HSTS指的是HTTP严格传输安全协议HTTP严格传输安全协议,它可以使我们的上网更安全。

本站已经使用了https,当你访问本站的时候,你会发现地址栏旁边有一个锁。这个锁说明你的浏览器和网站的服务器在沟通的时候采用了加密。所以当你这本站输账号密码等等敏感信息的时候,你就可以不用担心这些的信息被黑客劫持。

但是你有没有想过,其实https并不安全。不安全的前提是你并没有输入完整的网址。

我个人很少遇到有人会在上网的时候手动把https这种协议头补全的,所以说浏览器就会先发出一个HTTP请求,这个请求适可劫持的。发出请求之后,服务器再通知浏览器跳转到HTTPS,当然这个过程也是可劫持的。也就是说,你尽管用HTTPS也不安全。

那么好了,这个不安全的前提就是你用了http的协议头,然后浏览器又不知道这个网站要跳转到https,所以在请求过程中就会发出一个未经加密的流量,你的信息就可能会被劫持。

2012年11月,HSTS标准被制定出来,这么一套标准很大的程度上解决这个问题。

这么一套标准的原理就在于它可以让你的浏览器知道某些网站必须得用https。

在这边我们简单的描述一下使用HSTS的浏览过程:首先你输入一个HTTP的网址,网站先发出一个HTTP请求,服务器告诉浏览器网站使用了HSTS,浏览器把这个信息记录下来,当你再次输入这个网站的某一个http网址时,浏览器就可以自己将http转换成https,这时候就可以发出https请求。

这样一看,HSTS的浏览过程还是存在漏洞的,因为浏览器一开始也不知道网站可以用HSTS,所以才刚开始就会发出一个http请求,这么一个请求还是可以被劫持的。

这个问题的解决方案,就是让浏览器在发出请求之前就可以知道网站使用HSTS。解决方案之一就是制定个文档,把所有可以使用HSTS的网站列出来,让浏览器查询一下这个文档就可以了,Google就在这样做。当然还有另外一个解决方案,就是把是否支持HSTS这个信息添加到DNS服务器里面去,目前这么个解决方案还没有得到普遍的实施。

当然,这么一套标准也会带来一些问题。HSTS设置了一个有效期标头,在有效期里面,浏览器在访问这个网站的时候就会一直使用https。那么如果网站在有效期内那个https证书失效了呢?那么浏览器在没有删除HSTS记录的情况下就不能浏览网站了。

目前本站已经启用了HSTS,并设置其有效标头为六个月。也就是说,从你现在第一次访问网站开始,之后的六个月浏览器就会一直使用https访问网站。那么六个月之后会不会失效了呢?除非你在六个月之内一直不访问网站,HSTS不会失效。你在六个月里一访问网站,HSTS的六个月会重置计时。

没错,今天我们谈伦理。伦理是指在处理人与人、人与社会相互关系时应遵循的道理和准则。

人发展到一定程度,就对周围的事物负有责任。比如说「我们不能将一个脏乱的环境留给后代」。

为什么不能?那些动物不也呼出二氧化碳导致全球变暖(误)。其他动物也有污染环境的时候,那么为什么它们不负有这一责任呢?

第一,人和这些动物不具有可比性,因为我们污染环境的能力不一样。其他动物“放飞自我”所产生的污染是可以被自然恢复的,因为它们也是自然世界的一部分。

因天然原因造成的山火可以防止因高大树木多造成的树苗无法生长。(此处是从科普书上看到的)大自然能接受天然山火产生的温室及其有害气体,因人为原因造成的山火就不一样。

人的破坏力相比之下太大了,我们应该约束自己。环境污染影响到了我们和其他生物的生存与发展(损害了资本家的利益)。中国看见了如果不保护环境地球的未来,所以中国愿意放弃当下的部分经济利益,投资长远的未来。

「保护环境」是不利影响给我们的责任,推动社会舆论驱使我们这么做。还有责任是设身处地后获得的,比如「不得弃婴」「不得虐待动物」。

婴儿是一个生命。我们不能抛弃生命,因为我们也是生命且不想被抛弃。

什么是虐待动物?杀猪?吃猪肉、羊肉、狗肉好像再平常不过了,如果正常杀它们都算虐待动物,那……我个人认为在这个问题上我们应该套用自然法则(不是所有问题都可以套用,例如「保护环境」)。自然法则就是弱者强食,并且动物的肉、肝脏里有营养成分,肉在没有宗教信仰下是可以吃的。

之前刷到一个「电击小白鼠」的视频,视频简介挺有玩味,内容实在不敢目睹。我认为,这便算「虐待动物」。我们没有强制买金鱼要成双成对(声称金鱼怕孤独),也没有禁止油炸动物,但这点道德底线是要有的。我们的法律禁止我们那样做。

网站被中国移动屏蔽了,目前还未恢复。2021.10.31

十月Flags

  • 未成年建博客的烦恼
  • 红绿灯的优化
  • K站代理法 镜像文件法
  • 博主之声
  • 魔王学院的不适任者

之前是不是忘记发布九月的计划?现在补发一下。

  • 站长论坛
  • 千年虫病毒
  • WordPress本土化项目
  • 云人类云玩家
  • 社交礼仪
  • konachan合法图片镜像
  • 网址安全中心
  • 个人博客https最佳实践




我把网站杂七杂八的通知写在一起,是因为我不想整个首页都是我的通知。

我初三了,是一个不到一年就要中考的学生。某某人说:“中学生有这个爱好值得鼓励,但更应该把精力放在更重要的事情上。”我现在真的觉得要缓更了。

缓更不是不更。我仍认为写博客是一个有意义的事情,另外如果停更,我的十年之约会被标记违约的。最主要的原因是“写博客写习惯了”。

最近没更新的原因是“没素材了”,一直想不到比较好的素材,又不愿意“水”文章。

另一位同学已经不更新了,也许他要把写文章的时间用来学习了吧。

我现在的梦想是博客。学习,然后考上一个好学校也许会更有利于我的梦想。那么,学习吧!

现在已设置“只能在周末登录WordPress”。

2021.9.24




之前写了一个关于三月,现在写一个关于八月。

八月,我们几(现在只有两位了)位学生作者就要去学校了,只能在周末时间发文章(有时候连周末也没有时间发)

让我细数我这假期网站的大事。

  1. 使用Cloudflare (在Cf统计中发现原来有那么多的国际访客,惊喜!)
  2. 使用免费SSL证书,开启HTTPS
  3. 关闭动漫图片API
  4. 尝试「文章友链」项目
  5. 邮件美化
  6. 组建了作者群

以上是完成的目标,以下是那些一直没完成(或不想完成)的目标。

  • 英语if和whether用例分析(感觉写了好低级)
  • 谈责任(议论文……不太妙)
  • 汉服(本身就不懂)
  • 给标签添加简介(网络受限)
  • 网站如何优化用户体验(本站的用户体验也不怎样)
  • 女装入门整合(版权受限)
  • 续费主机和域名(贫穷限制我的行动)
  • 网站推荐(忒没意思还忒水)
  • 动漫推荐(在本文评论区达成)
  • 组织文化(略,其实是懒)

这个假期发现:之前轰轰烈烈地列下计划,到头来啥也没弄成。




上面是7月20几号写的关于七月的计划,八月我也制定了一些计划(完整的计划我用横线划掉):

  1. DNSsec设置(百度智能云不支持)
  2. TLS1.3相比于1.2的优势
  3. 提醒夸克支持HSTS
  4. archive.org爬取
  5. 我的搜索引擎观
  6. mime标头嗅探
  7. 谈博客的广告
  8. 画画为什么要画得像?

感觉这个八月过的挺值,网站收获了许多朋友,也见识了许多东西。现在学校通知8月31号到校报到,此后上学的日子争取周更。2021.8.28