 BitTorrent 的資源,像是這樣嵌: <script...
View ArticleCloudflare 也能在各端點跑 JavaScript 了
類似於 AWS 先前推出的 Using CloudFront with Lambda@Edge (參考「在 CloudFront 的 edge 上跑 Lambda」以及「Lambda@Edge 的 GA」),Cloudflare 也推出了類似的功能:「Introducing Cloudflare Workers: Run Javascript Service Workers at the...
View ArticleClik here to view.
現代 JavaScript 常見的特性
在 GitHub 上「mbeaudru/modern-js-cheatsheet」這邊看到的,標題「Cheatsheet for the JavaScript knowledge you will frequently encounter in modern projects.」說明了文章的主題... 大約花了半個小時看完,範例給的都蠻不錯的,讓人容易了解...
View ArticleClik here to view.
Cloudflare 對 Coinhive 挖礦的態度
TorrentFreak 的標題不夠精確,不過大概可以看出 Cloudflare 的想法:「Cloudflare Bans Sites For Using Cryptocurrency Miners」。 在沒有告知使用者,以及沒有提供選項關閉的情況下,Cloudflare 認定這是 Malware...
View ArticleCircleCI 的隱私問題
作者看 CircleCI 網站時發現的問題:「CircleCI trusts 8 analytics companies with your source code and API tokens」。 CircleCI 網站引用了這八個網站的 javascript: Pusher Intercom Launch Darkly Amplitude Appcues Quora (??) elev.io...
View Articlenvm 換 n
前幾天在 Twitter 上抱怨 nvm 很慢,導致 Zsh 開起來很頓 (然後也同步到 Facebook 上): nvm 很慢的問題還是沒解啊... — Gea-Suan Lin (@gslin) October 14, 2017 原因在於 .bashrc 或是 .zshrc 內初始化 nvm 時會呼叫 npm config get prefix,而這個命令很慢:「`npm config get...
View ArticleNode.js 安全性更新:zlib...
前幾天「Node.js 預定在十月 24 號發表安全性更新」提到 Node.js 會發表安全性更新,已經看到 4/6/8 都出新版了:「Node v4.8.5 (Maintenance)」、「Node v6.11.5 (LTS)」、「Node v8.8.0 (Current)」。 這次安全更新的 CVE 是 CVE-2017-14919: CVE-2017-14919 - In zlib...
View ArticleNetflix 對 Landing Page 的效能改善計畫...
幹掉 React (噗): Removing client-side React.js (but keeping it on the server) resulted in a 50% performance improvement on our landing page pic.twitter.com/vM7JhWhYKu — Netflix UI Engineers (@NetflixUIE)...
View ArticleNode.js 第一個 8.x LTS 推出
推出啦:「Node v8.9.0 (LTS)」,另外可以看「NEWS: Node.js 8 Moves into Long-Term Support and Node.js 9 Becomes the New Current Release Line」這篇。 從 6 到 8 多了 async & await (ES7),應該會是對整個生態系改變最大的功能了,可以預期會有一堆人濫用......
View ArticleRust 是不錯啦,不過...
作者寫了一篇「Creating Rust-based NodeJS modules」講同樣演算法 Node.js 要跑 3.5 秒,Rust 只要跑 130ms,所以 Rust 很棒棒之類的... So about 3.5 seconds for an answer, in web time that is like an eternity. Our algorithm is a very...
View ArticleJSON 的 Object 裡 Key 重複的問題
tl;dr:不要亂來啦... 這是 UB (Undefined behavior) 的一種。 因為看到這則 tweet,所以去查一下 JSON 的資料: Google 教你如何往 JSON 里面写注释 pic.twitter.com/pDL6U6jtTa — 魔法少女 ☆ poi 酱 (@PoiScript) November 27, 2017 首先是找標準是什麼。在維基百科的 JSON...
View ArticleClik here to view.
LINE 將內部的座位表由 Excel 改成 Web 界面...
LINE 將內部的座位表由 Excel 管理,改用 Web 界面了:「Excel管理の座席表をLeafletでWeb化した話」,這邊不確定是全球的 LINE,還是只有日本的 LINE... 如果跟日本人有過業務合作的話,就會知道他們對 Excel 的用法只能用 出神入化 來形容啊... 所以看到 LINE 特地寫了一篇來說明他們開發內部系統的事情,覺得還蠻有趣的......
View ArticleCPU 成為現代網站的速度瓶頸
在「Tracking CPU with Long Tasks API」這邊提到的現象,雖然是在提新的 API,不過裡面提到了很重要的問題。 以前的網站因為 js 都沒有用的那麼多,所以主要的瓶頸在於網路速度。所以大家最佳化的方向都是往「如何讓傳輸量變小」的方式進行,像是各類 js 的 minify,甚至是對 Gzip 演算法的暴力改善 (維持相容的 Zopfli,以及新的 Brotli): In...
View Article純 CSS 的追蹤技巧
在 Hacker News 上看到的 PoC,程式碼就放在 GitHub 的 jbtronics/CrookedStyleSheets 上。能追蹤的細節當然比較少,不過透過 CSS 還是有不少資訊可以蒐集。 像是連結被觸發時: #link2:active::after { content: url("track.php?action=link2_clicked"); } 瀏覽器的資訊:...
View Article