D 的个人博客

全职做开源,自由职业者

  menu

创业的第二个冬天

banner

如果你是第一次看这个系列的文章,可从第一篇《创业的第一个春天》1 看起。


认真积累,别走捷径。

CDN 盗刷

12 月份的某天,社区的 CDN 图床被人恶意刷了好几十 G 流量,虽然造成的损失就几十块钱,但我觉得这不是钱的问题,而是对我技术能力的嘲讽。通过分析日志,基本可以判断攻击来源是类似基于 Electron、Headless Chrome 的应用,因为这些攻击流量的来源 IP 大部分不是来自机房服务器。

随后我们通过七牛云提供的“回源鉴权”机制解决了这个问题,所有对图床 CDN 的请求都需要鉴权。判断依据是通过 Referer、IP,大致规则是禁止为空的 Referer,并且 IP 不能来自机房。顺手也加了防盗链,综合了博客端节点(Solo、Pipe)回调接口来判断请求是否是博客端发起的。

后来攻击者发现我们的应对措施后,就将流量转移到了攻击博客端节点,一些用户的博客被恶意请求,请求并不密集,攻击者企图慢慢消耗社区图床 CDN 以造成损失。这部分攻击流量后来也通过限流算法做了判断,最终将不合法的 IP 加入到社区 IP 黑名单2中,博客端节点会定时获取这份黑名单列表,在节点上直接拒绝访问。

通过这些改进,目前社区图床的盗刷、盗链问题基本解决了。

年终征文活动

在 @clenji 的建议筹备下,社区第一届年终总结赠书活动3圆满结束了。因为新冠肺炎疫情影响,奖品书籍还需要过几天才能发货,请获奖者耐心等待。希望大家都能健康平安渡过这个非常时期。

我从 2006 年开始写年终总结的,到今年已经十五年了。人生没有几个十五年,希望大家都能珍惜眼前,不负时光。

域名备案

网络攻击陆续加剧,除了靠自身技术方面的防御外,我也意识到了还需要更周全的考虑其他因素,比如域名。

之前 hacpai.com 是备案在个人名下的,而在国内是不允许个人开办网络社区的。所以一月份将域名转移到了公司名下。转移过程比较顺利,并和通信管理局确认了不需要办理 BBS 运营专项许可证。

本来也考虑过将服务器迁移到国外的,但是社区的主要流量都是国内流量,迁移到国外服务器的话有钻空子之嫌,将来可能还得折腾迁移回国内,所以还是一次到位认真备案域名吧。另外,社区还加入了用户服务协议和隐私条款4,合法合规运营才是正途。

链滴笔记

我们正式启动了新的开源项目链滴笔记5。这个应用将实现一些构想:

  • 能够完全离线使用,注重用户隐私保护
  • 为 Markdown 而生,基于 Lute 引擎和 Vditor 实现 Markdown 所见即所得编辑
  • 支持 WebDAV 挂载远程目录
  • 支持导出静态化站点
  • 支持接入 B3log 分布式社区,实现笔记端节点

链滴笔记也许会是类博客系统更现代化的产品形态。在博客轮子这条路上我们已经有过很多积累,希望这次能够创作出新的高度,为大家带来更好的使用体验。

Vditor6 作为社区若干产品的核心会持续优化打磨,预计下半年会实现类似 Typora 那样保留标记符的实时渲染特性,如果你有项目需要用到 Markdown 编辑器,可以考虑一下。


创业的第三个春天