哪怕做得再好,凡事强迫只会适得其反

王志勇 发表于 2018年10月21日 10:43

日有所思,夜有所梦。昨晚做了一个梦,梦见一个以前在一起玩儿过,但是没有深交情的小学同学。梦中我们有一个重要的合作项目,到了需要签约的时候,他却在打游戏,然后我一直在告诉他这个项目很重要,现在需要签约了。没想到他拿出他的身份证复印件,说出我如何不保护他的隐私……最后场面上升为……合作当然会彻底终止。

这个梦给我的启示是,哪怕做得再好,或者心再好,强迫只会适得其反。梦里的正确做法是等他打完游戏,或者和他一起打游戏,之后再谈合作。

梦中的这种强迫的场景是善意的。但我们生活中难免会遇到道德绑架,这种强迫是软性的,有时较难被察觉。例如在一个团体中,如果有人发起某件事,如果有不少人已经相继响应,但有人会觉察到这是不合理、或者不太合理的,会发现道德绑架原来真的发生在现实中。

凡事都应尊重自愿,在合情合理的前提下。

之所以做这个梦,还是因为受到https的困扰,被道德绑架了,别人都在用,你不得不用。如果一个个人博客用不用https,都无关紧要,但对于一个项目,涉及到多个域名、多个二域名,部署https那是相当麻烦的事情,劳民伤财。https只是提高了安全级别,http并非不安全。为了防止密码泄露,可以在用户发送密码前、服务器端都做加密处理,这样能达到https加密的相同安全级别。https只是提高了路由传输的安全级别,其余安全级别和http是一样的,都不能完全防止木马。

这好比原来用着很好的东西,突然间禁止使用了;原来在一个地方住得很好,突然要强制拆房子了。这种http末日突然出现的危机感,让人措手不及。尤其是谷歌浏览器出动了这个举措,让开发者陷入了一种恐慌──因为不用https,可能会失去不少用户。

安装SSL究竟有多麻烦?它比安装httpd、nginx、PHP整个花的时间还长很多。SSL本意是hash加密,通过shell命令直接安装SSL的这种自签名证书,较为简便,其安装时间和安装PHP差不多。但是重要的麻烦在于,这种自签名证书的网页,浏览器首先会有一个提示:此连接不受信任,立即离开/我已充分了解可能的风险。这种提示,会让用户误以为网页有病毒,实际与病毒无关。

自签名证书的网页出现这种提示,告诉我们,SSL还有另一个含义,需要使用第三方已经“认证”的证书,此时安装这个已经认证的证书,在shell命令下安装的组件相当多,花的时间相当长,近似于Linux主机下update命令所花的时间。hash加密,原本是几K~十几K之内能完成的程序,却关联了这么多的组件。如果只为一个hash加密,自签名证书足矣,而浏览器却默认屏蔽自签名证书。

对于一个个人博客,如果不怕上述的这个繁琐的过程,使用免费的SSL证书,需要用shell的自动定时任务2-3个月执行一次续费(0元)。但是需要迁移更换主机的时候,又需要再次经历这个繁琐的过程──安装SSL。

对于需要定期调试站点、迁移站点的人来说,安装SSL是相当麻烦的事情。

有很多的网友在论坛回复用https,仅仅是为了绿色的小锁,好看。ISP运营商的网页劫持(植入广告),我大概在六七年前偶尔出现过几次,后来出现的网页劫持,只出现在宽带快到期的续费通知。

如果将来这个免费SSL的平台不再免费,或者不再运营,大家还会选择用https吗?当然,到那时候,SSL的价格肯定会低到大家可以接受的程度。

现在国内现行的SSL主流价格,为一个域名21XX元/年,比我们的主机贵出十几倍、几十倍。国外的SSL价格大约是国内的1/5~1/2。
一个稍微有点规模的站点,在初期就需要考虑好流量分流,因此很可能至少需要5-10个以上的二级域名,以减少将来的改动,运营几个这样的站点,在SSL方面一年就要多出几万~几十万的无谓费用。而此时主机的投入,只需1000-2000元/年。

由此可以联想到,有的浏览器这样打压http,是不是与SSL销售商有很大的商业合作?因为这能收到一笔庞大的天价保护费。

如果在现场投票,使用https,还是http?我会给http举双手。

https肯定不是新技术,并非是这几年才出现的。在2004年的时候,甚至可能早于2004年,已经有SSL技术,以前大家浏览国外网站的时候,是不是经常能看到Verisign的带有一个√的标志?就是SSL。我在2004年的时候就经常看到这个Verisign √的标志。

只是这几年越来越多的站点在采用https,有很多的站点是为了https而https。由于这种软性的强迫,很多人不得不用。只有更多的人继续沿用http、鼓励http,http才能继续发挥它的优势,并且浏览器开发者在http的基础上不断在安全性上做文章。

https的调试中,测试结果是https无法调用http的任何元素,例如iframe、img、.js文件、无法post至http。为了解决这个问题,可以在https的站内建立一个php文件,用file_get_contents去调用http的链接,依然可以正常运行,这个测试结果说明https只针对客户端,而服务器则不会认为http是不安全的。想让https调用http,只有用file_get_contents()、或copy()等办法。

而https的页面post给http,就较为复杂。我想了这个办法,在https的站内建立一个php文件A,先post到页面A,写入的内容为数据库B,php文件A用file_get_contents()去触发http的php文件C,https的站内建立一个php文件D来调用数据库B,同时给php文件C写入语句读取php文件D、也就是调用数据库B。

而http post给http,则直接post,不需要上述的这些繁琐的步骤。

http一直在发挥它栋梁般的作用,如今有的浏览器举起大旗让http下岗,让人不得不惊慌。

2018-10-21 11:07 更新:
凡事都应尊重自愿,我还想到一个有趣的例子。11天前,我去买一只比利时兔。这只幼免有点大,目测应该能勉强装进运输笼。我把它的头装进笼子,它并不情愿,但是当它的头进入笼子之后,我发现它很可无法进入笼子,因为身体太大。

于是我后悔了,正当我使劲儿想把幼兔拉出笼子的时候,没想到它迅速地钻到笼子里,我顿时笑喷了。这种情景,养兔时很常见,越想让它出来,它越不出来。

人生何尝不是这样?

1条评论:
1   林海草原 2018-10-21 21:06
对于没有https的网站,尤其是个人博客、不出名的商业网站,我庆幸自己是用移动的网络在浏览。如果是联通,我会疯掉。电脑端还好,手机端会每天无数次跳转到恶心的网站,让你下载app。
免费的、且支持通配符的ssl证书,只有letsencrypt,三个月续期一次,“三个月”让一部分人觉得太短。不过我是习惯了。
后来换了主机商,主机商免费提供cpanel签署的非通配符的ssl证书,不用我费心,也还好吧,至少自己不用管了。如果到期之前没有续签,提交工单让客服给我处理就行了。这可能是虚拟主机相对于VPS的好处。
你真的很厉害,技术很高,自己开发博客系统。我发现那些自己开发的博客系统,几乎都是在thinkphp基础上的,而你的却不是。

自由勇 2018-10-21 21:16
谢谢!ISP的网页劫持在我这边的手机端,好像很少遇到过,也可能出现时没有留意。国内很多网站,比如下载站、百度搜索到的很多站点,有很多左下角、或右下角都有一个约200多像素宽的广告图片,这种现象我记得大概是从2004年左右吧,一起持续到现在。不知道你是不是指的这一种?或者论坛上很多网友说的ISP的网页劫持也是指的这个?
如果是这一种的话,很可能大多都是网站自己添加上去的(而非ISP劫持),因为我遇到的网页劫持,只有宽带快到期的时候,会有个这样的提示。比如自己的网站、博客的http页面,常访问别人的http页也从来没有没劫持过。
今天我顺便看了一下2005年-2010年时的一些博友,80%左右都关站了,余下的博客大部分也用http。可能过去大家都用惯了。

这个博客当初上线之前,经历过漫长的8个多月的结构构思。在上线之前,cutegd.com和http://ziyy.com/param/这2个博客,是纯HTML页。所有的页面当时都是手工编写HTML,包括首页、博客正文页、每月的存档页,每当更新一次,光是连接FTP就要多花费5-10分钟,手工更新那些页面的HTML就得多花费20-30分钟,不像现在博客发布是一键发布。

2003年时我花了很多时间维护、编写Webshu的原创教程。正好那个时候的PR值相当热门,那时国内PR值为5的网站都相当少,大概在2003年时我无意间看到很多的英文网站的PR值奇高无比,英文博客很多在7-8。就在那个时候我开始知道有Blog这个新鲜事物,于是2003年底我开始在几个英文博客留言,链接至我的webshu专栏,做梦没想到的是第2年,2004年去深圳,当时上网不方便,总算找了台电脑,查到我的专栏PR值竟然到了6,持续了半年。记得那时Webshu首页PR值也到了6,持续了几个月,后来降到5。
Webshu这个平台,我当时回答过网友的网页制作的问题超过3000次,网站的Alexa排名3万多名,在2003-2004年,持续了半年以上。

之后我继续关注英文Blog,留言时把链接指向cutegd.com,当时也没多关注,结果就是这样一个比较普通的Blog,PR值轻松冲上了5。

auiou.com其实是我的第2个程序作品。之前的第1个程序作品是Webshu的网页论坛。
平时工作繁忙,构思了8个多月,最后在10天的时间里从0到完成,在2006.5.31开通。

从0编写一个个人单机版的博客程序,相对还是比较容易的,其实比折腾WP要容易得多。程序的坑太深,花费的时间过于惊人,博客嘛,常更新就好。:)

自由勇 2018-10-21 21:47
因为Google废弃了PR值,所以很多博主没有了写博客的动力,相继关站。

发表评论:
名字: (*必填)
博客: (可省)

正文:

  记住信息?

直接发送Trackback到此文章

说明:本评论系统不支持HTML代码。(您的留言需要审核,审核规则请见这里。)

王志勇:1980-09-26 (38周岁)
程序设计,前端设计。

版权声明:本博客所有文章,均符合原创的定义,禁止转载,违者将必究;正确的方法是贴原文的标题和网址即可。

与此相关的链接
自由勇专栏

Blog存档 Archives

2018年11月
2018年10月(30)
2018年09月(17)
2016年-2017年(9)
2014年06月-09月(10)
2013年 +

2012年 +
2011年 +
2010年 +
2009年 +
2008年 +
2007年 +
2006年 +
2005年09月(4)

Copyright © 2006-2018 auiou.com All rights reserved.
此Blog程序由王志勇编写 已经发布在Arsue