有茬找茬该去根 / 离析

几个月前还有班上的时候,我在工单队列里看到了一张工单弹了出来。这是隔壁管网络安全部门的主管申请 Adobe CC 授权的请求。

我校处理这些请求,都是靠工单、然后客服人工把用户名输到一个已经很成熟的、部门自己做的系统里,自动判断可以给的授权然后生成,只有客服主管才能强制覆盖生成授权的参数。我也不是很懂,他们为什么不把这个流程做成全自动工单,估计是没“资源”吧。

我的同事处理这张工单的时候,也没仔细看那位网安主管写了什么,就直接把用户名输了进去,因为那位主管似乎在学校选了课,系统会自动给他激活学生授权。然后网安主管回了封邮件,问我们说这个授权怎么用,他部门有个职工需要用这个授权。 继续阅读“有茬找茬该去根 / 离析”

给 HAProxy 增加第三方登录保护

HAProxy 作为一个非常强大且高效的负载均衡软件,真的是想做啥都可以了。最近就比较头疼某个很多人使用的 SSH 端口整天被人扫,想做一个动态 IP 白名单。顺着这个思路下去,就做了一个 HAProxy 的第三方登录保护的方案出来。

SSH 端口的保护

由于 SSH 协议的鉴权通常没法做到 reject,我也不大想去研究协议的细节,于是就准备直接从 4 层 TCP 的位置去保护。HAProxy 端想做一个动态白名单,本来是想用 acl file list 实现的,然后发现只有收费版 HAProxy 才有一个定时重载文件列表的模块 lb-update。看了看 HAProxy 的管理接口似乎可以实现动态维护 acl 列表,于是准备写一个小的 Web 应用去维护这个列表。

仔细看了看这个接口,似乎还有一个 table 的特性更符合需求,还可以动态记录访问次数什么的,于是就搞起来了。 继续阅读“给 HAProxy 增加第三方登录保护”

趟水身份认证管理 IAM

身份与认证管理的大课题需要面对什么概念和难题?现阶段有什么技术轮子?LDAP、OIDC、RBAC 又是个啥?

这堆幻灯片是给 NetPlanet 准备的,经过了我 N 次砍内容以及可预见的推迟,感觉还是先发出来共享(peer review)好一些。

今天读了篇网课教学的文章,感觉可能还得加一些互动性的内容(于是相应地一些内容就会被砍掉),但总体来说干货就这些了。可能并不是那么系统性的严谨,但愿会对有人有帮助吧。

P.S. 看起来我博客万年没更新的 hacklog 插件出了点兼容问题导致 WordPress 在前台没法正常显示缩略图了,所以下面大概需要 2MB 流量,并且我还得找时间修 = =

继续阅读“趟水身份认证管理 IAM”

Wrap Context Manager (as nested) in a Python function

To make my code more elegant, I need to wrap a context manager with initialization code as a function in Python. This is definitely possible, but it took me some time to find the most elegant way to do this.

Generally speaking, you will want to enter all contexts when using the decorator @contextlib.contextmanager or @contextlib.asynccontextmanager. When the end user uses with my_function() as a:, everything inside the with block has been inside the nested contexts. When Python gets out of the end user's with block, it should also run all related __exit__s in the wrapper function. See example (requires Python 3.7+ probably and writes test.txt; you can test it on repl.it):

import asyncio
import contextlib
import aiofiles
import typing

@contextlib.asynccontextmanager
async def my_context_manager() -> typing.ContextManager[aiofiles.threadpool.AsyncFileIO]:
    # init
    filename = 'test.txt'

    async with aiofiles.open(filename, 'w+') as file:
        # you can still override or interact with `file` if needed
        yield file

async def main():
    # end user
    myfile: aiofiles.threadpool.AsyncFileIO
    async with my_context_manager() as myfile:
        print(await myfile.write("12\n"))
        await myfile.seek(0)
        print(await myfile.readline())

asyncio.run(main())

When I rewrite the code above I feel it so easy and natural. It really took me some time to realize how this works.

热心待人的果断正直 / 随笔谈

有时候也觉得自愧不如,都二十好几了,都已经 2020 了,为什么还在纠结这种最基本的问题。但脑海里闪过的无数个片段,总让我觉得应该写下来。

有天下午在路口边等过马路,一个妹子骑着车在过另一边的马路,突然车上好几样东西掉到了地上。这时离汽车绿灯还有十几秒,妹子回了头看了一眼,只好急着先把车推到路中间的安全岛上。

停车线后排着队的车,还有地上的东西,还有倒计时开始的红灯闪烁,看起来是一个很危急的时刻。

过了几秒钟,站在我前面几米处、离妹子更近、也在等过马路的一个小哥跑到马路中央,默默捡起马路上的那些东西,又跑着递给了快到安全岛的妹子。似乎两人交流了一两句,小哥又跑了回来。绿灯亮起,汽车开过,化险为夷。

当时的我看到这里,有那么一点呆。事后我甚至在想,如果我帮忙去捡东西,毕竟不是我的东西,骑车人会不会怕我把东西拿走不还呢?

但又仔细一想,一个正常的和谐社会为什么要有这种担心呢?

前几周跟室友去馆子吃饭,吃完饭走出门没多久,身后十多米的地方就传来打碎玻璃的声音。

想先说明的一件事情,我们吃饭的这片地方是公认的治安相对没那么好的地方。

我们边走边回头,只见两个似乎是店主的亚裔面孔的人,跟另一个人吵吵嚷嚷地出了一家我们完全不熟悉的店铺,也不知道具体发生了什么事。街上人不多,但似乎附近的人都在看着。然后据我室友说,这另一个人推了其中一位店主一把,女店主摔在地上看着很疼。

又接着,这位推人的老兄骂骂咧咧地跑到路口对面,就不见了踪影。

我在路口站着有点呆。这时候一辆车开过路口,里面有个女声似乎朝着我这个方向骂了一句,然后就飞驰着开走了。

我也不敢看热闹,似乎另一个店主在看护着被摔在地上的女店主,过了一会应该还是有人上去帮了忙的吧。

事后想起来,在这片治安欠佳的地方发生这种事情,作为一个在当地生活的我,没有去关心一下,似乎就连最基本的人情都没有尽到了。我又理性地想了一想,这种情况应不应该报警呢?如果叫了救护车,受伤的人又付不付得起钱呢?他们是不是想“算了就好”呢?似乎这一切的判断都在一个难以决定的分界线上。没有什么社会经验,又不是当地永久居民的我,第一次看到这种事情,似乎能躲开,就少了一事。

但刚才飞车而过的那句骂声似乎在提醒着我,这种想法很危险。但她自己对坐视不管的我骂了一句之后,为什么又坐视不管地飞车开走了呢?

所以为什么我有这么多顾虑呢?

前几天走在街上去吃饭,一个叔叔迎面尝试跟我说话。我本来还想装作听不懂,就一句话都没说,他又来了一句“我又不咬人”——这个比喻我现在仔细想了想,可是完全没法接受。为什么不咬人会成为与别人交流的底线呢?可当时的我想了想,那还是听听吧。

这叔叔说,自己丢了工作,没钱吃饭,而且家里还有四个孩子,说着就拿出手机给我看孩子的照片。我还印象很清楚,是 Android 自带的 Google 照片应用。

我愣了几秒钟,感觉自己的确没有什么拒绝的理由,只好说,我准备去麦当劳吃饭,你要的话可以跟着我去。他接道,不不,麦当劳太贵了,他需要点现金,去 CVS 买点吃的和纸巾。

听到这我心里想,这里离别的更便宜的超市走路十多分钟,你花着别人的钱,何德何能去并不便宜的 CVS 买东西。

接着他说,今天自己已经筹到 20 块了,还需要 20 块。接下来他说的是,只要 20 块,就能给别人的生活带来温暖呢。像极了募捐的用词。

我回道,我身上没带现金。他说,这附近超多 ATM,你去取一下很方便的。像极了电信诈骗帮你出尽主意找钱的套路。

我还是重复着这一句,我身上没带现金。他坚持了一两秒,有点怒地唉了一声,扭头,就走了。

在我这片地方,乞讨的挺多,卖艺的可真没有。我也见过有中年人真的给了“想要钱买点吃的”人帮助之后,乞讨者拿着食物,说法马上变成了想要钱买饮料。

我也不知道,他们是不是没有工作也过得还算凑合。理想社会里,是真的应该帮助路边缺钱的人,还是他们根本就不会存在呢?

这篇的几个片段下来,感觉自己可能真如飞车所骂,看起来是文绉绉有点想法,看直觉反应就知道根本不是人,没有见义勇为的那种果断和正直。都二十好几了,也不知道这会不会因为社会大学的教育而变好,所以,还请看官多包容吧。

美国的身份证明体系 / 离析

国内的实名认证体系推行得看似已经非常成熟,很多地方只要输入身份证号,就能实时在线核验身份、实时预警,统一得让人敬畏。然而,居民身份证与“户口”的强关联性,意味着这套系统对一些人还是很不友好的。

比如,一些只带着中国护照的海外侨胞会被一些只看身份证的地方当成外宾。国家移民管理局最近推出了护照在线核验,似乎在尝试改善这一局面,但能改善多少,还真的很难说。

根据《中华人民共和国出境入境管理法》第十四条规定,定居国外的中国公民在境内办理事务可以凭护照证明其身份。据了解,一些定居国外的中国公民由于没有内地户口和居民身份证,回国后办理相关事务存在不少不便。……根据《中华人民共和国电子签名法》和《中华人民共和国政府信息公开条例》有关规定,华侨个人经上述途径所获得的查询结果电子文件已经国家移民管理局电子签名,与同类纸质文件具有相同效力,华侨可将电子文件向有关办事服务机构出示或提供。

《新便利!国家移民管理局12月31日起开通华侨护照查询服务》

而还有一群中国绿卡持有者,因为永久居留与公民的区别,他们拿到的形似“居民”身份证的卡片上并不是 18 位“公民”号码,有很多不需要区分这两个概念的系统并不认识他们。

中国绿卡的号码是总共15位,其中前三位是代表绿卡持有人现国籍缩写字母,比如加拿大是CAN,越南是VNM,后12位是数字,中间包括持证人的生日数字……作为文化经理人,笔者认为产生以上一系列中国绿卡尴尬或涉嫌“歧视”现象的最根本原因,其实不在政策、行政上,而居然是在这一个小小的技术环节!就是中国绿卡独有的字母加数字的15位代码识别系统!现在看来公安部设计的初衷,可能只考虑了管理的便捷,却忽视了绿卡使用中的便捷性、实用性,以及与中国社会各行业、各系统的兼容性。

《中国绿卡(永久居留身份证)的含金量现在到底有多少?》

而在地球另一边的美国,作为一个由移民建立起来的国家,对“身份”这个事情应该还是很讲究的。我们不妨看一看。 继续阅读“美国的身份证明体系 / 离析”

软件镜像站 + GDPR:欧洲用户真的会路过吗 / 离析

离析是个啥?

这是一个偶然想到的新栏目名字,确实想理解的话可以通过拆字来解释。这个词其实挺适合近几年的大趋势的,全球化似乎玩不下去了,更多的人开始思考中心化的问题。引用一个我之前其实很不想引用的句式,“哪有什么岁月静好”,只不过时候未到。

声明:不是律师,本文跟法律有关的分析纯属瞎扯。

GDPR 是个啥?

各国的互联网用户这几年开始见到越来越多的网站问你要不要饼干(Cookies)、越来越多的应用文绉绉地要你同意隐私协议,这是为什么呢?隐私保护法律的跟进是一大原因,起点就在 2018 年,欧盟的 GDPR 开始实施了。 继续阅读“软件镜像站 + GDPR:欧洲用户真的会路过吗 / 离析”

麻省理工的信息服务“客服”

最近听说,学校里有位新来的老师,登不上自己的学校邮箱,然后抱怨(翻译的版本俏皮了一些):

行吧,我试着在两个地方登录我的邮箱:(……),在哪边我都看不到登录页面。今日头条——都 9102 年了,电子邮件都已经 20 多年了。你们能不能招一些麻省理工的学生把你们的系统搞好……

不想评价这个老师的态度和“提问的智慧”(他的“建议”似乎也被自动忽略掉了),麻省理工的学生愿不愿意做这个工作也是个问号。不过我们可以类比一下,麻省理工自己的信息服务水平如何呢?他们会招“麻省理工的学生”吗? 继续阅读“麻省理工的信息服务“客服””

Side note of some scheduling tools

SignUpGenius

Free version includes:

  • multiple spots in one time slot
  • email (ics) confirmation to invitee
  • export as table
  • cancellation email triggered by organizer
  • modify bookings by unique link (in the email).

UX feels like oldest.

Doodle

Free version includes:

  • multiple spots in one time slot
  • export as table (maybe?)

No invitee email is available in free version. Booking modification can only be protected if invitees log in with a Doodle account. UX is a lot better.

Calendly

Free version includes:

  • email (ics) confirmation to invitee
  • export as table
  • cancellation email triggered by organizer
  • modify bookings by unique ID (in the email)

Paid version (10 days trial) includes:

  • multiple spots in one time slot
  • webhook (API)

UX is the best.