ModernWeb 2021 與會隨筆(10/12~10/15)

-

Modern Web 2021 共筆

10/13

依照古法、純手工打造的視訊聊天網站,不純免錢!/

  • GitHub 範例程式碼

  • 確認是否有在線上:long polling or websocket(比較建議用後者)

  • 取得麥克風和鏡頭權限:MediaDevices.getUserMedia()

  • 用 WebRTC 傳送串流資料:socket.io

    • Signal Server:peer.js。Signal Sever 的作用類似媒人婆,介紹雙方的資訊(Session Description Protocol,SDP,紀錄 IP、agent、decode、encode 等資訊),雙方認識後就讓他們點對點直接溝通,不必再透過媒人婆溝通

    • 如果是內網 IP,會透過 NAT(Network Address Translation)轉成 public IP

    • STUN(Simple Traversal of UDP over NATs)、處理不同網路的連線(via TURN server):不知道這兩個是啥,暫且搜尋到這篇介紹:明辨STUN/TURN協定 輕鬆跨越NAT建立連線



10/14:測試

八個沒人告訴你的網頁自動化測試挑戰/ 林佳妤(Melo)

    主要針對 code less 的工具而言(用螢幕錄製的方式製作 test case),例如 Selenium IDE

  1. 測試「滑鼠滑過元件後要發生指定變化」,錄製時會錄到非目標的「mouse over」事件。解一:選擇目標 mouse over。解二:調整敏感度

  2. 按鈕被別的東西擋住,使用者按不到,但測試按得到,造成測試通過,但其實功能不合格。解:verify visibility

  3. 如何確認按鈕已經 disable?

      有 HTML 和 CSS 兩種方法可以 disable 按鈕,檢查是否有使用其中一種方法

    • HTML:disable 屬性

    • CSS: 解一:用 get computed style 計算 pointer-events 屬性(需要比較多程式背景知識)。解二:verify css(code-less)

  4. 在某些網頁,播放後輸入值沒有寫進 input 欄位。解:sendKey 後下 blur 指令(unfocus input 欄位)

  5. sendKey 和 editContent 的差別:前者比較像是模擬使用者用鍵盤操作,後者是編輯元素的 innerHTML

  6. code less 工具如何避免重複的操作(例如測試某些功能之前都要先登入)。解:單獨錄製 login,然後在需要登入的測試中 include login,就可以重複使用 login,而不需每次都做一個新的 login

  7. 擷取元素更多屬性

    • storeElement:把一個元素存到變數裡,用變數存取屬性

    • storeElements:把符合條件的元素(可以不只一個)存到陣列裡。可取得元素原生屬性(HTML、CSS),其他屬性可能無法取得

  8. Viewport 大小 vs. Window 大小。前者不包括瀏覽器的側邊欄、分頁欄、書籤欄等等,RWD 建議測 Viewport 比較準,因為不同瀏覽器 Viewport 比例可能不同。


做 A/B Testing 好難,你有試過 Google Optimize 嗎?/ 賴學誠(Kyo)

  • 好的 A/B Testing,每次變量只有一個

  • 體驗 -> 分析 -> 改善 -> 體驗 的循環

  • Google Optimize 原理:把修改的部分存一份在 google 那裡,符合條件的使用者會去 google 那裡抓回來套用在客戶端。所以不用改產品的原始碼,也可以做 A/B Testing

  • Mod Header 無法模擬區域限制,要用 VPN


API 開發、測試、除錯一次到位!使用 MSW 深入淺出 Mock API/ Yuri



10/15:資安

接觸資安才發現前端的水真深/ 胡立(Huli)


機智踩雷生活/ PD Lee

  • 駭客年會第一屆地下網管二十年(駭客友善年代)

  • Apt 攻擊(客製化的攻擊) => 沒有 total solution

  • Incident Response(被入侵後要怎麼辦):修補漏洞、保留數位證據(上法庭用)

  • 什麼是紅隊演練

  • 資安驗收方法

    • OWASP top ten:用這個作為驗收標準是不夠的,攻擊不只最熱門的這十種,而且舊的攻擊手法也要防範

      OWASP testing guide:要用這個作為驗收標準才對

    • 白箱檢測比較建議用在開發階段

    • 紅隊檢測是檢查整個網路環境,比較不適合用在驗收單一系統

    • 滲透測試:若能找到厲害的滲透測試人員,則能做完整檢測。但成本高,通常只用在重大系統的驗收

  • EditThisCookie - chrome extension

Comments

Post a Comment

Popular posts from this blog

Alpha Camp 全端開發課程學習心得

-
我喜歡邏輯,在哲學系求學時期,我花最多時間的科目,是形式邏輯。但是我一直不明白這個我相對擅長的科目,到底能用在什麼地方。我的邏輯能力,並沒有好到足夠讓我走上學術研究的路,那麼,或許我可以試著寫程式? 學生時期的我,自認沒有錢,但是有時間。捨不得花錢去上程式設計課程,寧願自己找資源學習。去上過一些免費的程式入門課程,c++ 和 python,對我而言不是很難,但是學完之後,我還是看不出來,要怎麼靠學到的東西解決生活中遇到的問題,漸漸地就沒有動力繼續學下去。 直到出社會,存了點錢,也漸漸體會到時間的重要,終於捨得花錢投資自己,到 Alpha Camp 上專業的課程,而不是無頭蒼蠅自己亂找一通,省下許多時間,也看到自己學的東西是真的能用的,讓我有動力繼續學下去。 我還記得學到串接 api 的時候,心裡真是太激動了。以前在學免費課程時,就隱約有種「我寫的程式,範圍只侷限在我的電腦上」的貧瘠感覺,而在知道了 api 後,發現「我寫的程式可以跟世界接上線了」,頓時覺得自己非常富有。不過,後來才知道,串別人的 api 服務通常是要付費的。 大概是受了形式邏輯的影響,我在學習程式語言時,總是試圖去辨認,哪些東西是比較基本的,基本的東西是透過什麼樣的規則組合出複雜的東西。例如,變數、array、for 迴圈和 function 是基本的東西,可以用這些基本的東西組合出 array 的 reduce 方法,像這樣: function mimicReduce(array, reducerFunction, initialValue) {     if (initialValue) {         let accumulator = initialValue         for (let i = 0; i < array.length; i++) {             accumulator = reducerFunction(accumulator, array[i])         }         return accumulator     } else {         let accumulator = array[0]         for (let i = 1; i < array.length; i
Read more

在 javascript 用 regular expression 為金額加上千位數分隔符號

-
 為了方便使用者快速判斷金額,所以想加上千位數分隔符號。例如: 3000 --> 3,000 3000000 --> 3,000,000 搜尋資料後,結論: 如果數字有小數點的話,可以用  const amount = '3000.00' amount.replace(/\B(?<!\.\d*)(?=(\d{3})+(?!\d))/g, ',') 參考資料: Javascript之數值千分位符號(Comma)的顯示 如果沒有小數點的話,可以用  const amount = '3000' amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',') 參考資料: [Javascrpt]轉換數字成含千分位的文字   不過這個鬼畫符的語法我完全看不懂,查資料的時候一度不肯相信這是真正的程式碼呢⋯⋯因緣際會在讀書會中,得到 Helix 同學提示的關鍵字「 regular expression」,決定試著弄懂,「amount.replace(/\B(?=(\d{3})+(?!\d))/g, ',')」到底是什麼意思。 一、 String.prototype.replace() - MDN 範例:我不小心把 world 拼成 word,想要把句子裡所有的 word 都替換成  world。 const text = 'Hello word! Hello word!' console.log(text.replace('word', 'world')) 結果印出 Hello world! Hello word! 很不幸地,只有第一個錯字有替換,其他錯字都被放生了。如果想要替換全部的 word,就要這樣寫: const text = 'Hello word! Hello word!' console.log(text.replace( /word/ g , ' world '))
Read more

shop_platform - sqlalchemy.exc.TimeoutError

-
發生的問題 啟動伺服器後,第二十一次請求「需要查詢資料庫」的頁面時,會出現「sqlalchemy.exc.TimeoutError: QueuePool limit of size 10 overflow 10 reached, connection timed out, timeout 30.00 (Background on this error at: https://sqlalche.me/e/14/3o7r )」的錯誤訊息。如果請求是不需要查詢資料庫的(例如靜態檔案或前往登入頁面),就不會發生此錯誤。 把 size 和 overflow 設定成更小的數字,可以更快重現這個錯誤 。 感覺起來,就像查詢完資料庫以後,沒有把 connection 釋出一樣,導致「size + overflow」是多少,就只能查詢多少次資料庫。 發現瀏覽器每向伺服器請求一次「需要查詢資料庫」的頁面,在 MySQL Workbench 用 show PROCESSLIST; 指令的查詢結果就會多出一筆資料,筆數達到 size + overflow 時,若再次請求「需要查詢資料庫」的頁面,就會噴 QueuePool limit of size 10 overflow 10 reached 的錯誤。關閉伺服器時,那幾筆資料才會被刪除。 嘗試過但失敗的方法 app.run(debug=False) 自己註冊一個關閉 session 的函式 @app.teardown_appcontext # 改成 @app.teardown_request 也沒用 def teardown_db(exception): db.session.remove() # 改成 db.session.close() 也沒用 print('***** session.remove') # 這一行有印出來,所以此函式有被執行 把 FLASK_ENV=development 拿掉 ,於是 FLASK_ENV 變成預設的 production app.config["SQLALCHEMY_COMMIT_ON_TEARDOWN"] = True 終於成功的方法 第一種方法:用 Ap
Read more