Forum - Vetercek.com

Ja forum je bolj z ta namen da kako obvestilo objavim, oz. kaj takega da se ne smeti po chatu.  Tudi na splošno so forumi precej v upadu, saj so jih povečini nadomestila socialna omrežja.

Tudi meni so reporti zakon. Če že surfam (skoraj) nič lahko vsaj berem kako drugi to počnejo...

Že dlje časa sem razmišljal, kako bi lahko združil več reportov z istim datumom in spotom. Mislim, da mi je končno uspelo najti rešitev, ki izboljša preglednost a obenem ne zakomplicira stvari preveč...

Report, ki je nazadnje objavljen/urejen/komentiran se tretira kot "master" in se prikazuje v celoti. Torej prikazane so vse slike, komentarji... Od ostalih reportov so prikazani osnovni podatki, za ogled podrobnosti pa se lahko posamezni report razširi (slika2)

Obroba tabele je obarvana glede na zadnji report, v levem stolpcu pa so prikazane kategorije ostalih reportov. V oklepaju je št. komentarjev za posamezen podreport. 

Sedaj sicer ni panike, mislim pa da bo poleti ta funkcija precej pripomogla k preglednosti. 

Mislil sem spremeniti tudi pri relive reportih in sicer tako da v kolikor je objavljen video je ta privzeto pomanjšan prikazan pa je gumb, in ko ga kliknemo se video odpre in začne predvajati. Gumb je prikazan le takrat kadar je kak relive video...

Komentarji in ostali predlogi zaželjeni.  

Med vikendom so bili občasni krajši izpadi, ker sem malo posodabljal server. Če koga zanimajo bolj tehnične zadeve bom na kratko napisal kaj je bilo narejeno:

nginx server sem zamenjal z openliteserver-jem  - kakšne bistvene pohititve sicer ne opazim, zanj sem se odločil predvsem zaradi boljše zaščite, pred brute force napadi ki se verjeli ali ne zadnje čase kar dogajajo. Dodal sem še bazo z ip naslovi in pobanal nekaj sumljivih držav s katerih ponavadi prihajajo boti, tako da so podatki, ki jih vpišete v chat ali reporte itd. bolj na varnem. Če bo kdo v Rusiji, Pakistanu... pač nebo delalo. 

Optimiziral sem bazo ter scraperje vremenskih postaj. Predvsem je bil problem v simultanem številu povezav na bazo in pri večjih omejitvah se je večkrat zgodilo da je baza kreš-ala. Sedaj sem uspel zmanjšati št povezav kar za 3x in je občutno bolje, bo pa to še malo za pogledat. Seveda so se pri tem pojavili tudi manjši hrošči - hvala Luki in Blažu, ki sta na to opozorila. Če slučajno še kdo opazi kaj nenavadnega naj prosim javi.

Z serverja sem odstranil  phpmyadmin ter še en GUI za kodiranje. Sedaj je vse zaprto samo za localhost, preko katerega dostopam preko ssh tunela z key-em. Saj vem to bi bilo treba narediti že 100x ampak če nisi iz programerskih vrst grejo stvari bolj počasi.

Kar se tiče varnosti je po mojem počasi že kar na nivoju, enkrat bom naredil še da vse na novo ustvarjene račune ročno potrdim, ter malo preveril kako dobro funkcionira stran proti SQL inđekšni. Če ima kdo tukaj kaj znanja okrog tega in bi probal mal pohekat bi bilo tudi kul. Že zadnjič pa porihtal fail2ban za poštni strežnik ki so mi ga tudi hotli brute forcat. 

Tudi software za tanovo vremensko postajo kar dobro dela in vse nakazuje da bi zadnja verzija lahko bila dovolj stabilna za teren...

To je to na ven nič novega, mašina pa skor nova...

Če je med ljubitelji vodnih športov kakšen white-hat hacker, je to lahko odlična priložnost za kakšen PenTest ali kaj podobnega. Obenem pa se morda dogovoriš s kakšnim sponzorjem za neko praktično nagrado za odkrite ranljivosti.

Zgolj razmišljam na glas, ako te zadeve okoli konfiguracije niso nekim profijem vidne po parih minutah brskanja, jih morda ni potrebno podrobneje opisovati in s tem nepridipravom olajšati delo :)

Ena res minorna zadeva, ki nima veze z varnostjo, ta redirect s foruma https://vetercek.com/forum/navodila.php (na forumu, na dnu strani) mora verjetno iti sem: https://vetercek.com/navodila.php

Ja v ameriki vem da kr dosti tako delajo in imajo tud kake sklade v ta namen. Pri nas bi rekel takole preko palca nimamo prav veliko white-hat hekerjev. Da bi bil eden izmd njih še surfer in da bi se mu še dalo z nami ukvarjat je pomojem mišn imposibl. 

Sm se pa naučil, da sem se same zaščite lotil napačno. Bral sem namreč razne "how-to-je" kakšna je praksa kar se tiče zaščite pred hekerji ter to bolj ali manj upošteval.  Bolj pravilen pristop je, da se naučiš (vsaj osnove) kako hekerji vdrejo na server, tako da sem pogledal par video-tov. Da se razumemo to so orng barabe ampak morm reč da sm precej fasciniran nad inteligenco in kreativnostjo, ki jo ti ljudje premorejo da jim uspe kaj takega. Šele ko približno veš kako to funkcionira se tudi lažje pripraviš kako take poizkuse blokirat. Kot če imaš recimo vrata na ograji in poskrbiš da je ključavnica kvalitetna, da ne zarjavi in da se je ne da odklenit z drugim ključem. To nardiš in misliš da si safe. Potem pa vidiš da se da ograjo tudi preskočit, da se mreža lahko strga, da ti lahko kdo kluč skopira, da gre nekdo istočasno z teboj noter...

Tako da definitivno bo še kaka stvar za popravit ni pa pomojem kake res očitne ranljivosti.  Se pa zadnje čase dogajajo vdori v vse sorte strani, za katere bi pričakoval da so varne, tudi pri nas se je že zgodilo kaj takega (NLB pred leti) tako da si ne delam utvar da pri meni to nebi bilo možno. 

Včeraj zvečer sem posodobil distribucijo iz debian 10 na 11. Je šlo kar gladko, stran je bila povsem nedosegljiva le kakih 5min. Kasneje sem se malo hecal z python moduli ter eno pokvarjeno mysql tabelo ampak v dobre pol ure je bila večina stvari popravljenih, nekje v ene 2h pa upam da bolj ali manj vse. Zdej se ene par stvari glede varnosti zrihtam pol pa upam da bo mir za neki let..

Tole z barvami se sedaj pod reporti bolj pregledno rešil, bi pa predlagal, da slike, ki se navezujejo na report skriješ pod isti tab.