今天发现这个东西，用chrome打开chrome://net-internals/#proxy，点击一下就可以重新载入PAC了。

它的作用是，对某些站点，当用户在浏览器输入不带协议的网址的时候，自动识别协议为https，而不是http。

例如用户输入paypal.com，浏览器会自动访问https://paypal.com，而不是http://paypal.com。当然，即使你的浏览器不支持HSTS，paypal也会自动跳转到https。

那么如何让自己的站点支持HSTS呢？只要在自己的站点的HTTPS响应的HTTP头里，加上下面这行即可

Strict-Transport-Security: max-age=16070400; includeSubDomains

当浏览器看到这个HTTP头，则会把当前站点加入HSTS列表。max-age和includeSubDomains的作用你们懂的。

根据Chrome的说明，当前支持HSTS的有Chrome和Firefox(版本>=4)，我并没有去测试。

另外，Chrome自带一个默认的HSTS列表，paypal.com、lastpass.com、market.android.com等网站都列在里面。当前(Chrome16)这个列表是硬编码在Chrome的源代码(http://src.chromium.org/viewvc/chrome/trunk/src/net/base/transport_security_state.cc?view=log)里的。将来可能会把这个列表类似safe-browsing那样让不同的浏览器共享。

如果你想把自己的站点添加进Chrome的这个列表里，可以电邮

其实，大部分对安全有要求的站点，都会在服务器端自动识别协议，强制跳转到https。对这些站点来说，HSTS的作用只是让你少了一次HTTP请求而已。而在某些情况下，由于Set-Cookie、浏览器版本以及安全设置的因素，导致这个HTTP会发送HTTPS下所设置的cookie，存在安全隐患。除此之外，HSTS似乎没什么作用了。

另外我看了一下，alipay是没有发送Strict-Transport-Security头的。而paypal和lastpass都发送了这个头。

全部MX数据

向在墙内依然坚持使用Google邮件系统的网站致敬。(小提示：现在Google基本有一半的时间是无法访问的。当你无法访问Google的时候，一般来说不是Google或者你的电脑出了问题。而是你的网络被一个叫GFW或者叫防火长城的东西骚扰了。)

***** 使用Google邮件系统(17个, 9%) *****
google.com.hk
google.com
google.cn
dianping.com
cnblogs.com
verycd.com
baixing.com
4399.com
docin.com
cnbeta.com
tuan800.com
xyxy.net
gfan.com
doubleclick.com
cnfol.com
tiexue.net
phpwind.net

***** 使用腾讯邮件系统(21个, 11%) *****
qq.com
soso.com
chinaz.com
58.com
paipai.com
admin5.com
115.com
ads8.com
zhubajie.com
seowhy.com
nipic.com
120ask.com
linkhelper.cn
donews.com
27.cn
techweb.com.cn
51buy.com
gongchang.com
baomihua.com
haodf.com
west263.com

***** 使用新浪邮件系统(4个, 2%) *****
sina.com.cn
autohome.com.cn
pcpop.com
it168.com

***** 使用网易邮件系统(3个, 2%) *****
163.com
126.com
chinanews.com

***** 使用263邮件系统(3个, 2%) *****
cntv.cn
weather.com.cn
51cto.com

这是一段专门给身处中国大陆的智慧生物用的pac片段，主要是用OR逻辑符列出了大陆将近前200名的网站。例如这个pac文件有这行代码: || dnsDomainIs(host,".taobao.com")

这个代码片段是为了在访问大陆的主要网站的时候，不使用代理。其他的网站，一律用代理访问（当然，在我自己所用的pac文件里，我还把url=https*列入了不使用代码访问的条件列表里。除了google的一些域名，大部分https还是可以直接无障碍访问的）

注意这个只是一段pac代码片段，你应该拷贝过去用，而不是直接使用。你的pac文件内容应该类似以下的代码：

if (拷贝过去的代码片段) {
return 'DIRECT';
} else {
return 'SOCKS5 ip:port'
}

这个列表会每个月自动更新一次，数据来自alexa。

简单地说，这个东西的作用，就是给dig, traceroute等命令的输出的ip附加上地理信息。

下面是一个例子：

chenze@osx:~$ nali-traceroute www.travel-web.com.tw
traceroute to ns806.travel-web.com.tw (219.87.177.148[台湾省 台湾大宽频]), 64 hops max, 40 byte packets
 1  192.168.0.1[局域网 对方和您在同一内部网] (192.168.0.1[局域网 对方和您在同一内部网])  0.747 ms ..
 2  115.168.51.180[中国 电信CDMA] (115.168.51.180[中国 电信CDMA])  435.595 ms ..
 3  115.168.51.161[中国 电信CDMA] (115.168.51.161[中国 电信CDMA])  70.990 ms ..
 4  115.168.51.17[中国 电信CDMA] (115.168.51.17[中国 电信CDMA])  192.944 ms  ..
 5  222.217.167.105[广西南宁市 电信] (222.217.167.105[广西南宁市 电信])  66.963 ms  ..
 6  218.65.137.1[广西南宁市 电信] (218.65.137.1[广西南宁市 电信])  102.969 ms  ..
 7  202.97.21.165[广西 电信骨干网] (202.97.21.165[广西 电信骨干网])  432.915 ms  ..
 8  * 202.97.40.225[中国电信 骨干网] (202.97.40.225[中国电信 骨干网])  185.598 ms  ..
 9  202.97.33.202[上海市 电信骨干网国际出口] (202.97.33.202[上海市 电信骨干网国际出口])  79.857 ms  ..
.....
.....

相关文章：

1. nali: 给dig,traceroute等命令的输出的ip附加上地理信息

dig @218.30.19.40 surfchen.org

; < <>> DiG 9.6.0-APPLE-P2 < <>> @218.30.19.40[陕西省西安市 电信DNS] surfchen.org
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

其实在几天前，我在GReader上就看到别人提到这个问题了：电信屏蔽Godaddy部分DNS服务

Godaddy是全球最大的域名注册商，使用他们的域名解析服务器的站点的量肯定很大。西安电信这样做，使得西安电信用户无法访问大量站点，这很明显是侵害了消费者的权益。我不知道中国电信会作何解释，很可能什么都不解释。一是电信这种企业一向不重视用户；二是这可能是有关方面授意所进行的一项构建大中华局域网的测试。

而当用户无法访问某个站点的时候，他们可能只会想，这个站点应该是挂掉了，因为其他站点例如qq.com是能访问的。而不会想到这是电信或者甚至是有关部门做的手脚。

上次就遇到一个朋友，在我家用Google，结果打不开(connection reset)，我朋友就认为是Google的问题。在这里我想告诉大家，Google访问不了，绝大多数情况下不是Google的问题，而是电信的问题！移动的问题！联通的问题！政府的问题！！！

回过头来说西安dns的问题。普通用户的解决方法，就是使用一些海外的DNS服务器，例如可以用Google的8.8.8.8。其实我建议所有人，都尽量使用境外的dns服务器，境内的dns服务器的内存里都是河蟹的大便

这类的事情让我感到很无力。何时可以在这个国家顺畅地使用网络？何时才能迎来没有connection reset的生活？科技的发展带来了现在美好的生活，而有人却慢慢地剥夺这些它。当它还给你一些的时候，它却说，感谢我吧。我不知道，如果一个歹徒抢了我一百万，然后还给我两块钱，我是否要感谢它。

因为觉得man非常好用，所以我很早之前就想写一个php man，但是一直都没去做。07还是08年我写过一个php的ctags，通过解析php的html文档来生成tags文件，使得可以在vim方便地查看php函数定义。不过后来硬盘坏掉，导致部分代码丢失，之前的tags数据也丢失，就没再用过。

终于在昨天，PHP官方发布了一个消息，提到了pman这个东西。我不知道pman是第一次发布还是早就存在，总之我是第一次看到这个东西。

安装：
sudo pear channel-update doc.php.net
sudo pear install doc.php.net/pman

如果安装失败可以尝试先sudo pear upgrade pear

使用：
pman pack

此外，在这次发布的消息里，还提到了一个在线的PHP文档编辑器：https://edit.php.net/。UI似乎是用ExtJS。我分别尝试了一下用我的pear和pecl帐户登录，没有成功，也没任何提示，不知道是密码错误，抑或是根本不支持用pear和pecl帐户登录。不过我本身对这个兴趣并不是很大，但是相信应该能让php中文文档翻译更活跃起来。

但是，Mac的终端的默认编码是UTF-8，所以javac和java在未配置的情况下会输出乱码。

解决方法有3个：

1）指定输出的编码为UTF-8
javac -J-Dfile.encoding=UTF-8

2）输出英文
export LC_ALL=en

3）通过iconv转码
javac something|iconv -f GBK -t UTF-8

对我来说，2）是最好的方案。一是可以把这个加入到.profile里，一劳永逸；二是输出为英文的话，可以搜索到更多的相关信息，毕竟英文资料比中文多得多。

另外还看到有人提到可以设置终端的编码为GBK。这个方法对我来说不太可行，因为我的大部分程序都是以UTF-8输出的。

相信大家都知道google旗下的几个服务，包括gmail, greader在内，这几天都非常地异常。原因就是GFW咯，相信大多数订阅我blog的人都知道。

而最近几天，我发现有越来越多的人发布以下两种信息：
１）如何备份gmail邮箱
２）推荐别人转移到国内的邮箱

我不想强迫大家使用gmail，但是我个人希望大家不要去散播备份以及转移邮箱的信息。

为什么？

因为我不希望有越来越多的人走到墙内。这对任何一个中国公民都是不利的。保证信息的流通，最好的办法，就是让大家都在墙外。

所以，大家要做的是：向更多人推荐翻墙技术，向更多人介绍vpn之类的东西。而不是给他们推荐国内类似的服务。

其实，从某种程度来说，国内的一些网络服务，例如qq mail，新浪微博，他们是在帮助这个体制。当然，我也说了，是「从某种程度来说」，实际上，像新浪微博，确实极大地推动了一些原来不可能的事情。

发表这样的文章，我现在都觉得很不安全。虽然几率很小，但是不知道什么时候，就轮到自己了。我还是相当地贪生怕死以及怕痛的。

本来写黎好长嘅一篇博文，但系写到最后实在累得我黑文。我简单滴：再次恳求吓各位大佬，比条生路，得母得？！

母得啊？捏，比你一够水哦。总未够啊？甘两够水哦wie，再益你一碗老友粉