标签: 浏览器

Nginx 为 HTTPS 加密站点启用 Certificate Transparency

nginx-ssl传统的 SSL 认证身份的过程可能存在着受信任 CA 错误或某些不负责任行为、抑或是自身域名被别人冒充申请颁发证书的潜在危险,这是 SSL 认证环节中容易被利用的一环。由 Google 主导的 Certificate Transparency (CT)希望解决这些问题。任何证书持有人、CA 都可以向 CT 服务器提交证书,并接受审计和监控,使得当前的 CA 能够更加安全公开和透明。

启用 Certificate Transparency 与否的不同

如果 HTTPS 网站没有部署 Certificate Transparency,会有什么不同呢?

首先,Google Chrome 浏览器取消了对没有 CT 记录 Extended Validation(EV)证书绿条(Green Address bar)的显示。

其次,如果你有 iOS 开发的需要,你会了解到 iOS 9 新增了一个叫做 App Transport Security (ATS)的特性,开始默认强制所有请求为 HTTPS 请求。如果你的网站不支持Certificate Transparency,那么将不能通过 NSRequiresCertificateTransparency 的情况。

除此之外,对于大多数中小型网站 CT 的启用与否,还没有太大的区别。在 Chrome 上点击证书绿锁可以看到,未启用 CT 的网站和启用 CT 的网站存在着下面这一句话的细微区别。

针对 HTTPS 加密优化 Nginx 的参数配置

nginx-ssl网页的全面加密是一个很明显的未来趋向,安全性这一因素被越来越多的网站考虑,部署 https 加密对于大多数网站来说都非常必要,尤其是当搜索巨头 Google 宣布会稍微提高 https 网站的优先级之后。这家公司本身就非常注重安全性和保密性,因此推出这样的策略也不难理解,也能极大地推动加密称为网站建设的标准配置。

为什么要加密

互联网是越来越开放的,人们也是越来越注重保密性的。在互联网的保密观念不强的过去,https 并不是网站的标配。但是在当下,我们需要传输越来越多的个人信息,对于网站的保密性要求也就更高。看到网站地址挂上了绿锁,总是不必担心自己阅读的内容被其他人看到。

其次,在国内,运营商劫持是一件非常令人烦恼的事情。运营商为了追逐利益,会强行注入广告代码,甚至是调取搜索关键词,强势推销广告,隐私暴露无遗。这不仅是对访客的伤害,对自己的网站体验也是一种伤害。加密的 https 则会最大的避免这一个风险。

部署 SSL 证书并启用 HTTPS 连接非常简单,在此不再赘述。

下面讲解以 Linux + Nginx 为例子,详解如何优化配置 Nginx 的参数,提升安全指数和速度。

所有的配置一经修改,都需要重启或重载 Nginx 服务来应用。

iOS 中你可能不知道的 14 个小细节

iOS-logoiOS 是一个非常强大、人性化的系统,它功能齐全却又简单易用,是苹果公司移动设备能拥有超高的客户满意度的决定性因素。但你对于 iOS 的那些细节设计之处知道多少呢?下面介绍隐藏于 iOS 系统中,你可能不知道的 14 个设计、设置小细节。

点按 10 次刷新 App Store

App Store 是我们获得所有软件的方式。它以非常简单和直观的方式,为我们查找所寻软件的信息提供捷径。然而 App Store 的主要内容是 Web 获得的,也就是说,它可能会在接下来的某个时刻更新,如果你没有退出 App Store,它不会再次加载,那么你所看到的这个页面或许不是最新的。再加上 Web 网络加载本身的某些因素限制,有时候我们需要强制刷新 App Store。这时候怎么办呢?焦急地点按下面 5 个 Tab 中的任何一个 10 次,你就看到 App Store 扔掉当前的内容重新载入了。

10 个 OS X El Capitan 高级技巧推荐

ElCapitanLogoOS X El Capitan 是苹果公司在 2015 年 10 月正式发布的新一代 Mac 桌面操作系统。这一代系统对比上一代 Yosemite,外观变化不大,表面上看,仅仅是将字体换成了新的字体。当然,这一代系统的人性化的韵味更加鲜明,例如摇晃鼠标自动变大等小功能。除了带来系统性能提升、更流畅的操作体验,以及全新分屏体验外,El Capitan 还有哪些高级使用技巧呢?下面精选 10 个 OS X El Capitan 高级技巧推荐给大家。

禁用 Rootless (System Integrity Protection)

El Capitan 引入了 “Rootless” 的概念,禁止修改系统关键文件,例如 /System、/bin 等下的目录文件,来保证系统的安全。这个功能虽然对用户很有用,但是某些情况下如果一定要修改系统文件,例如一些优化、系统清理或者开发者相关操作,Rootless 可能会导致一些问题的出现。因此,下面介绍关闭 Rootless 的方法。

修改 hosts 使用非最佳的 IP 访问 Google 安全证书辅助步骤

Google Blocked我们知道通过修改 hosts,某些 IP 并不能支持 Google 旗下所有服务的直接访问。例如某些证书显示为 **docs.google.com 的非最佳、不推荐的 IP,仅适用于 Google 文档。但是事实上,它们仍然有潜力支持,但是检测证书的时候浏览器会报警。通过一个额外的步骤,可以使得它们获得 Google 全系列服务的访问支持。下面介绍 Mac OS X 系统、Windows 系统下的修改方法。

重要提醒、局限性、不适用的用户

此方法存在着可被避免的安全风险,但是您仍然应该对自己的行为负责。使用此方法,您必须确保这个 IP 来自 Google 官方,有多种渠道可以查证。除此之外,您还应该关注当前网络连接的 SSL 安全问题。

其次,因为部分的涉及到安全隐私问题,它可能不适用于以下互联网用户:

不明确网络安全问题尤其是 SSL 攻击定义的;

不能较好的分辨钓鱼网站的;

不能理解 HTTPS 加密协议的简单原理的

解决 Google CDN 无法连接导致网页无法加载的问题

Google Blocked国内网非常多的网站都使用免费的 Google CDN 服务来加载某些 js、字体样式库以提升网页浏览体验,例如 jQuery、Google Fonts。但是目前 Google 的大多数网站在大陆无法正常访问,因此这些本身是加快网页载入的库反而成为了阻塞网站加载的原因。这种情况国内的网站并不多,但是国外的网站却非常多地使用这些库。一般地,当 Google CDN 库称为网页加载的限制因素时,浏览器状态条会显示状态为 “正在等待 ajax.googleapis.com 的响应...” 或 “正在连接...” 等字样。

ajax.googlepis.com connection refused

如果打开控制台,能看见 Google CDN 确实正在阻塞网页加载。如果等待足够长的时间,浏览器最终会放弃加载,并呈现一个残缺的网页,这并不好。下面从网页开发者、浏览器用户的角度给出一些解决方案。

10 个 Automator Workflow 流程推荐助你一臂之力

Automator iconMac OS X 上有一个非常强大的工具 Automator,它躲在实用工具文件夹里时常被人忽视,且因其机器人的外表显得十分神秘。Automator,顾名思义就是帮助你创建并执行流程化的程序操作,以使得你能够在一些繁琐或者需要重复操作的工作上可以利用它代替你自动执行。它不仅支持模块化的操作,更支持配合 AppleScript 等脚本,从而能实现无穷尽的操作组合,让你不需要学习专业的应用程序开发方法便能快速制作出一个效率提升的小程序,或者流程 Workflow。

下面介绍 10 个精选有用的 Automator 流程或程序,希望你能从中获得自己的需要。

显示隐藏文件开关

有时候我们希望在 Finder 直接查看一些以“.”开头的隐藏文件,现在我们能直接通过创建 Finder 中的服务来实现快速开启或关闭查看隐藏文件的功能。

show hidden files service

VPS 三步搭建安装 Shadowsocks Node.js 版

我们除了 VPN、HTTP Proxy 可以选择以外,还可以选择一款轻量的 Socks5 代理,它是有名的 Shadowsocks,如果你有一台自己的 VPS 主机的话,不妨可以利用手中的资源搭建一个。

Shadowsocks
支持加密的 Socks5 代理,开源项目。

Shadowsocks 有不少服务器端的版本选择,例如 C、Python,而之所以推荐 Node.js 是因为它小巧却性能强悍,并且听上去很时尚。事实上,Node.js 版的 Shadowsocks 搭建起来也很容易,可以将其大致归类为 3 个步骤,所花费的时间不会超过 10 分钟。

网页检测 AdBlock 的 6 种方法

adblock logo有些网页上充斥着令人厌恶的广告,这些广告不仅阻碍了信息的获取,有的还严重影响了浏览者的心情。特别是某些毫不相关的多媒体广告和弹出式窗口,不仅让人感到被骚扰,还很容易误点到,浪费宝贵的时间。由此便诞生了大名鼎鼎的跨平台 AdBlock 插件,在任何主流浏览器上都有它的扩展或插件,用户可以安装它并屏蔽绝大多数的广告。

既然 AdBlock 有检测广告并屏蔽它们的方法,作为网页制作者,其实也有反过来检测 AdBlock 的方法。

为什么要检测 AdBlock

这是一个有争论的问题:用户有选择不看广告、在浏览器页面上销毁广告的权利,网站也有捆绑广告和信息一同派发给你并收取广告商展示费用的自由。这两者都不能互相干预,并且在没有明确法律法规的环境下,你可以防范我,我也可以防范你。

ads on webpage

校园网、教育网 如何纯粹访问 IPv6 网站避免收费

nat64 ipv6我国校园网有可靠的 IPv6 网络环境,速度非常快、稳定,并且大多数高校在网络流量计费时不会限制 IPv6 的流量,也就是免费的。然而访问 IPv4 商业网络时,则会收费,并且连接的可靠性一般。可幸的是,目前有一种将 IPv4 转换为 IPv6 的方式可以实现所有网站通过 IPv6 流量,从而避免校园网收费的方法,实现的核心是 NAT64/DNS64。下面分别以 Windows、OS X 系统讲解如何实现。

NAT64/DNS64

NAT64/DNS64 可以将 IPv4 地址对应的转换为 IPv6 地址,相当于指引向 IPv6 流量,相当于一种代理。它还可以实现 IPv4 和 IPv6 协议的互访。由统计图可以看出,其服务在日间的速度可以基本满足校园网访问需求。

NAT64 statistics

其实现的主要诀窍就是添加其为 DNS 服务器,并在本地停用 IPv4 协议。