SSL 证书之选择

  • Posted on | Updated on
  • by
  • in

SSL 证书,就是安装在 Web 服务器上,用来加密浏览器同服务器之间的通信。用户能直接看到的就是那个绿色的小锁。

现在的主流浏览器,如果访问不用 SSL 证书的网站,直接就会显示不安全连接。

ssl-lock.jpg上图是在 Firefox 65.0.1 上显示的绿色锁。

ssl-not-safe.jpg

上图是百度在 Chrome 72 上显示的样子,不安全的连接。

所以呢,现在网站使用 SSL 证书是必然之选,当然如果像 Baidu 这样规模的网站,你不用它,也没得选的,可以无所顾忌的不用 SSL 证书。而大多数网站不是,就必须使用 SSL 证书。

2019 年的发布计划

蛮开心,平平安安的度过了 2018 年。面对 2019 年,DavidYin 会开始一段新的写作发布,当然要做好,最好是事先做好计划。

虽然很多时候,都是计划赶不上变化,但这并不意味着没有计划就会顺利,所以我还是会做一个计划。

暂时的打算是这样。

  • 每周三篇。
  • 内容是会围绕网站优化推广为主,各类网站的优化手段为辅。
  • 如何使用服务器以及配置安装网站。
  • SEO,SEM,SMO,等等的新闻。
  • 比较各个搜索引擎的特点。

初步的打算而已,可能还会有变化,当然,希望是能够每周都能完成这些内容。至于文章的长度,则不拘泥,根据实际的需要来,有必要,可以写的长些,如果的确内容少,也没有必要特地的拖长。

Movabletype 发布了 7.1.1 版本

  • Posted on | Updated on
  • by
  • in

才注意到 MovableType 已经发布了 7.1.1 版本,之前一直用的是 7.0 版本,r4208,在去年五月发布的。

之后,在今年一月十五日, SixApart 发布了 7.1 版本,r4502,这个版本我没有升级,而是直接升级到在一月二十九日发布的 7.1.1, r4503。

7.1 版本的安全补丁:

  • 安全补丁,[MTC-25556] [MTC-25555]。

7.1 版本的新特性:

  • 对于移动设备的优化,可以直接管理和创建内容,而不需要额外的插件。
  • 内容同步的改进。
  • 动态发布支持内容类型了。
  • 用户组管理。
  • 性能改进,减少发布文章的时间。
  • 对于开发者而言有不少的变化。
  • 增加了网站的授权方式标签。

7.1 版本的更新的功能:

  • 内容类型的变化
  • 模板标签
  • 杂项

还有有关开发者的一些变化,导入,导出的的更新,还有很多很多,可以参见这里

movabletype-version.jpg

账号密码泄露通知

  • Posted on | Updated on
  • by
  • in

收到一个 Email,来自我登记的账号密码泄露服务。
这次账号密码泄露算是史上最大之一了。2019年1月7日泄露的,Collection #1,爆出来的账号共有772,904,991,也就是大约7亿7千万个账号。我的邮箱地址和密码包括在这个数据包内。

In January 2019, a large collection of credential stuffing lists (combinations of email addresses and passwords used to hijack accounts on other services) was discovered being distributed on a popular hacking forum. The data contained almost 2.7 billion records including 773 million unique email addresses alongside passwords those addresses had used on other breached services. Full details on the incident and how to search the breached passwords are provided in the blog post The 773 Million Record "Collection #1" Data Breach.

难道这次账号泄露同今天我的 Netflix 账号被黑有关?

难道这次的账号被泄露就是从 Netflix 来的?

been-pwned.jpg建议你到 https://haveibeenpwned.com/ ,输入你的 Email 地址看看是否已经被泄露了。如果有此类问题,及时修改为上。

人生完整的路上的两个第一次

  • Posted on | Updated on
  • by
  • in

距离人生完美或者完整的路途又近了一点。最近的事情都是从来没有遇到过的,对于一个习惯于各种常见现象,已经对于各种变化不再感到惊奇的中年人来说,算是很大的惊喜了。
确切说是两件事,其中一件事刚刚发生的。

查看 Email 的时候,一串 Email 让我提高了注意力。都是在今早凌晨 5:46 到 5:47 发生的事情。
故事大概是这样的:异地登录 Bolívar, Colombia,然后是回复订阅(之前我已经取消了订阅),然后是修改密码,最后是修改账号 Email 地址。
于是就变成了用我的信用卡给别人的 Netflix 支付使用了。不再是我的 Email 地址,我也不知道密码。我的 Netflix 账号被黑了。

这是第一次账号被黑的情况发生。首先要恢复账号,于是使用了Netflix 的 Webchat 功能。在线客服帮助了我,在告诉她故事情况之后,她让我输入信用卡号验证,在尝试了两次后,验证正确,她帮我改回了 Email 地址,我再重置了密码,这次使用了一个密码强度 12 的密码。(使用 密码生成器

在登录账号后,看了一下过往的串流活动记录,可以的就是下面这条。

  • 2019-01-16, 8:46:50 AM GMT-5
    Colombia (BOL)
    190.159.42.59
    Web Browser

根据客服的说法,他们不知道黑客如何获取账号的。

We at Netflix do not have information how they got to your account. Like other account, most of the time they get access thru your devices, site pop ups and email links. So please consider changing your personal email password too just to be safe. Please Click Here too for more information on how you can secure your account.

这件事就这样告一段落了。

说说第二件事

GCE 要升级其 CPU

  • Posted on | Updated on
  • by
  • in

Google 发布消息说, 从2019年4月5日开始,在七个 GCE 区域,默认的 CPU 平台启用更新一代的 CPU。

主要牵涉到下面这七个区域。

  • us-central1-a
  • us-central1-f
  • europe-west1-b
  • europe-west1-c
  • asia-east1-a
  • asia-east1-b
  • asia-east1-c

如果你的 GCE VM 是选择在这些区域,那么在明年 4月5日之后,新建的 VM 虚拟机,设置是 minCpuPlatform="automatic",的,都会自动选择新 CPU。

如果是现存的虚拟机,只要也是同样的设置,就会自动停机开机并切换到新的 CPU。

原来的这些区域使用的 CPU 是 Sandy Bridge 或者 Ivy Bridge,届时会都切换到 Haswell 或者 Broadwell。

intel-cpu.jpg

可以看出这是一个制程更小的一代,耗电会更省,性能也会提高。

WordPress 5 的发布日期

  • Posted on | Updated on
  • by
  • in

根据 WordPress 的作者, Matt 的声明, WordPress 很快就要发布。
明天,也就是 2018年12月6日, WordPress 5.0 将正式公开发布。

虽然这样,但是社区对于此版本的仓促发布还是表示了各种怀疑。
比如,之前有过5个 Beta 版本,RC1 于 11月23日发布,RC2 很快就在一周后,11月30日就发布了,四天后,于昨天发布的 RC3,现在又宣布,在明天要发布正式版本。

时间上看上去非常近,那么再来看看各种不满好了。

1) WordPress 5.0 无障碍易用性

这点事被诟病最多的。基本没有考虑。

2)遗留 Bug 数量太多的问题

目前从其 Github 的页面上可以看到有285个Bug 还未解决。

285bugs.jpg

就这点而言就很不放心。

查看全球 DNS 同步的工具

一个网站可以用域名来访问,是通过域名在其 DNS 服务器上的记录解析来实现的,通常一个只有 IPv4 地址的网站,会只有 A 记录。而 IPv6 地址的网站,则会有 AAAA 记录。

当网站迁移到其它服务器,或者改变了其 IP 地址,就会需要修改它在 DNS 服务器上的记录,一般,这个修改会在5到15分钟生效,这个生效只是对于 DNS 服务器本身而言,这个修改要在全球的各个 DNS 服务器上同步生效,则需要更长的时间,一般而言,从一个小时,到12个小时不等。

当然这个同步情况,是可以通过对位于世界各地的 DNS 服务器进行查询获得。

我常用的几个查询网站 DNS 记录全球同步情况的工具有下面这些。

WhatsMyDNS

whatsmydns.jpg这里有一个世界地图,地图上打钩的就是获得正常解析记录的 DNS 服务器。在左侧看到的 IP 地址已经是新的了,在修改之前的 IP 地址是 50 开头的一个 IP 地址。

该工具除了可以查询 A 记录的同步记录,还可以查询 AAAA,CNAME,MX,NS,PTR,SOA,SRV,TXT,和 CAA 记录的同步。

WhatsMyDNS 所查询的服务器是位于世界各地的 ISP 所使用的 DNS 服务器。

dnsrecords.jpg访问 whatsmydns.net

DNS Map

这是另一款工具,它所使用的 DNS 服务器更多,使用的除了 ISP 所用的 DNS 服务器之外,还有 Google 等多个提供安全服务的 DNS 服务器。

dnsmap.jpgDNS Map 也能查询除了 A 记录之外的其它几个,我认为一个比较重要的是 SPF 记录。

开源网站统计分析工具 Matomo

  • Posted on | Updated on
  • by
  • in

前生就是 Piwik,在年初改名之后就成为了 Matomo,这个开源网站统计分析工具可以自己安装一套。最近它的官方网站也改版了。现在就来看看。

matomo-home.jpg

从收费方面来看,它分成四个。

  • 自管,就是安装在自己服务器上的版本是根据 GPLv3 来开源发布,免费下载。有一些特别的功能需要收费
  • 使用 Matomo 的统计服务,无需安装系统。直接付费使用。根据 PV 来收费,下面以每月 5万 PV 为例。
    • Essential, 基本款,基本的统计分析,9美元/月,5个网站,5个用户,6个月的数据,超过流量每五千PV收费 0.9美元。
    • Business, 商业款,完整的统计分析,29美元/月,30个网站,30个用户,24个月的数据,超过流量每五千PV收费3美元。
    • Enterprise,企业款,需要联系定制

作为一个支持开源的人,我当然是使用自管的开源社区板本。看看它同那些收费版的差别。

优点

自己安装的服务,可以统计的网站数量没有限制,用户数量没有限制,Segments 没有限制,Goals没有限制,Custom Dimensions 最多100个,统计数据可以一直保持。这些视同收费版本不同,而且是相比较而言更好的。

相同点

  • 没有数据采样,是完整数据
  • GDPR 管理器
  • API 访问
  • 标准报告
  • Tag 管理器
  • LDAP 整合
  • 定制域名

缺点

没有技术支持,只有社区(论坛)支持,这个可以理解,不付费当然就没有官方客服技术支持了。

另外还有一些功能是付费才能获得的。

  • Activity Log
  • WooCommerce Analytics
  • Search Engine Keywords Performance
  • Funnels
  • Users Flow
  • White Label
  • Heatmap
  • A/B 测试
  • 定制报告
  • 媒体分析
  • Roll-Up Reporting
  • 多渠道转换
  • SAML 整合

优化你的WordPress网站,提高速度

  • Posted on | Updated on
  • by
  • in

为什么要提高网站速度,缩短网页载入的时间?这其实已经讲过很多很多次了,就是因为用户体验优先,搜索引擎更喜好快的网站。

用 WordPress 架设的网站,也包括 blog,同样也面对相同的境况,要提高速度。

那么是什么让你的网站如此的慢呢?

你应该非常注意哪些对你的网站载入时间有负面影响的因素。在详细介绍各种情况之前,先来看看常见情况。

很显然,最大的原因就是没有好好设计网站。而不同服务商也是差别很大的,有些主机服务商的主机用的硬件老旧速度就会有问题。

如果你的服务器是很慢的,而且还经常无故停机,运行其上的你的网站也是一样的,又慢又常常不能访问。

还有一个情况是网站很热门,很多流量访问,而网站所在的服务器不能接待这么多客人,这时也会出现访问缓慢。

如何测试你的网站的访问速度?

目前第三方的测试工具,测试平台很多,我比较推荐的是下面几个。

WEBPAGETEST

算是老牌的测试工具了,我用的很多,报告很详细。

webpagetest-sample.jpg

Pingdom

它有提供一个免费工具,Pingdom Tools,可以让非用户,指定测试地点。

pingdom.jpg

只要输入网址,选择测试地点,点击开始测试按钮,接下来,等上一小会儿,就可以看到结果了。测试结果报告中会有一个性能评分,以及页面大小,载入时间等。

另外还有一个性能改善建议列表,告诉用户改进的方向。

pingdom-sample.jpg

可以看到,在截图中该测试所用的机器上,没有设置支持中文。