Becomin' Charles

什么是 HSTS？

HSTS 是 HTTP Strict Transport Security 的缩写，字面意思就是“HTTP 严格传输安全”。在 2012 年 11 月发布了 RFC 文件。其实质，是通过服务器和浏览器配合起来，强制用户使用安全连接来访问服务器。

哪怕到了最近几年，数据库被黑客完整下载的安全事件，也是层出不穷，程序员世界戏称为“脱裤”，好像光屁股一样羞耻。比如，刚过去不久的 CSDN，小米，多玩，等等事件都还历历在目。所以，程序员写代码决不能抱有侥幸心里，用户的密码，是最最隐私的东西，一定要妥善处理，一旦泄露，会给用户和服务网站都带来不可估量的损失。

今天下午，我在 Yii 框架 1.x 下，写一个数据处理脚本，脚本的功能主要是把一个超过百万行的表中的两个字段，同步到一个新表中。按照一般的想法，我写了如下的代码。

以前，用 Windows 系统的时候，我学会了“粘滞键”这个专有名词，其含义，就是当按下一个键盘按键，并且保持不动的时候，系统应有的表现。

比如，一般来说，我们期望系统的行为是连续打出多个按键的字符。 我初始安装 Mac 系统的时候，按下一个按键，在 Terminal 等原生的 App 上，其行为是符合我们的预期的。但是，因为我是程序员，我使用 NetBeans 作为开发环境，当我连续按下一个键的时候，我发现，在 NetBeans 里面，只能出现一个字符。

经过咨询同事，问到了一个系统设置：

defaults write -g ApplePressAndHoldEnabled -bool false

defaults write com.microsoft.VSCode ApplePressAndHoldEnabled -bool false

这个设置项，需要使用命令行来执行，类似一个隐藏设置，其含义是，是否由 Apple 系统来接管 按下并保持 这个行为，如果由系统来接管这个行为，则在某些应用中，系统会比较智能地处理这个行为，比如，在 NeaBeans，其判定为只打出来一个字母。如果，使用如上的设置项，则关闭此行为，系统不要插手这个行为的响应，由相应的 App 来处理这个行为，则可以出现我所预期的结果。

我个人入行以来，最早接触软件包的概念，是从 Java 开始的，Java 所有的代码，都必须属于一个软件包。如果要调用某个现成的类库，就要 import 一个软件包，就可以使用那个软件包里的所有代码了。

然后，又在操作系统层面接触了包管理器，那是最初使用 Linux 的时候，我接触的第一个发行版是 RedHat，非付费版本的 RedHat 没有包管理器，只能自己解决类库依赖，简直就是地狱。直到遇到了 Ubuntu 的 apt-get，又瞬间来到了天堂。

其实很早就听说了 Docker 了，这正是现在世界上最炙手可热的容器技术。直到去年 2015 年，我们公司才有小伙，尝试使用 Docker，当时，我们公司是全 Mac 办公，而 Docker 只支持 Linux，于是各种非官方爱好者，做出了各种方案，比如当时，如果要在 Mac 上用 Docker，就必须安装一个 boot2docker 的组件，是一个在 Mac 上使用 Docker 的封装，同时还要依托 VirtualBox 才行，当然也有 VmWare 的版本，但是又是收费的。

关于编码规范，每个程序员都有自己的看法，他们通常相信自己所奉行的规范是好的并且早已养成习惯，有些看法的意念特别强大，以至于上升到了一种信仰层面。
我个人觉得，编码规范不是个人习惯，比较好的态度是，信奉编码规范可以提升大家的效率，而坚守一个团队的编码规范，而不是，坚守某种固有的做法。至于
某种规范的条例是不是“很奇怪”，“不合理”，我们都可以讨论，但是讨论不代表不遵守，这才是比较职业化的态度。或者说，即便通过讨论，认定某个规范不合理，
我个人觉得，也应遵守这条不合理的规范，直到整个团队一致变更编码规范。

在产品研发过程中，免不了遇到要接入外部服务的业务场景，例如：第三方支付、短信发送服务、邮件发送服务等等。这里面，不乏一些至关重要的服务，对安全要求性很高，为了便利，服务提供商，往往提出使用 IP 白名单的形式来进行辅助鉴权。若在过去，非常小的企业里，使用托管服务器作为企业的服务器的时代，这一般不在成为问题，一个是服务器本身数量很小，而且很稳定，另一方面，服务器是物理机器，其 IP 地址也相对稳定得多。

而现在，云计算作为一种价格低廉、扩展容易的形式，极大程度替换了原有的服务器托管形态的 IT 基础架构。在云计算的语境下，为了让资源能更高效利用，降低成本，云计算服务商往往采用动态分配资源，以及虚拟化技术的形式，来为企业提供服务。这就造成了哪怕是很小的企业，也有数量庞大的服务器数量（虽然它们是虚拟的），而且，因为动态分配，还可能造成服务器的 IP 并不稳定（因为，在不需要使用的时候，企业可以通过申请取消资源占用来节省开支，这样，如果再次分配，IP 地址就变化了）。

如此一来，依赖 IP 地址白名单的鉴权，就会给产品部署运维带来烦恼。一是，在某个产品研发的过程中，就需要向第三方服务，上报最终线上环境的 IP 地址，这对于使用云计算的企业，可能并不方便，因为服务器此时可能还没有分配呢；二是，产品在发展过程中，可能会逐步成长扩张，当系统容量受到挑战时候，可能就会考虑扩容，在云计算中，扩容是非常容易且频繁的一种行为，这个时候，一旦忘记了追加白名单，那么新扩容的机器，可能马上因为无法调用第三方服务而导致运营事故。

所谓的 HTTPS 其实，指的是 HTTP over TLS/SSL，SSL 的意思是，Secure Sockets Layer，也即安全套接字层，是网景公司发明的一种传输层安全协议。因为对于网络信息基础架构太过重要，这个协议最后被国际标准化组织，标准化为 TLS，也即 Transport Layer Security，传输层安全协议，是 SSL 的后继者，从SSL 2.0 开始，后面一般不再称为 SSL 3.0，而称为 TLS 1.0，而 2016 年的互联网，主流都将往 TLS 1.2 以上发展。

首先来剖题，这里三个关键字：基层，代表再往下，就是一线程序员了，再没有下级了；技术，这里我狭义定义为程序员，别的领域仅供参考；Leader，也就是组长，或者叫领导，选英文是因为，组长和领导，我都能问出一股“官僚”气味，不想传递这种意思。