標籤: 資訊學習

在雨蒼的 Medium 看到的文章「我們該如何反思並使黑客文化更好？從Linus變得有禮貌開始說起」：
推廣理念，耐心的溝通絕對比鬥爭更好，也更能爭取到支持與理解。

有衝突 (conflict) 表示有不同的意見、不同的解決方案，有多個不同的解決方案是好事，但並不是每個方案都適合鎖情況。魚與熊掌不可兼得，只能找到當下較為適合的方案來使用，所以需要溝通、討論，了解每種方案的優缺點。

看到 Hinet 宣佈 2018 年底中止 Proxy 服務，另外看到 gslin 的文章說「網站都走 HTTPS 的情況下，Proxy 服務能帶來的好處愈來愈少了」，當下想不出來為什麼。

查了一下資料恍然大悟。HTTPS 主要目的就是希望所有的網路資料傳輸不會被中間人 (MITM) 竊聽，當然這個和 proxy 的目的剛好互斥，proxy 的行為就是做中間人並協助將常用檔案儲存起來讓你下次使用時可以快速取得。所以走 HTTPS 的話資料是不會進 proxy 做快取的。

ref:

• HTTPS connections over proxy servers
  https://stackoverflow.com/questions/516323/https-connections-over-proxy-servers

Google 搜尋引擎提供了強大的功能，讓使用者可以快速的找到需要的資料。所有事物都有雙面刃的特性，也因此有人使用他來做惡意行為，像是搜尋個人隱私資訊、帳號密碼、網站架構、特定檔案等。

早在 10 年前，我就使用這些搜尋技巧在網路上搜尋可用的電子書以及其他資料，只是已意外的到現在還有這麼多網站有安全問題。

透過 robots.txt 告知搜尋引擎不要建立索引

搜尋引擎除了造訪各個網頁，並儲存網頁內容以外，會先參考網站根目錄的「robots.txt」檔案，此檔案主要目的是告訴搜尋引擎哪一些路徑不應該被建立索引、不該被搜尋：

• 瞭解 robots.txt 檔案
• 建立 robots.txt 檔案

User-agent: *
Allow: /
Disallow: /upload/
Disallow: /download/
Disallow: /file/

但要注意：並不是所有搜尋引擎都會按照你預期的方式處理。

同樣的，由於雙面刃的特性，當惡意使用者發現 robots.txt 中有「Disallow」的項目，就可以猜得到這些目錄有敏感資料，進而特別去分析這些目錄的用途。

目錄加上 HTTP basic auth

這個作法很簡單，搜尋引擎造訪網頁時沒有帳號、密碼，無法讀取資料，也就沒辦法對網頁內容建立索引供使用者搜尋。

• How To Set Up Password Authentication with Apache on Ubuntu 16.04
• How To Set Up Password Authentication with Nginx on Ubuntu 14.04

透過防火牆阻擋擋搜尋引擎

若有注意的話，你可以在 HTTP server log 中看到 user agent 的資訊，例如：

 .... Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)

順著 user agent 的提示，你應該會發現多數的搜尋引擎 bot 都會有關鍵字，且有些搜尋引擎服務甚至會告知 bot 所使用的 IP。透過這些設定，設定防火牆或其存取規則，來阻擋搜尋引擎讀取特定網頁。

ps. 十多年前，百度的 bot 會在一秒內同時送出數十個 HTTP request 來檢索網頁，導致機器被DoS。後來不爽把所有中國網段全部用防火牆給擋了 … Orz

近日有 YouTuber 被告知不可隨意使用特定字型，否則會發法律上的問題。

看到法操 FOLLAW 整理了與電腦字型有關的法律規範出來，做個筆記。

以下節錄自「用新細明體和標楷體做影片字幕一定會構成侵害嗎？」：
我國著作權法在民國81年修正前，當時規範著作物類型的第3條並未將字型納入著作權的保障範圍。但隨著字型的議題受到重視，在民國81年修正著作權法時，將著作物類型移列第5條，並由行政機關針對各個類型的範圍另以命令規定。

因此，行政機關依據上述條文的授權，訂立並公告了《著作權法第五條第一項各款著作內容例示》，來明確說明第5條各著作物的詳細內容。而在該例示中，行政機關順應當時的需求，將「字型繪畫」納入了「美術著作」的範圍。

個人認為，目前法律好像還沒跟上資訊發展的速度，因此有一些模糊地帶、也可能造成一些糾紛。

已有其他網友整理出目前常用字型的使用法律授權：YouTuber 合法使用中文字型的管道有哪些？。有需要時可供參考。

Reference

• 系統內建細明體、標楷體到底能不能用在Youtube影片發布上？台灣微軟官方說明內建字型授權問題 | T客邦
  https://www.techbang.com/posts/60855
• 國發會免費提供中文全字庫，不再怕因字型授權問題被吉
  https://www.techbang.com/posts/60872
• 華康字型授權說明
  https://www.dynacw.com.tw/news/news_detail.aspx?s=39&r=1
• 知道你看不懂華康字型的聲明，所以我們直接用白話文問了他們這兩個關鍵問題的答案
  https://www.techbang.com/posts/61045

發現手上一個 domain 的 HTTP cert 過期沒被更新到，但 dehydrated 理應會自動檢查到過期的憑證才對：

/etc/nginx/cert/dehydrated -c > /dev/null 2>&1; service nginx reload

手動執行 dehydrated 以後，發現有個 domain 已經被我刪除，而 dehydrated 遇到這個錯誤以後就會中斷執行，也因此後面幾個 domain 都沒有被檢查。

翻了文件，加上「–keep-going」參數，即可讓 dehydrated 遇到錯誤繼續往下走。