Weekly Issue 2023-10-22

文章链接到标题

技术链接到标题

[[CloudFlare]] 关于 [[HTTP-2]] 快速重置攻击 DDOS 分析。写的比 [[Google]] 这篇要好： How it works: The novel HTTP/2 ‘Rapid Reset’ DDoS attack | Google Cloud Blog 。

被取消的请求流会快速过渡整个流生命周期。 END_STREAM 标志设置为 1 的客户端 HEADERS 状态从空闲状态转换为打开状态再到半关闭状态，然后 RST_STREAM 立即导致从半关闭状态转换为关闭状态。
回想一下，只有处于打开或半关闭状态的流才会影响流并发限制。当客户端取消流时，它立即能够在其位置打开另一个流，并可以立即发送另一个请求。这就是 CVE-2023-44487 能够发挥作用的关键所在。

Better HTTP server routing in Go 1.22 - Eli Bendersky’s website](https://eli.thegreenplace.net/2023/better-http-server-routing-in-go-122/)

[[Golang]] 1.22 中会引入一个增强了模式匹配能力的默认HTTP服务器多路复用器(http.ServeMux)。新的multiplexer 支持指定HTTP方法的匹配、路径通配符匹配、路径结束符匹配等，避免了路由冲突。

The price of managed cloud services

[[37Signals]] 每个月要在搜索功能上花费 43333$ ，而切换到自建机房之后，只需要3个月就可以收回成本。并且切换回自建机房后，并没有扩大团队规模来支撑新的服务。

The team it takes to run our scale of operations in the cloud wasn’t any less than what it takes to run that same scale on our own hardware.

开源软件有漏洞，作者需要负责吗？是的！

服务的提供者和软件的提供者，是有本质的区别的。哪个软件不是一堆软件堆起来的，属于供应链安全问题，最近看到 [[SBOM]] 提到的次数越来越多了，也都制定了相关的标准，在描述 [[SBOM]] 的时候经常能看到类似的话术： After a software vendor creates an SBOM, it is their responsibility to maintain and update it SBOM as application components change. 但是这里的 responsibility 会有什么后果，好像没有看到具体的说明。

A very stupid bug - Xe Iaso

任何动作都可能失败，在关键路径上尽可能的多打印一些日志。遇到问题之后作者的分析方式是值得学习的。

PromQL 备忘 - Jiajun的技术笔记

现在偶尔需要使用 [[PromQL]] 的话，通常是问[[ChatGPT]] 。

building a cheaper kubernetes cluster at home-Devin’s Blog

在 [[Orange Pi]] 搭建 [[kubernetes]] ，看着折腾起来没什么坑，但是我选择虚拟机。

We Have To Talk About Flask - miguelgrinberg.com

[[Flask]] 在 3.0 版本中引入了不兼容的改动导致 Flask-Login 无法工作，作者总结了[[Flask]] 历史版本中不兼容的改动，以此来说明社区不重视向后兼容的问题。

向后兼容的保证太难了，公司内部的组件产品，几乎没有遵循 semver 的。

My First Impressions of Nix · mtlynch.io

[[NixOS]] 使用体验记录，作者主要和 [[Ansible]] 来进行对比，虽然他们可以达到的目标是类似的，但是感觉不是一个层面的东西。根据已有的资料来看，目前最佳体验是在 x86_64 上使用，其他架构的不建议。周末也折腾了下，初步处于可用的状态。