无需申请自动送彩金68_白菜送彩金网站大全[无需申请秒送彩金]
做最好的网站
来自 无需申请自动 2019-09-21 11:34 的文章
当前位置: 无需申请自动送彩金68 > 无需申请自动 > 正文

有感而发,Chrome开发者工具不完全指南

前端面试【有感而发】

2015/09/16 · HTML5, JavaScript · 1 评论 · 面试

原文出处: 聂微东(@聂微东)   

首先,这篇没有具体的面试题;

其次,这篇仅是我个人的面试态度;

最后,在这金三银四的跳槽季里,祝愿各位找到好工作。

俺第一次做面试官是2011年,想起那时自己真的很紧张(不管做什么头几次都紧张哈),可是还是在希望在面试者面前留个比较专业的印象,所以总是装作很淡定,记得那时总会放一件修身小西装放公司,专门用来面试的时候穿的,装成熟,你懂得。现在回忆起那时的点滴,不由自主的会嘴角上扬:)

图片 1

——————————- 低调的分割线 ——————————-

 

“全世界都缺前端” —— 这话总会被提起,PM尤其是喜欢这么说,而且还是在工作推动的过程中(我会告诉你我这是在黑PM么)

面试一直是俺工作中重要的一块,而且自己也喜欢去参与面试(工作忙爆的时间除外)。原因究竟为甚其实我自己也说不上来,可能是因为心里希望在工作时可以与聪明的人合作吧;也可能是希望通过面试push自己去主动了解行业新的技术…Anyhow,也就一头扎进了面试官的行列,且乐此不疲。

图片 2

前端回忆录  

8年前的前端做些什么?页面重构(HTML CSS)和实现页面交互(JS CSS);jQuery也是在8年前诞生(06年8月发布V1.0);

4年前业内提出大前端,这直接让前端职位在产品和业务中变得更加重要,甚至是最重要的存在,在以前的技能基础上又需要掌握一门服务端语言和少量数据库的经验(从那时开始身边经常有朋友由后端转前端);

2年前的前端界Node开始疯狂火热,且一扫各种前端论坛、开源项目,狂热者更提出“JS一统WEB开发”的头号,数据结构简单点的网站建设只需要一个工程师即可搞定,那就是前端,叼炸天呀;

Now,全端工程师???maybe…

移动互联网风光依旧,前端更是无处不在。

可是… …

招人真心难,招前端更难,招个好前端难上加难有木有~~

图片 3

主观意识 & 经验主义  

工程师每轮面试时间一般为一小时左右,除非面试官对你没有兴趣,否则不会十几分钟就打发走你(我厂要求面试至少20分钟)。而且就在这差不多一小时,面试官要判断你是否符合招聘的岗位,这本身就是一件非常挑战的事情。正因为这样,所以面试官的决定都有一定的风险和主观意识,这不可避免。

许久以前看过一篇跟面试相关的文章,具体内容说什么忘记了,不过里面有一句话给我印象深刻,大概意思是:“很多面试官希望能招到个像自己的人,和自己类似的人”。很容易理解这句话,因为和自己类似所有更容易引起自身的关注,而且记忆会更深刻。这个“类似”俩字我理解应该至少包括几个方面:技术方向、性格、思维方式等。

我也同意会带着主观意识去面试,但我认为这并不是什么糟糕的事情。

具体点说,我会考虑你是否会push甚至引导团队的成长、与你合作是否会愉快,这也是我参与面试的原因之一。在此,希望你静静思考下,你在团队中是否属于这类人,至于是与不是由看官您自己评判了:)

图片 4

技术一面  

通常情况下工程师面试都有几轮?不管几轮都很正常,反而很少有听说只有一轮面试的,所以这里说的一面是纯技术的面试。

有时我会为面试面到一名优秀的同学而高兴不已,因为聊天会很畅快,而且决定很明朗。

更多时候我会比较纠结,因为我需要考虑给不给面试者通过我这关。正因如此,其实很多时候我做的每个选择都有一定的运气成分。

俺初期做面试官的时候,基本都是我主动来发问和出题,用自己的主观意识去考察面试者的方方面面。那时想当然的认为,这份岗位需要这些XX技能和用到这些XX技巧,所以如果面试者具备这些知识点就可以通过。

再后来面试的经验提升了,想明白了学习能力、思维方式和技术能力同样非常重要,所有会主要针对面试者比较擅长的领域来【交流、讨论】。

在面试这个过程里,我现在总会在正式面试之前,和面试者说句话:“面试就是聊天,我们简单聊聊吧”。

图片 5

本来想随便配个图,可是看到这个图片突然想起一首儿歌:丢肥皂 丢肥皂 轻轻的放在小基友的后面 大家不要告诉他 快点快点捉住他,快点快点捉住他…

好吧,节操碎了一地。

 

我的期待  

下周已经安排有六个面试。请思考,作为一名面试官应该对你又有怎样的期待?

俺的面试时的问题一般不固定,因为我不喜欢背题的做法。

有一定工作经验最好,当然没有也同样有机会,而且有工作经验对于面试也不一定都是好事。

PS:工作年限和项目经验决定了你的知识储备,所以也会有针对性的调整难度和问题。

 

在我看来评价一名同事是否优秀其实很简单, 看看他是否够【专业】就行了。那么合计合计,你自己对待工作是否对得住专业俩字。至于怎么理解专业俩字,还是见仁见智吧。

简历造假或者过分夸大。夸大自己的工作确实也属正常,可是如果夸大、夸大程度都需要有底线可言。经常会看到简历上写着精通XX,比如jQuery,然后面试的一问没有读过源码,对其细节原理说不出所以然来,这还不如不写。

记得前不久在微博上看 @朴灵 说过:“如果你的GitHub上没有任何项目和代码,简历上还是别填GitHub地址了,没啥好处的。”

期待你不要紧张、而且自信,让自己好的一面尽量的展现出来,努力把面试官当成你的同事,你只是与他探讨工作中的问题。甚至可以多提些自己觉得有意思的想法,如果能够和面试官一直存于一个较愉快的谈话环境,相信你的面试结论上,面试官一定不会吝啬对你进行正面的评价。

图片 6

总结  

面试其实也是修心的过程。

我毕业初期时找工作也并不顺利,不过多次在找工作面试的过程中经常会遇见很好的面试官,就算你没有达到他们的岗位要求,他们还是会中肯的给你一些靠谱的建议。这些面试过程就非常的美好,其实结果不一定是最重要的,过程也一样美妙,不是吗。

最后,请带着你积极的心态,好好享受每一次面试。

祝好

2 赞 3 收藏 1 评论

图片 7

Chrome开发者工具不完全指南(四、性能进阶篇)

2015/07/05 · HTML5 · Chrome

原文出处: 卖烧烤夫斯基   

前言

Profiles面板功能的作用主要是监控网页中各种方法执行时间和内存的变化,简单来说它就是Timeline的数字化版本。它的功能选项卡不是很多(只有三个),操作起来比较前面的几块功能版本来说简单,但是里面的数据确很多,很杂,要弄懂它们需要花费一些时间。尤其是在内存快照中的各种庞杂的数据。在这篇博客中卤煮将继续给大家分享Chrome开发者工具的使用经验。如果你遇到不懂的地方或者有不对的地方,可以在评论中回复卤煮,文章最后卤煮会最后把秘籍交出来。下面要介绍的是Profiles。首先打开Profiles面板。

图片 8

Profiles界面分为左右两个区域,左边区域是放文件的区域,右边是展示数据的区域。在开始检测之前可以看到右边区域有三个选项,它们分别代表者不同的功能:

1.(Collect JavaScript CPU Profile)监控函数执行期花费的时间
2.(Take Heap Snapshot)为当前界面拍一个内存快照
3.(Record Heap Allocations)实时监控记录内存变化(对象分配跟踪)

一、Collect JavaScript CPU Profile(函数收集器)

首先来关注第一个功能,(Collect JavaScript CPU Profile)监控函数执行期花费的时间。讲道理不如举例子,为了更清楚地了解它的功能概况,我们可以编写一个测试列子来观察它们的作用。这个列子简单一些,使得我们分析的数据更清晰一些。

XHTML

<!DOCTYPE html> <html> <head> <title></title> </head> <body> <button id="btn"> click me</button> <script type="text/javascript"> function a() { console.log('hello world'); } function b() { a(); } function c() { b(); } document.getElementById('btn').addEventListener('click', c, true); </script> </body> </html>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<button id="btn"> click me</button>
<script type="text/javascript">
function a() {
console.log('hello world');
}
 
function b() {
a();
}
 
function c() {
b();
}
 
document.getElementById('btn').addEventListener('click', c, true);
</script>
</body>
</html>

在右边区域中选择Collect JavaScript CPU Profile 选项,点击下方的Start按钮(也可以点击左边的黑色圆圈),这时候Chrome会开始记录网页的方法执行,然后我们点击界面的按钮来执行函数。最后再点击右边区域的Stop按钮(或者左边的红色圆圈),这时监控就结束了。左边Profiles会列出一个文件,单击可以看到如下界面:

图片 9

生存了一个数据表格,它们的意义在上图中已经标记出来了。它记录的是函数执行的时间以及函数执行的顺序。通过右边区域的类型选项可以切换数据显示的方式。有正包含关系,逆包含关系,图表类型三种选项。我们可以选择其中的图表类型:

图片 10

可以看到这个面板似曾相识,没错,它跟之前的TimeLine面板很像,的确,虽然很像,但功能不一样,不然也就没必要重复做了。从上图可以看到点击按钮执行的各个函数执行的时间,顺序,包含关系和CUP变化等。你可以在生成文件之后在左边区域中保存该文件记录,下次只需要在区域2这中点击load按钮便可以加载出来。也就是说你可以本地永久地记录该段时间内的方法执行时间。第一个功能大概就这么多,比较其他两个来说简单。

二、Take Heap Snapshot(内存快照**

下面我们来介绍一下第二个功能的用法。第二个功能是给当前网页拍一个内存快照.选择第二个拍照功能,按下 Take Snapshot 按钮,给当前的网页拍下一个内存快照,得到如下图。

图片 11

可以看到左边区域生成个文件,文件名下方有数字,表示这个张快照记录到的内存大小(此时为3.2M)。右边区域是个列表,它分为五列,表头可以按照数值大小手动排序。在这张表格中列出的一些列数字和标识,以及表头的意义比较复杂,涉及到一些js和内存的知识,我们就先从这些表头开始了解他们。从左到右的顺序它们分别表示:
Constructor(构造函数)表示所有通过该构造函数生成的对象
Distance 对象到达GC根的最短距离
Objects Count 对象的实例数
Shallow size 对应构造函数生成的对象的shallow sizes(直接占用内存)总数
Retained size 展示了对应对象所占用的最大内存
CG根!是神马东西?在google的官方文档中的建议是CG根不必用到开发者去关心。但是我们在这里可以简单说明一下。大家都知道js对象可以互相引用,在某个对象申请了一块内存后,它很可能会被其他对象应用,而其他对象又被另外的对象应用,一层一层,但它们的指针都是指向同一块内存的,我们把这最初引用的那块内存就可以成为GC根。用代码表示是这样的:

JavaScript

var obj = {a:1}; obj.pro = { a : 100 }; obj.pro.pro = { b : 200 }; var two = obj.pro.pro; //这种情况下 {b:200} 就是被two引用到了,{b:200}对象引用的内存就是CG根

1
2
3
4
5
var obj = {a:1};
obj.pro = { a : 100 };
obj.pro.pro = { b : 200 };
var two = obj.pro.pro;
//这种情况下 {b:200} 就是被two引用到了,{b:200}对象引用的内存就是CG根

用一张官方的图可以如下表示:

图片 12

构成这张关系网的元素有两种:
Nodes:节点,对应一个对象,用创建该对象的构造方法来命名
Edges:连接线,对应着对象间的引用关系,用对象属性名来命名
从上图你也可以看到了第二列的表头Dishtance的意义是什么,没错,它指的就是CG根和引用对象之间的距离。根据这条解释,图中的对象5到CG根的距离就是2!那么什么是直接占用内存(Shallow size)和最大占用内存(Retained size)呢?直接占用内存指的是对象本身占用的内存,因为对象在内存中会通过两种方式存在着,一种是被一个别的对象保留(我们可以说这个对象依赖别的对象)或者被Dom对象这样的原生对象隐含保留。在这里直接占有内存指的就是前一种。(通常来讲,数组和字符串会保留更多的直接占有内存)。而最大内存(Retained size)就是该对象依赖的其他对象所占用的内存。你要明白这些都是官方的解释,所以即使你觉得云里雾里也是正常的,官方解释肯定是官腔嘛。按照卤煮自己的理解是这样的:

JavaScript

function a() { var obj = [1,2,.......n]; return function() { //js作用域的原因,在此闭包运行的上下文中可以访问到obj这个对象 console.log(obj); } } //正常情况下,a函数执行完毕 obj占用的内存会被回收,但是此处a函数返回了一个函数表达式(见Tom大叔的博客函数表达式和函数声明),其中obj因为js的作用域的特殊性一直存在,所以我们可以说b引用了obj。 var b = a(); //每次执行b函数的时候都可以访问到obj,说明内存未被回收 所以对于obj来说直接占用内存[1,2,....n], 而b依赖obj,所obj是b的最大内存。 b()

1
2
3
4
5
6
7
8
9
10
11
function a() {
    var obj = [1,2,.......n];
    return function() {
        //js作用域的原因,在此闭包运行的上下文中可以访问到obj这个对象
        console.log(obj);
    }
}
//正常情况下,a函数执行完毕 obj占用的内存会被回收,但是此处a函数返回了一个函数表达式(见Tom大叔的博客函数表达式和函数声明),其中obj因为js的作用域的特殊性一直存在,所以我们可以说b引用了obj。
var b = a();
//每次执行b函数的时候都可以访问到obj,说明内存未被回收 所以对于obj来说直接占用内存[1,2,....n], 而b依赖obj,所obj是b的最大内存。
b()

在dom中也存在着引用关系:我们通过代码来看下这种引用关系:

JavaScript

<html> <body> <div id="refA"> <ul> <li><a></a></li> <li><a></a></li> <li><a id="#refB"></a></li> </ul> </div> <div></div> <div></div> </body> </html> <script> var refA = document.getElementById('refA'); var refB = document.getElementById('refB');//refB引用了refA。它们之间是dom树父节点和子节点的关系。 </script>

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<html>
    <body>
        <div id="refA">
            <ul>
                <li><a></a></li>
                <li><a></a></li>
                <li><a id="#refB"></a></li>
            </ul>
        </div>
        <div></div>
        <div></div>
    </body>
</html>
 
<script>
    var refA = document.getElementById('refA');
    var refB = document.getElementById('refB');//refB引用了refA。它们之间是dom树父节点和子节点的关系。
</script>

现在,问题来了,如果我现在在dom中移除div#refA会怎么样呢?答案是dom内存依然存在,因为它被js引用。那么我把refA变量置为null呢?答案是内存依然存在了。因为refB对refA存在引用,所以除非在把refB释放,否则dom节点内存会一直存在浏览器中无法被回收掉。上图:

图片 13

所以你看到Constructor这一列中对象如果有红色背景就表示有可能被JavaScript引用到但是没有被回收。以上只是卤煮个人理解,如果不对头,请你一定要提醒卤煮好即时更新,免得误人子弟!接着上文,Objects Count这一列是什么意思呢?Objects Count这一列的意义比较好理解,从字面上我们就知道了其意义。就是对象实例化的数量。用代码表示就是这样的:

JavaScript

var ConstructorFunction = function() {};//构造函数 var a = new ConstructorFunction();//第一个实例 var b = new ConstructorFunction();//第二个实例 ....... var n = new ConstructorFunction();//第n个实例

1
2
3
4
5
var ConstructorFunction = function() {};//构造函数
var a = new ConstructorFunction();//第一个实例
var b = new ConstructorFunction();//第二个实例
.......
var n = new ConstructorFunction();//第n个实例

可以看到构造函数在上面有n个实例,那么对应在Objects Count这列里面就会有数字n。在这里,ConstructorFunction是我们自己定义的构造函数。那么这些构造函数在哪里呢,聪明的你一定可以猜到就在第一列Constructor中。实际上你可以看到列表中的Constructor这一列,其中多数都是系统级别的构造函数,有一部分也是我们自己编写的:

  global property – 全局对象(像 ‘window’)和引用它的对象之间的中间对象。如果一个对象由构造函数Person生成并被全局对象引用,那么引用路径就是这样的:[global] > (global property > Person。这跟一般的直接引用彼此的对象不一样。我们用中间对象是有性能方面的原因,全局对象改变会很频繁,非全局变量的属性访问优化对全局变量来说并不适用。
  roots – constructor中roots的内容引用它所选中的对象。它们也可以是由引擎自主创建的一些引用。这个引擎有用于引用对象的缓存,但是这些引用不会阻止引用对象被回收,所以它们不是真正的强引用(FIXME)。
  closure – 一些函数闭包中的一组对象的引用
  arraystringnumberregexp – 一组属性引用了Array,String,Number或正则表达式的对象类型
  compiled code – 简单来说,所有东西都与compoled code有关。Script像一个函数,但其实对应了<script>的内容。SharedFunctionInfos (SFI)是函数和compiled code之间的对象。函数通常有内容,而SFIS没有(FIXME)。
HTMLDivElement, HTMLAnchorElement, DocumentFragment 等 – 你代码中对elements或document对象的引用。

点击展开它们查看详细项,@符号表示该对象ID。:

图片 14

一个快照可以有多个试图,在左边区域的右上角我们可以看到点击下拉菜单可以得到四个个任务视图选项:

图片 15

他们分别代表:
  Summary(概要) – 通过构造函数名分类显示对象;
  Comparison(对照) – 显示两个快照间对象的差异;
  Containment(控制) – 探测堆内容;
  Statistic(图形表)-用图表的方式浏览内存使用概要

Comparison是指对比快照之间的差异,你可以首先拍一个快照A,操作网页一段时间后拍下另外一个快照B,然后在B快照的右边距区域的左上角选择该选项。然后就可以看到对比图。上面显示的是每个列,每一项的变化。在对照视图下,两个快照之间的不同就会展现出来了。当展开一个总类目后,增加和删除了的对象就显示出来了:

图片 16

尝试一下官方示例帮助你了解对比的功能。

你也可以尝试着查看Statistic选项,它会以图表的方式描述内存概况。

图片 17

三、Record Heap Allocations.(对象跟踪器)

好了,第二个功能也介绍完了,最后让我们来瞧瞧最后一个功能Record Heap Allocations.这个功能是干啥的呢。它的作用是为为我们拍下一系列的快照(频率为50ms),为我们检测在启用它的时候每个对象的生存情况。形象一点说就是假如拍摄内存快照的功能是照相那么它功能相当于录像。当我们启用start按钮的时候它便开始录像,直到结束。你会看到左侧区域上半部分有一些蓝色和灰色的柱条。灰色的表示你监控这段时间内活跃过的对象,但是被回收掉了。蓝色的表示依旧没有没回收。你依旧可以滑动滚轮缩放时间轴。

图片 18

对象跟踪器功能的好处在于你可以连续不断的跟踪对象,在结束时,你可以选择某个时间段内(比如说蓝色条没有变灰)查看期间活跃的对象。帮助你定位内存泄露问题。

四、结束 

好了,差不多把Profiles讲完了。这东西对我们查找内存泄露来说还是蛮有作用的。对于工具来说,主要是多用,熟能生巧嘛。如果你觉得不过瘾,我推荐你去阅读官方文档,里面有N多的例子,N多的说明,非常详细。前提是你能跳到墙外去。当然也有翻译文档(卤煮的秘籍都给你了,推荐一下吧)。最后真的是要像一片文章里面写的一样“感谢发明计算机的人,让我们这些剪刀加浆糊的学术土匪变成了复制加粘贴版的学术海盗。”下期是ConsoleAudits。敬请关注。

2 赞 10 收藏 评论

图片 19

为什么 HTTP 有时候比 HTTPS 好?

2015/05/15 · HTML5 · 3 评论 · HTTP, HTTPS

原文出处: stormpath   译文出处:开源中国社区   

做为一家安全公司,我们在站点Stormpath上经常被开发者问到的是有关安全方面最优做法的问题。其中一个被经常问到的问题是:

我是否应当在站点上运行HTTPS?

很不幸,查遍整个因特网,你大多数情况下会得到同样的建议:加密所有的东西!对所有站点进行SSL加密等等!然而,现实情况表明这通常不是一个好的建议。

许多情况下使用HTTP比使用HTTPS要好很多。事实上,HTTP是一个在性能上和可用性上比HTTPS更好的一种协议,这也就是我们经常推荐客户使用HTTP的原因。下面我们说一说我们的理由……

使用 HTTPS 会出现的问题

HTTPS 是一个错漏百出的协议. 此协议及其现今流行的实现中许许多多众所周知的问题使得它不适用于许多各种各样的web服务。

HTTPS 十分缓慢

图片 20

应用 HTTPS 的主要阻碍之一就是 HTTPS 协议十分缓慢的这一事实。

就其特性而言,HTTPS 就是在两端之间进行安全的加密通信。这需要两端都持续耗费宝贵的CPU时间周期:

●一开始说“hello”就决定使用哪种类型的加密方式 (暗号方案套件)

●验证SSL证书

●为每一个请求的验证以及对请求/回应的验证核实,运行加密代码

而这听起来不是特别形象,其实就是加密代码运行的是CPU密集型的操作。它会重度使用浮点运算的CPU寄存器,会征用你的CPU从而使得请求的处理变慢。

这里有一个内容十分丰富的 ServerFault 线程,展示了在使用代用 Apache2 的一个 Ubuntu 服务器时,相比之下的处理速度你所能预计会有多大的降低:

如下是结果:

图片 21

即使是像上面所展示的一个非常简单的示例,HTTPS也能将你的Web服务器的速度拖慢超过40倍! 这可拖了web性能很大的后腿.

在今天的环境中, 将你的应用程序作为 REST API 的一个组成部分来构建是很普遍的 — 使用 HTTPS 确实是会拖慢你的网站、影响你的应用程序性能并给你的服务器CPU带来不必要的冲击的一种方式,而且通常会惹恼你的用户。

对于许多对速度敏感的应用程序而言,使用原始的 HTTP 常常要好很多。

HTTPS 不是一个放之四海而皆准的安全保障

图片 22

许多人都会抱有 HTTPS 会让他们的站点更安全,这样一种印象。这其实不是真的。

HTTPS 只是对你和服务器之间的流量进行了加密 — 一旦HTTPS信息的传输中断了,一切就又都是一场公平的游戏。

这意味着如果你的计算机已经感染的了恶意软件,或者你已经被受到欺骗运行了某些恶意软件 — 这个世界上所有的HTTPS对于你而言也都无能为力了。

此外,如果 HTTPS 服务器上存在任何的漏洞,某些攻击者就能够简单的等到 HTTPS 已经处理结束,然后再在其它的层(例如 web 服务这一层)抓取到不管什么数据。

SSL 证书本身也经常被滥用。比如,其在浏览器上的处理方式就很容易发生错误:

●每种浏览器(Mozilla,google 等)都是独立审计并核准根证书提供商来保证他们安全地处理SSL证书

●一旦核准通过,这些根 SSL 证书就会被添加到浏览器的可信证书列表,这意味任何由根证书提供商签名的证书都是默认可信的。

●这些提供商因此可随意乱搞,导致各类安全问题频发,比如2011年发生的 DigiNostar 事件。

以上种种,著名证书授权机构错误地签名了大量的伪造和欺诈的证书,直接损害数以万计的Mozilla用户的安全。

而 HTTP 并没有提供任何形式的加密服务,至少你知道你正在处理什么东西。

HTTPS流量很容易被监听

如果你正在构建一个需要被不安全的设备(比如移动 app)使用的 web 服务,你可能觉得因为你的服务运行于 HTTPS 上,通信就不会被监听了。

如果真这么想的话,你就错了。

其他人可以轻松地在电脑上设置代理来截获并查看HTTPS流量,也就越过了SSL证书检查,这就直接泄漏了你的私人信息。

这篇博文就演示了移动设备上的 https 消息监听。

你觉得没多大事?别做梦了!就连Uber这种大公司的移动应用都被逆向了,它们也用了 HTTPS。如果你灰心了,我劝你还是别看这篇文章了。

好了,接受现实吧,不管你怎么做,攻击者都能用这样或那样的方法来监听你的网络流量。与其把时间浪费在修复 SSL 的问题上,还不如花点时间想想如何明智地使用 HTTP 吧。

HTTPS 有漏洞

大家都知道 HTTPS 并不是铁板一块。多年来 HTTPS 被曝出了不少漏洞:

●POODLE (pdf)

●BEAST

●CRIME

●Heartbleed

●…

以后的攻击会越来越多。再加上 NSA 为了解密,正不遗余力地收集着 SSL 流量——使用 HTTPS 似乎一点用处都没有,因为不定什么时候你的 HTTPS 流量就会被一览无余。

HTTPS 太贵

最后要说的一点是 HTTPS 太贵了。你需要从根证书颁发机构购买浏览器和客户端能够识别的 SSL 证书。

这可不便宜啊。

SSL证书年费从几美刀到几千不等——如果你正在构建基于多个微服务(multiple microservices)的分布式应用,你需要买的证书可不只一个。

对于小项目或预算紧张的人来说成本一下子就抬高了不少。

为什么 HTTP 是一个不错的选择

在另一方面,让我们稍稍不那么消极片刻,而是专注于积极的东西 : 是什么使得HTTP很棒的。大多数开发者并不欣赏它的好处。

正确条件下的安全

当然HTTP本身没有提供任何安全性,通过正确的设置你的基础设施和网络,你可以避免几乎所有的安全问题。

首先,对于所有的你可能会用到的内部HTTP服务, 要确保你的网络是私有的,不能从公共的外部环境嗅探到数据包. 这意味着你将可能徐昂要将你的HTTP服务部署在一个像Amazon EC2这样的非常安全的网络里面.

通过在 EC2 部署公共的云服务器,就能保证你拥有一流的网络安全, 防止任何其他的AWS用户嗅探到你的网络流量.

使用 HTTP 的不安全性来扩展

人们过多的关注于 HTTP 缺乏安全和加密特点的时候,许多人没有想到的是,这种协议可以提供很好的扩展性。

大部分现代的Web应用程序通过队列来扩展。

你有一个Web服务器接受请求,然后用处在相同网络上的服务器集群运行单独的jobs来处理更多的CPU和内存密集型任务。

为了处理任务的排队,人们通常使用一个诸如 RabbitMQ or Redis 这样的系统。两个都是不错的选择,但是否可以除了你的网络外不使用任何基础设施组件而获得任务队列的好处呢?

使用HTTP,你可以!

它是这样工作的:

●建立Web服务器和所有处理服务器共享子网的一个网络。

●让你的处理服务器侦听网络上的所有数据包,和被动嗅探网络流量。

●当Web服务器收到HTTP流量,那些处理服务器可以简单地读取进来的请求(纯文本,因为HTTP不加密),并立即开始处理工作!

上述系统的工作原理就像一个分布式队列,快速,高效,简单。

使用 HTTPS,上述情况是不可能的,但是,通过使用 HTTP,可以大大加快您的应用程序同时去除(不必要的)基础设施–这是一个大的胜利。

不安全和自负

最后一个我建议使用HTTP而不是HTTPS的原因:不安全。

是的,HTTP 没有给你的用户提供安全,但是,安全真的有必要吗?

不仅大部分 ISP 监控网络通信,过去数年的很长一段时间里,很明显的是政府已经存储并解密了大量网络通信。

使用 HTTPS 的顾虑正好比将一个挂锁来放在一尺高的篱笆上,大致来说,你不可能保证应用的安全。所以,何必这么麻烦呢?

开发仅依靠 HTTP 的服务,这并没有给你的用户一种安全的错觉,或者欺骗用户认为自身很安全。事实上,他们很有可能认为是不安全的,

开发基于 HTTP 的程序,你的生活将得到简化,并增强和你用户的透明。

考虑一下吧。

在逗你玩呢 !! >:)

愚人节快乐哦 !

我喜欢你不会真的任务我会建议你不去使用HTTPs ! 我想要非常明确的告诉你 : 如果你要构建任何什么类型的web应用, 要使用 HTTPS 哦!

你要构建什么类型的应用程序或者服务并不重要,而如果它没有用到HTTPS,你就做错了.

现在,让我们来聊聊HTTPS为什么很棒.

HTTPS 是安全的

图片 23

HTTPS 是一个业绩优良的很棒的协议. 虽然这些年来有过几次针对其漏洞的利用事件发生, 但它们一直都是相对较为轻微的问题,而且也很快被修复了.

而诚然,NSA确实在某个阴暗的角落收集着SSL流量, 但他们能够解密即使是很少量SSL流量的可能性都是极小的 — 这会需要快速的,功能齐全的量子计算机,并耗费数量惊人的钞票. 这玩意存在的可能性貌似不存在,因此你可以高枕无忧了,因为你知道你的站点上的SSL确实在为你的用户数据传输保驾护航.

HTTPS 速度是快的

上面我曾提到HTTPS“遭罪似的慢” , 但事实则几乎完全相反.

HTTPS 确实需要更多的CPU来中断 SSL 连接 — 这需要的处理能力对于现代计算机而言是小菜一碟了. 你会遇到SSL性能瓶颈的可能性完全为0.

目前你更有可能在你的应用程序或者web服务器性能上遇到瓶颈.

HTTPS 是一个重要的保障

虽然 HTTPS 并不放之四海而皆准的web安全方案,但是没有它你就不能以策万全.

所有的web安全都倚赖你拥有了 HTTPS. 如果你没有它, 那么不管你对你的密码做了多强的哈希加密,或者做了多少数据加密,攻击者都可以简单的模拟一个客户端的网络连接,读取它们的安全凭证——然后轰的一声——你的安全小把戏结束了.

因此 — 虽然你不能有赖于HTTPS解决所有的安全问题,你绝对100%需要将其应用于你构建的所有服务上 — 否则完全没有任何办法保证你的应用程序的安全.

此外,虽然证书签名很显然不是一个完美的实践,但每一种浏览器厂商针对认证机构都有相当严格和严谨的规则. 要成为一个受到信任的认证机构是非常难的,而且要保持自己良好的信誉也同样是困难的.

Mozilla (以及其其他厂商) 在将不良根认证机构踢出局这项工作方面表现相当出色,而且一般也真正是互联网安全的好管家.

HTTPS 流量拦截是可以避免的

先前我提到过,可以很容易的通过创建属于你自己的SSL证书、信任它们,从而在SSL通讯的中途拦截到流量.

虽然这绝对有可能,但也很容易可以通过 SSL 证书钢钉 来避免 .

本质上讲,依照上面链接的文章中给出的准则, 你可以是的你的客户只去信任真正可用的SSL证书,有效的阻挡所有类型的SSL MITM攻击,甚至在它们开始之前 =)

如果你是要把SSL服务部署到一个不受信任的位置(像是一个移动或者桌面应用), 你最应该考虑使用SSL证书钢钉.

HTTPS(再也)不贵了

虽然历史上HTTPS曾经昂贵过,而这是事实 — 但再也不是这样了. 如今你能够从许许多多的web主机那里买到非常便宜的SSL证书.

此外, EFF (电子前沿基金会) 正要推出一个完全免费的 SSL 证书提供机构:

它会在 2015 推出, 并必然将改变所有web开发者的游戏规则. 一旦让加密的方案上线,你就能够对你的网站和服务进行100%的加密,完全没有任何花费.

请一定要访问他们的网站,并订阅更新哦!

HTTP 在私有网络上并不是安全的

早些时候,我谈到HTTP的安全性怎么是不重要的,特别是如果你的网络被锁上(这里的意思是切断了同公共网络的联系) — 我是在骗你。

而网络安全是重要的,传输的加密也是!

如果一个攻击者获得了对你的任何内部服务的访问权限,所有的HTTP流量都将会被拦截和解读, 不管你的网络可能会有多“安全”. 这很不妙哦。

这就是为什么 HTTPS 不管是在公共网络还是私有网络都极其重要的原因。

额外的信息: 如果你是吧服务部署在AWS上面,就不要想让你的网络流量是私有的了! AWS 网络就是公共的,这意味着其它的AWS用户都潜在的能够嗅探到你的网络流量 — 要非常小心了。

我早些时候有提到,HTTP可以用来代替队列,是的,我没说错,但这是一个很可怕的主意!

由于安全原因,放大服务的规模,是一个很可怕的,糟糕的注意。请不要这么做。

(除非这是一个概念证据,只为了造一个很酷的演示产品而已)

总结

如果你正在做网页服务,毫无疑问,你应该使用HTTPS。

它很容易、廉价,且能获得用户信任,没有理由不用它。作为码农,我们必须要承担起保护用户的重任,要做到那点,方法之一就是强制使用HTTPS、

希望你喜欢这篇文章,供君一乐。

赞 1 收藏 3 评论

图片 24

本文由无需申请自动送彩金68发布于无需申请自动,转载请注明出处:有感而发,Chrome开发者工具不完全指南

关键词: