MFA 的局限性及其易受各种攻击的影响，并提出采用 FIDO2 标准和其他改进措施提升安全性。

#安全

https://levix.notion.site/MFA-How-MFA-is-falling-short-0682c72aefdf4a2fb78462046e510733?pvs=74

信息过载正在损害我们的思维能力，类似于工业化生产的糖成为健康的威胁。

#思考

https://levix.notion.site/The-Intellectual-Obesity-Crisis-aa5ca8a437e54dc4a6ffc56d7580ec77?pvs=74

月球表面高清图片

https://old.reddit.com/r/space/comments/wtl9fj/two_years_ago_i_teamed_up_with_a_fellow_redditor/

打造 Web 性能文化的最佳实践

#性能

https://levix.notion.site/Web-Best-Practices-for-Creating-a-Culture-of-Web-Performance-bf2b15ac361445f6a516297787d2a28a

理解和优化下一次绘制交互 (Interaction to Next Paint, INP)

#性能 #性能优化 #INP

https://levix.notion.site/Interaction-to-Next-Paint-INP-Understanding-and-Improving-Interaction-to-Next-Paint-INP-9456f72eb5e04378b61894c5fed6dba1?pvs=74

一个用于直观比较两个 PDF 文件的简单工具。

#Tools #pdf

https://github.com/vslavik/diff-pdf

Docmost 是一款开源的协作文档和维基软件，作为 Confluence 和 Notion 等软件的开源替代方案。

#Tools #协作文档

https://github.com/docmost/docmost

近年来，商业航班遭遇的湍流事件明显增加，有时这些湍流是意外的并且非常严重，导致乘客受伤、紧急降落，甚至罕见的死亡事件。湍流可以由多种因素引起，包括天气前线的空气混合、地形和山脉引起的扰动。例如，2024 年 5 月，新加坡航空 SQ321 航班在缅甸上空遭遇严重湍流，起初被认为是晴空湍流事件，但后来证明是由快速发展的风暴引起的。

晴空湍流（CAT） 是一种通常发生在高空的大气现象，那里通常天空晴朗，条件较为宁静。与伴有雷暴和其他可见天气系统的湍流不同，CAT 通常无法通过视觉识别。 研究表明，CAT 事件的频率和强度在过去几十年中显著增加，这与气候变化有关。例如，Prosser 等人（2023 年）的研究分析了 1979 年至 2020 年全球的 CAT 趋势，发现在飞机巡航高度，尤其是在中纬度地区，经历 CAT 的概率显著增加。例如，在北大西洋，轻度或更严重的 CAT 年总持续时间增加了 17%，中度或更严重的 CAT 增加了 37%，严重或更严重的 CAT 增加了 55%。

CAT 事件增加的主要原因之一是急流的加强，这是由地球变暖驱动的。随着全球气温的上升，赤道和极地之间的温度梯度变得更加明显，加强了急流，增加了湍流的可能性。 CAT 对航空业提出了多项挑战。在美国，CAT 每年估计会给航空业带来约 2 亿美元的成本，包括额外的机身疲劳、维护以及乘客和机组人员受伤的可能性。由于 CAT 难以预测且通常没有预警，它仍然是一个重要的安全问题。

#气候

https://www.flightradar24.com/blog/is-cat-more-common/

15 年前 Marcus 给年轻自己的编程建议。

1. 解决问题的根源：在团队中，如果存在易于引发错误的系统问题，应主动解决，而不是被动应对。例如，他通过修改 iOS 开发中的订阅层，解决了UI更新只能在主线程执行的问题，从而消除了整个类别的崩溃。

2. 质量与速度的权衡：根据项目环境的不同，合理评估代码实现速度与正确性之间的平衡。在数据处理等影响较小的项目中，可以依赖系统快速迭代；而在涉及金融数据和个人信息的产品中，则需极度谨慎。

3. 提升工具熟练度：无论是重命名、查找引用还是使用浏览器开发工具，熟练掌握编辑器快捷键、操作系统和命令行等工具可以极大提高效率。

4. 简化问题的复杂性：当面临难题时，尝试从高层次简化问题，识别并解决偶然的复杂性，这有助于简化问题并为未来的变更铺平道路。

5. 深入理解问题：在解决bug时，不仅要修复表面问题，还要深入挖掘，理解系统的不变性，从而构建一个清晰、易于维护的系统。

6. 利用版本控制历史：在某些情况下，通过查看git提交历史来追踪bug的起源是非常有价值的，这有助于发现问题的根本原因。

7. 接受不完美的代码：在创业初期，追求完美可能导致资源耗尽。通过快速编写代码并从中学习，可以更好地平衡技术债务和产品迭代。

8. 使调试变得更容易：通过各种技巧简化调试过程，如使用命令复制用户数据、追踪请求、限制并行度等，可以显著减少调试时间。

9. 团队协作：在团队中，不要害怕提问。经验丰富的同事可以提供快速的答案，节省时间。

10. 快速迭代：快速且频繁地发布功能对于创业公司至关重要。这需要一个不易出错的系统、快速的团队协作、预
见性地削减功能、可复用的模式、快速部署和高效的开发流程。

#编程 #思考

https://mbuffett.com/posts/programming-advice-younger-self/

现代前端构建系统的不同步骤、开发工具及最新趋势。

#前端 #构建工具

https://levix.notion.site/Exposition-of-Frontend-Build-Systems-ad627f4739a642c19de246b4739c8bbe?pvs=74

Chrome 127 版本中 DevTools 的新增特性

#Chrome #DevTools

https://levix.notion.site/Chrome-127-DevTools-What-s-new-in-DevTools-Chrome-127-1f1ead1b1a5b4ee79fea2e655a02100f

脚本完整性（确保脚本在传输和执行过程中不被篡改的特性）

在这篇文章中，探讨了Web开发中的一个关键安全特性——脚本完整性（Subresource Integrity，简称SRI）。文章首先提到了polyfill.io项目，这是一个曾经流行的项目，它通过基于特性测试和用户代理嗅探来自动填充所需的Web平台特性。然而，由于从不受控制的域加载脚本，用户可能会被重定向到赌博或成人网站。文章强调了从第三方域链接资源的风险，并提出了使用`integrity`属性来保护资源不被恶意更改。

脚本完整性（SRI）的重要性：

1. polyfill.io项目由于从第三方域加载脚本，用户可能会遭遇恶意代码的重定向。

2. 链接到不受控制的域上的资源存在风险，例如Google Analytics和Adobe字体，尽管它们是可信来源。

如何使用SRI保护资源：

1. 使用`integrity`属性和哈希值来确保脚本或样式表的完整性。

2. 如果第三方资源发生变化，即使是一个字符，浏览器也会拒绝执行该脚本。

SRI的局限性和使用场景：

1. SRI适用于不经常更改的版本化资源。

2. 不适用于允许更改的资源，或者你打算更改的资源。

polyfill.io问题与SRI的关系：

1. 如果polyfill.io的初始响应或内容在创建完整性值后被更改，SRI可以阻止恶意更改运行。

2. 但是，如果polyfill.io加载的额外内容（即polyfills）被更改为恶意内容，SRI可能无法阻止。

如何自行实现SRI：

1. 可以使用Web平台特性自行实现SRI，无需第三方提供。

2. 推荐使用SRI Hash Generator网站生成哈希值，但作者提到该网站可能存在问题。

3. 注意CORS策略，使用`crossorigin="anonymous"`避免CORS错误。

结论：

1. SRI是提高Web应用安全性的有效手段，尤其适用于保护版本化且不更改的资源。

2. 通过正确使用SRI，可以减少中间人攻击的风险，提高Web资源的安全性。

#安全

https://frontendmasters.com/blog/script-integrity/

且看且珍惜。

#吃瓜

https://github.com/ShiArthur03/ShiArthur03

Next.js v15.0.0-rc.0 新增部分预渲染（Partial Pre-Rendering，简称 PPR）功能，这是 SSR 和 SSG 之外的另一种全新渲染模式。PPR 当前为实验性功能，在 Next.js 配置文件中启用 experimental.ppr 可以使用。

PPR 是 Next.js 提供的新预渲染模式，结合了 SSR 和 SSG 的优点，实现了页面部分静态和动态渲染的灵活性。尽管它仍处于实验阶段，但其在优化性能和提高开发体验方面展示出来的潜力，使其成为前端渲染模型中的理想选择。随着 PPR 正式发布，可能会进一步推动应用的性能提升和用户体验的改善。

#SSR #PPR

https://zenn.dev/akfm/articles/nextjs-partial-pre-rendering