http://www.antirez.com/news/96

昨天一服务器被黑，从 auth.log 发现有陌生 IP 居然可以通过 public key 登录，排查后发现是因为 Redis 不规范使用造成的：

1. root 启动了 redis 实例，默认端口 6379，没有 bind IP，没有 auth 验证
2. 被扫描到可以远程登录，config set dir /root/.ssh 修改数据保存路径，config set dbfilename "authorized_keys" 修改数据保存文件名
3. 把 key 写入 redis，bgsave，即可用 key 登录

简单威力大。修复预防：

1. 禁止 root 启动 redis
2. Bind IP，本机＋内网就可满足绝大数服务
3. 修改默认端口
4. 开启 auth 验证

由于移动互联网的火爆，前后端分离的开发模式越来越流行：后端通过 API 提供数据，前端 native or web 做数据展示交互。那么谁能把吐数据这件事做的又快又好，谁就比较适合做服务端应用开发。

2011年我们开始用 OpenResty(ngx_lua) 作为服务端应用解决方案，最近一个项目换用 Go，简单做个对比：

ngx_lua:

1. 快，和 nginx 简直绝配，尤其是分执行阶段进行操作
2. 同步方式写异步非阻塞，相比 Node.js 回调，代码体验好
3. 但还不够好，欠缺在开发效率，社区丰富程度，我们这些使用者也有责任
4. Lua 语言非常棒，简单高效，但相较于其他语言这些年进步太慢
5. LuaJIT 让性能爆表，但只兼容到 Lua 5.1，见过很多因为用错版本而引发错误。原开发者不再继续维护，转有 CloudFlare 接手，后续有一定不确定性 via
6. nginScript 现在和 ngx_lua 完全没有可比性，未来很难说，毕竟有官方支持，加上 js 一统江湖的趋势
7. nginx 本身主要处理 HTTP 业务，适用范围相对有限，不过现在有了 TCP Proxy，后面想象力也会很大。

Go:

1. 静态语言
2. 学院派看 Go 语言的设计有很多缺陷，但从工程的角度，简单，规范，标准库丰富
3. 开发效率高，自测性能在 ngx_lua 70% 左右，大多数情况下完全够用
4. goroutine + channel，同步方式写异步
5. 方便的工具链，go fmt/doc/test/pprof
6. 跨平台编译，单二进制文件，部署方便
7. 虽然有 go get，但一开始没有原生包管理是很大的失败，现在社区已经分裂出 godep/govender/nut/gb/glide/gopkg.in 等等

1. 新项目主要做管理后台的前端开发，发现我还挺喜欢写前端的。
2. Web vs Native，由于微信网页应用的助力，web 已然赢了，作为代价，要接受 H5 这个叫法。
3. 工作内容转变，除了开发，运营、管理都开始接手，加油。
4. 把老张从杭州拉到北京，一起做事。
5. 十一回家又醉酒一次。

vimdiff a.txt b.txt

• ]c - 跳到下一个差异点
• [c - 上一个差异点
• dp - diff put, 将差异点的内容从当前文件复制到另一文件
• do - diff get, 相反，从另一文件复制到当前文件

1. 新项目管理后台开发，依然是 Angular+Material，npm+browsersync+jshint+tern，这套组合目前很对我的胃口，开发效率不错。
2. 感叹前端的飞速发展，一下发现新东西，比如 tern，tsd，再一下发现在用的东西已经过时，比如最近在流行 React+Alt+Flux，Angular 2 再不出来真的连汤都没了。
3. 社区项目维护开发，居然也有小 30 commits，服务性能上有一些提升。
4. 苹果出新手机，然并卵，毕竟穷。电脑升级新系统，看起来可以再战一年，如果不开 XCode 的话。
5. 十一回家，最高兴的是，刚到家的时候六六自己跑过来抱抱，那一刻心都化了。

Growth hacking 是市场运营通过技术形式获取用户的方法，包括数据分析，社交网站，EDM 等，据说 Facebook 还有专门的 Growth Team。今天见识了这种方法的力量。

起因是乌云的这篇文章：XCode编译器里有鬼 – XCodeGhost样本分析，Xcode 被挂马，网易云音乐中招，看后顺手测了自己常用的应用，发现另外几个中招，在群里吐槽后就没再继续关注，之后又看见微博有人在转，就发了 Twitter：

通过 Charles 抓包，会向 http://init.icloud-analysis.com 发请求的有网易云音乐，中信银行动卡空间，12306，滴滴打车 #XcodeGhost 13:41

发之前就在想这个肯定会爆掉，但没想到有这么火爆：

1. 迅速被 RT，涨 fo。
2. 约十五分钟后被转发到微博，包括 @Fenng，@onevcat 等大 V 二次转发。
3. V2EX，知乎，36kr，iApps，虎嗅等科技网站发帖，有引用 Twitter 链接/截图 1 2 3 4 5
4. 15:10 腾讯科技 App Store遭病毒入侵 网易云音乐等中招，而且他们应该是有通过 Linkedin 查看我的工作信息，之后该文被其他多家引用。

根据 Tweet Activity 统计，原推一共 impressions 14000+，engagements 1300+，RT 170+，followers 增长 100+，考虑到访问 Twitter 的困难，这个数据还是非常恐怖的。微博的量应该更大。

这是 Growth hacking 的一次直观感受，如果产品推广也能有这样的效果该多好 :D

作为开发者，#XcodeGhost 要引起重视:

1. 正当渠道下载应用，不限于 Xcode，检查签名/checksum。
2. 用到的第三方 SDK 也要检查来源，设想微信 SDK 被调包？！
3. 重视安全，一旦被人发现没穿裤子，负面信息足以摧毁一个产品。

M.Conway:

organizations which design systems … are constrained to produce designs which are copies of the communication structures of these organizations.

软件系统的架构反映了公司内部的组织结构、团队间的通讯结构。

ctrlp.vim 是个非常棒的 vim 插件，可模糊搜索文件、buffer、mru 等等，原生 vim-script，相比 Command-T 更为友好的安装，速度上也没有差多少，所以几年前知道这个插件就一直在用，最近才发现原作者从 2013 年就不再维护更新，另一个社区版更为活跃，也加了不少新功能。

社区版地址 ctrlpvim/ctrlp.vim，支持扩展功能，也就是 vim 插件的插件，其中 ctrlp-funky 可以在当前文件内定义的方法之间跳转，类似 Tagbar/Taglist，但不依赖于 ctags，算是个精简版。

Plugin 'ctrlpvim/ctrlp.vim'
Plugin 'tacahiroy/ctrlp-funky'

let g:ctrlp_extensions = ['funky']
let g:ctrlp_funky_syntax_highlight = 1
:com! -n=0 D CtrlPFunky
nnoremap <Leader>fu :CtrlPFunky<Cr>
nnoremap <Leader>fU :execute 'CtrlPFunky ' . expand('<cword>')<Cr>

1. 新项目紧紧的进行，客户端赶在月底上线了第一版。
2. 项目进度很快，甚至有点过快，快到很多地方考虑不周，加上测试不到位，运营又急于推广，导致上线后问题一一出现。
3. 所以说开发时候配上单元测试是很有必要的，可是完全的 TDD 时间上根本不允许。
4. 现在我自己的开发测试模式是 httpie: http :3000/api < data.json --session=fann，严格意义上来说只能算开发辅助，很难 cover 到全部。

1. 六六在北京一共呆了 40 天，每天回家能和孩子在一起真好。
2. 婆媳关系是个永恒不变的话题，作为丈夫＋儿子，大多时候都很无力，只能依靠时间来淡化解决问题。
3. 又一次搬家，不对，搬宿舍。