Относительно движка сайта
Уважаемый SATva!
При всём моем уважении выбор нового дизайна и движка крайне неудачен.
Понимаю, что Вы вложили в это немало труда, но увы, напрасно – пользоваться новым сайтом просто утомительно :(
Ссылки
[link1] https://www.pgpru.com/razrabotki/dvizhok
[link2] http://www.pgpru.com/абракадабра_из_русских_букв/другая_абракадабра_из_русских_букв/edit?add=1
[link3] https://www.pgpru.com/razrabotki/dvizhok#h31-4
[link4] https://www.pgpru.com/razrabotki/dvizhok#h31-5
[link5] http://www.pgpru.com/Форум/Содействие/ОтносительноДвижкаСайта
[link6] https://www.pgpru.com/comment10706
[link7] http://www.pgpru.com/Форум/АнонимностьВИнтернет/moderate
[link8] https://www.pgpru.com/glavnaja/vhod
[link9] https://www.pgpru.com/glavnaja/registracija
[link10] https://www.pgpru.com/novosti/2007/0304dostupksajjtupgprucomotnynezaschischenshifrovaniemssl
[link11] https://www.pgpru.com/comment15328
[link12] https://www.pgpru.com/Comment15864
[link13] https://www.pgpru.com/Comment15713
[link14] http://www.forkosh.com/mimetex.html
[link15] http://www.linuxjournal.com/article/7870
[link16] https://www.pgpru.com/biblioteka/statji/analiznadezhnostipgp/vstuplenie/matematika
[link17] https://www.pgpru.com/Comment15750
[link18] https://www.pgpru.com/Comment15994
[link19] https://www.pgpru.com/comment15994
[link20] http://www.google.com/search?hl=ru&inlang=ru&q=DMCA+MPAA
[link21] https://www.pgpru.com/biblioteka/statji/budutlikiberprestupnikipravitjmirom
[link22] https://www.pgpru.com/Форум/Офф-топик/ЭтаКнигаИзменилаМоёПредставлениеОЖизни
[link23] http://www.pgpru.com/forum/offtopik/generacijasluchajjnyhparolejj
[link24] http://www.forkosh.dreamhost.com/mimetex.cgi?f(x)=\int_{-\infty}^xe^{-t^2}dt
Движок находится в стадии беты (со всеми вытекающими, однако явных открытых багов сейчас нет, только недоработки); над новым дизайном сейчас работаю (по существу, он почти закончен, как я и обещал). У меня катастрофически мало времени, поэтому работа над сайтом практически стоит.
К прежнему механизму формирования сайта возврата не будет, и дело не в том, что мне жаль затраченного на движок времени. Лично мне намного удобнее и проще работать в интерактивном режиме.
Так может, лучше сразу использовать проверенные временем движки? Например, phpBB2 и другие, которые прекрасно сбея зарекомендовали в настройке и работе.
phpBB — это форумный движок (мы пользовались им продолжительное время для форума сайта), не имеющий ничего общего с системами управления контентом. Первоначально я думал сделать гибрид из phpBB3 для форума и некоторой вики-системы для остальной части сайта, но схема оказалась крайне неудачной и затруднительной с точки зрения реализации (двойная регистрация, плохо совместимая адресация страниц и т.д.).
Вообще, по-моему, Вы смешиваете два понятия. Существует движок — программная платформа, обеспечивающая определённый функционал. А есть дизайн, пользовательский интерфейс системы, реализующий в той или иной степени удачно (или неудачно) функционал движка. Какие у Вас претензии конкретно к движку сайта? То же самое и относительно интерфейса.
Сказать просто "плохо!" — ничего не сказать. Как я смогу улучшить или исправить что-то, если не знаю конкретных пожеланий? (Заметьте, не факт, что я брошусь очертя голову тут же воплощать Ваши пожелания. Сколько людей (или пользователей), столько и мнений, и угодить всем невозможно. Но рациональное зерно из Ваших замечаний я вынесу обязательно.)
Наверное, мне тоже стоит высказать своё мнение.
Дело в том, что за созданием стандартных форумов стоит некая идея, не во всём удачная, но в целом продуманная. Представление именно форума как вики, на мой взгляд, не совсем удачно в силу характера представляемой информации. Например, мне было бы интересно видеть напротив юзера некоторую информацию об нём, количество постов или ссылку на его личную страницу, где оставлена некая информация им самим по его желанию. Опять же, можно сказать что число постов есть атрибут детства, предоставляющий возможность попонтоваться большим числом постов и т.п. но иногда это удобно и позволяет глубже понять того, с кем идёт переписка.
Если есть возможность встроитть такие возможности в существующий движок – было бы не плохо, на мой взгляд. Более существенный недостаток – это отсутствие даты на вновь созданных пользователями темах, и даже, кажется, имени создателя. Конечно, это всё только имхо а далее – на усмотрение SATtva'ы.
Благодарю за конкретику!
На этой странице[link1] я отмечал преимущества нынешнего движка. Главное — простота его расширения. Количество страниц и комментариев пользователей уже учитывается, только не выводится пока. :-) Страницы пользовательских профилей есть в планах, но пока не реализованы, хотя это лишь вопрос времени.
В принципе, эта информация есть, хотя и внизу страницы. Согласен, это не слишком-то удобно (именно для форума), поэтому в новый дизайн внесу корректировку. И дату создания темы в списке тем тоже, конечно, нужно сделать.
Если ещё что-то заметите, сообщайте.
Да, это я просто не заметил :)
У меня есть некоторые вопросы, которые накопились с прошлого года, я думал у меня не работало что-то по причине переконфигурации privoxy, но кажется это не так:
1) Не работает модерация даже в группах "ИБ/крипто", "Анонимность", "Unixlike" и т.д.
Т.е. я вхожу в режим модерации, мне пишется, что я туда вошёл, но я ничего не могу сделать – ни удалить, ни переместить тему. Ничего такого не появляется.
К счастью, у нас участники такие дисциплинированные, что я уже давно модерацией не пользовался ;-)
2) Раньше был т.н. Интерком, теперь я не вижу способа послать приватное сообщение
3) Я могу исправить только своё последнее сообщение. Если кто-то успел что запостить после меня, то уже не удалить, не исправить. А иногда хотелось бы.
4) Не могу воспроизвести ссылку как раньше "с решёткой – #" на конкретное сообщение на странице. Например на [— spinore (02/01/2007 14:50)]
у меня есть ссылка в режиме првка/удалить: http://www.pgpru.com/Comment?????/edit или remove,
а на предыдущие сообщения – нет.
5) Вопрос может к теме почты, но пусть будет здесь.
Я попытался сменить свой ящик с SAFe-mail на pgpru.com в профиле и подписке, т.к. почтовый сервер на новой площадке работает лучше прежнего (в т.ч. через SSL через tor).
Поначалу мне пришло подтверждение, но присланная ссылка не сработала: адрес остался неподтверждённым. Затем, сколько я не просил подтверждения, сколько не ждал неделями, новых ссылок мне так и не приходило :-(
P. S. Были и ещё какие-то мелкие странности, но мне их сейчас не вспомнить и я не уверен, что это было связано с ошибками у меня в настройках софта.
В RSS-фиде удобно было бы видеть автора в тэге dc:author, а не только в теле сообщения.
ygrek, сделаю.
unknown,
Итак, новое оформление под название "openSpace" закончено. Выбрать его можете в своих персональных настройках. Проверьте, пожалуйста, на предмет исправления существовавших проблем и появления новых. :-)
Кстати, unknown, с подтверждения мэйла разобрались?
Я понял чего надо делать, но пока оставил как есть. Мне не горит, получать почту можно и через SAFe-mail. Может когда заработает повторная отправка, тогда заодно я её протестирую.
Уже должна работать, тестируйте. :-)
Да, ссылка пришла, http://www.pgpru.com/Главная/Настройки?confirm= [здесь хэш] когда я по ней иду, пишет "такой страницы не существует, хотите её создать". И предлагает создать документ вида:
http://www.pgpru.com/абракадаб.....ских_букв/edit? Add=1[link2]
в письме выбирал кодировку win1251, а в браузере попробовал с разными кодировкакми – результат тот же. Возможно у меня русский текст некорректно копируется в адресную строку браузера.
кстати насчёт русских ссылок. В RSS те, что внутри тегов (топик, тема итд) кодируются нормально (urlencode?) и при открытии в браузере всё ок. Те же что находятся в теле сообщения – в однобайтовой кодировке. И при открытии в браузере (Opera, WinXP) хотят идти на какую-то кракозябру. Видимо это та же проблема что и у unknown.
Конкретику? Например, при вводе текста я не вижу курсора – это вообще нонсенс, и сказать, что это затрудняет работу – значит, ничего не сказать.
Что касается систем управления контентом, то ничего я не путаю, а сам использую их :)
Если вам нужен не просто форум, а именно CMS – выбирайте RunCMS – и не ошибетесь!
Только включил себе это оформление. На мой взгляд получилось наиболее удачно, относительно прежних тем.
Похоже на то. А copy&paste как? Нормально работает или тоже кидает на пустой документ?
Да, urlencode'ятся только тэги, остальное передаётся в исходном виде. Тут точно copy&paste должен работать нормально (Опера понимает кириллицу в URL). Посмотрю, что удастся с этим сделать, но в низкоприоритетном порядке.
/Разработки/Движок#h31-4[link3]
Смените оформление на какое-нибудь кроме дефолтного или перейдите в другой браузер (понимаю, что последний совет может вызвать очередной поток критики в мой адрес, поэтому не воспринимайте его всерьёз). Сказать, что я потратил уйму времени на выявление причин этой проблемы, — не сказать ничего.
По-моему, это похоже на то, как если бы я стал заставлять Вас перейти из Firefox в Оперу, чтобы избавиться от невидимого курсора. Пока мне (да и большинству остальных участников) вполне комфортно в этой среде. А интерфейс — вещь легко поправимая (опять же, о движке от Вас ничего не услышал).
Кстати, пока никто другой не сообщил, я сам только что заметил, что прямая ссылка на комментарий всегда перекидывает на последнюю страницу комментариев. Исправлю.
Письмо приходит в кодировке win-1251, в виде простого текста (не HTML), поэтому я копирую ссылку как простой текст, т.е. в исходном варианте русские буквы я вижу в обычном виде, а не ввиде %BF%C1 и т.д.
Когда я копирую русский текст в адресную строку браузера, там он преобразуется в байтовый код вида:
Из
Т.е. преобразование возможно осуществляется неправильно.
Получаем на странице вверху: зМБЧОБС[создать] / оБУФТПКЛЙ >>>
Похоже на KOI8-R. Проверяем:
Что и следовало ожидать. Кодировка отображения влияет только на отображение страниц. А браузер запущен из под системной локали KOI8-R и все вставляемые ссылки на русском языке преобразуются к этому виду.
Поскольку с отображением русских файлов в сети (например на FTP) или например на дисках у меня проблем нет, то на UTF локаль я переходить не хочу (и не уверен даже, что это решило бы проблему, скорее бы создало массу других). А самому файлы с русскими именами создавать не приходиться.
Теперь сделаем обратное преобразование:
Скопируем получившуюся абракадабру в браузер:
"Ваш email успешно подтвержден."
Т.е. пользователи разных локалей должны вручную приводить русские ссылки в кодировку, соотвествующую своей локали, перед тем как вставить их в браузер. Причём в виде абракадабры. Или в настройках профиля нужно указывать свою системную локаль, а в движок форума ставить конвертор? А это чревато другими глюками.
Я ещё думаю, что по законам жанра из-за повышенной и нестандартной функциональности форума могут появиться не просто баги (которые можно и потерпеть и которые мы постепенно совместными усилиями отловим и подождём их исправления), а какие-то дыры в безопасности.
С одной стороны удобно конечно таскать тексты и ссылки из форума в Wiki и наоборот и т.д.
Но может действительно, создание своего движка, даже путём скрещивания уже существующих, слишком амбициозный план?
Готовые ссылки на самих страницах копируются нормально, так как они уже приведены в необходимый байтовый вид. Если правильно въехал про какой именно copy&paste меня спрашивают
Прямые ссылки на комментарии исправлены. Касаемо проблем кодировки, это разрешимо множеством способов, в том числе и довольно неповоротливой встроенной подсистемой транслитерации имён WackoWiki (которая сейчас отключена и к которой в её исходном виде, признаться, возвращаться бы не хотелось). Словом, будет сделано.
Разумеется, Вы правы в том, что наращивание функциональности за счёт расширения кодовой базы автоматически влечёт увеличение числа ошибок, но мне бы хотелось, чтоб Вы всё правильно понимали и не драматизировали ситуацию сверх меры:
Дело как раз в том, что на подобные генно-инженерные манипуляции я не покусился. Наш форум работает на основе вики причём за счёт минимального увеличения объёма кода. Более того, если сравнить WackoWiki и даже выросший из неё openSpace с таким зверем, как phpBB2 (а это даже не самый сложный форумный движок), то по комплексности системы, числу строк кода, сравнение будет не в пользу последнего.
К слову, если кто-нибудь хочет взглянуть на исходники openSpace, могу легко переслать их по почте. Не публикую их пока лишь по причине незавершённости ряда элементов и продолжающейся ловли блох, то есть багов.
Ладно, я не голой критики ради, терпели и не такое :)
Но то, что курсора нет – это атас!:( И как вы правильно заметили, ради этого броузер менять не будем.
По самому движку – а курсор разве не движок? Остальное устраивает, может, потому что особо не присматривался (или наоборт).
Да, еще ошарашивает гигантизм дефолтового шрифта, хорошо бы его уменьшить, а то много местав на экране занимает
Ну, движок рендеринга каскадных стилей и html-вёрстки браузера, но к движку сайта никакого отношения не имеет. Максимум — претензия к дизайну сайта, нарывающемуся на баг в браузере.
Нет уж, научен горьким опытом прежних замечаний в адрес мелкого шрифта. И действительно, вследствие значительного объёма текстового материала на сайте, лучше чтобы шрифт был крупнее.
Уведомляю модераторов, что панель модерации тем закончена. Работает всё, в том числе и переименование и склейка тем.
unknown, Ваша проблема с перекодировкой имён страниц решена: мы теперь просто делаем дополнительные запросы к базе, если запрос по переданному имени не дал результата. При возможности проверьте, всё ли теперь нормально.
ygrek, пожалуйста, тоже проверьте свою ситуацию со ссылками в юрлах RSS. Специально я там ничего не делал, но отмеченное выше исправление должно было сказаться и на Вашей проблеме. Если ситуация сохранится, приведите примеры имён страниц, на которые Вас выбрасывает.
Перекодировку проверил. Работает и WIN и КОИ. Другие кодировки для русского языка я не проверял. Я просто скопировал те примеры, которые постил выше. Очень оперативно!
Сделал поддержку Win, KOI и на всякий случай Mac и CP866 (в этом порядке). Можно будет добавить и что-то более экзотическое, если возникнет потребность.
Это и есть достоинство простого модульного движка. Кстати, проблема с перекодировками — пожалуй, одна из немногих, которые можно отнести именно к движку, а не к интерфейсу.
Держите в курсе, если всплывёт что-нибудь ещё. Будут пожелания к новому дизайну (openSpace) — тоже дайте знать.
Это только у меня в непрочитанных темах начал вылазить тэг фонтстайла напротив имени постившего последнее сообщение?
Не только у Вас. Исправил. :-)
<offtop & flood>
Уважаемые посетители! На Ваших глазах твориться история. Не пропустите свой шанс поучаствовать.
Прямо как веб-интерфейс к linux kernel git – можно наблюдать разработку в реальном времени.
:-)
</end offtop & flood>
Вот два сообщения http://www.pgpru.com/Comment10794 и http://www.pgpru.com/Comment10787. В первом ссылка неурлкодирована, во втором – да. Если я открываю ссылки из обоих сообщений из Оперы – всё работает нормально. Если же из клиента RSS – то нормально открываются только те что заурлкодены. Некодированную ссылку клиент пытается видимо сам конвертнуть и получает на выходе какую-то фигню. Если ссылку просто copy/paste в строку браузера – всё работает. Вообщем это похоже проблема клиента (возможно только моего), и обходимая. Так что можно оставить как есть. С другой стороны с точки зрения стандартов инета интернациональные ссылки должны быть заурлкодены наверное..
Ага, похоже я понял. Попробую исправить...
Поставил тему OpenSpace. Очень понравилось.
В настройках профиля (полезно туда иногда заглядывать) обратил внимание вот на что: в качестве ID ключа ранее у меня был указан полный отпечаток, а сейчас в поле вмещается только половина, т.е.
Раньше как-то помещалось вот только с какого момента это потерялось?
Наверное, после переноса данных из старого форума. В общем-то, поле ID ключа предназначено именно для ввода ID (а это обычно 8 или 16 байт плюс префикс шестнадцатеричной нотации), отсюда и ограничение на размер поля. В принципе, можно и исправить, но не хотелось бы: в будущем ID будет использоваться для поиска ключа пользователя.
У меня по поводу подключения к нашему хозяйству GnuPG ещё не сложилось чёткое представление (поэтому исправление поля в одну сторону может в дальнейшем потребовать исправления в обратную сторону). Пока лишь общие идеи[link4] и некоторые намётки технической реализации такой схемы. Кстати, было бы интересно узнать, что вы все думаете по этому поводу (только не напоминайте об SSL, сам знаю :-).
Чтобы закрыть тему SSL, я не могу точно вспомнить источники, но в литературе мне встречалось прямое, хотя и необоснованное мнение, что вопроизвести его через набор javascript и cookie невозможно.
Насчёт GPG. Самое элементарное, я хотел бы для начала, чтобы полный отпечаток ключа пользователя отображался бы мелким, но чётким шрифтом внизу каждого сообщения. Таким образом его последние цифры постепенно будут запоминаться, как номер часто используемого телефона. Это повысит доверие и позволит замечать смену (или подмену) ключа.
Также возможно использовать кнопку "показать отделённую подпись". Хотя лично я скорее всего не буду использовать подписи через браузер. И даже их проверку на лету по открытым ключам. По соображениям безопасности предпочтительнее не давать доступ браузеру к ключам gpg и только в крайних случаях можно перетаскивать подписанное сообщение между браузером и консолью через файл.
Понимаю, что это сложнее, но удобнее в профиль загрузить только отпечаток ключа, а чтобы сам ключ скачивался из одного из любых серверов сети GnuPG и регулярно с ней синхронизировался. Продвинутому пользователю удобнее один раз выложить скриптом свой ключ в сеть GnuPG и не думать, где он его ещё должен вручную обновить.
А шифроваться это будет на стороне сервера что ли? Вместо того чтобы пользователь сам загрузил уже зашифрованный пароль или сообщение?
ygrek, кажется, Вашу проблему я тоже решил (её, кстати, напротив, вызывают ссылки, закодированные urlencode'ом). Проверьте, например, вот это[link5].
unknown,
Да, раз уж JS и cookie — это уровень приложений, то реализовать на нём функциональность транспортного уровня без взаимодействия с окружением просто невозможно. И совместимость такого гибрида будет весьма ограниченна.
Касаемо GnuPG, я не предполагаю использование закрытых ключей в том или ином виде. Пользователь будет загружать на сервер свой открытый ключ (да, сервер сможет и сам забрать его с одного из депозитариев). Поскольку сайт получит поддержку SSL, можно будет даже наладить полностью защищённую переписку через систему приватной связи, даже в отсутствие у отправителя открытого ключа получателя и GPG — он просто вводит своё сообщение в форму, и если на сервере присутствует открытый ключ получателя, сервер сам шифрует письмо и пересылает ему (возможность хранения приватных сообщений на сервере, как было в прежнем форуме, мне бы давать не хотелось).
Та же самая история с забытым паролем. Если пользователь предварительно загрузил свой открытый ключ, то сервер зашифрует с его помощью новый пароль и перешлёт ему на ящик.
spinore недавно выдвинул идею[link6] с подписью публикуемых в форуме сообщений, но это уже перебор, на мой взгляд. Тогда следует подписывать и редакции страниц, и всё прочее. Как всё это вписать в концепцию вики я, признаться, не представляю, но если вы можете меня просветить, буду крайне признателен. (Что важнее, я не уверен, что всё это очень-то нужно: если кто-то хочет подписать своё сообщение, он может просто заверить его "прозрачной" подписью, тем более, что мы изначально исходим из того, что все преобразования пользователь будет производить самостоятельно на своей машине. Загрузка закрытых ключей на сайт — это последнее, что пришло бы мне в голову.)
Обеими руками "за"!
А, так всё таки это в отдалённой перспективе планируется? Тогда можно использовать сертификаты не только сервера PGPru.com, но и пользовательские. Ими пользователь мог бы аутентифицировать себя в сеансе связи с сайтом. Вот их то и есть смысл хранить на сайте.
А я и не предполагал, что Вы можете это предполагать :-)
Я бы даже сказал, во вполне обозримой. Через пару недель, в двадцатых числах, если быть точным.
Это которые X.509? Они ведь мало у кого есть (тем более с поддержкой удалённой аутентификации, а не только подписи мэйла). Будет ли в этом смысл?
Сегодня нет, завтра может кого-то заинтересует.
В WebMoney-Light же такая система используется. И даже непродвинутых пользователей не очень смущает.
Мы млжет сделать чуть сложнее.
Напишем краткий how-to, как сделать свой сертификат, подписать его ключём gpg, загрузить на сервер. Ну это уже точно на отдалённую перспективу, т.к. не на каждый комп. его можно таскать с собой, там придётся заходить обычным способом, по паролю, хоть и через SSL.
Не могу добавить новость. Пишет "у Вас нет прав на создание такой страницы"
И ещё нельзя отредактировать первое сообщение в теме. У меня там опечатки, а исправить уже никак не получается даже зайдя в режим модерации!
А ещё в OpenSpace очень маленькие выпадающие меню на Главной странице, в которые трудно целиться мышкой. В принципе, на многих, в основном коммерческих сайтах, такой дизайн принят, но мне выпадающие меню в WEBе не нравятся. Перешёл обратно на досье.
Панель модерации тем пока ещё по прежнему не работает. Переименовать тему не получается.
Ну, как вариант, хотя я не думаю, что у такой опции будет много поклонников. По-моему, как альтернативу парольной аутентификации следует использовать протокол запрос-ответ, предоставляя пользователю некоторую случайную строку на подпись.
Да, простите, забыл установить права доступа на новый год. Уже сделал, пользуйтесь.
Если тема прокомментирована, то нельзя. Это менять мне бы не хотелось.
Трудно же Вам угодить. ;-)
Открываете из самой темы или из раздела форума? Например, так:
http://www.pgpru.com/Форум/Ано.....тьВИнтернет/moderate[link7]
Самое смешное, что тему открыл я и комментарий я же и добавил. Надо было его удалить :-)
Очень легко. Про debian.org и IACR я уже упоминал :-)
Если я потеряю свой пароль, то распишусь по почте и буду ждать пока меня восстановят. А так у меня gpg отделено от браузера, расписываться в WEBе "на лету" я скорее всего не буду. И другим *nix пользователям не посоветую. Или речь не о GnuPG подписи?
Тогда тема dossier наиболее близка Вашим предпочтениям. :-)
О ней. Впрочем, возможно Вы и правы, и такая функция будет избыточной. Она имела бы смысл без SSL, чтобы авторизоваться, не раскрывая пароля (применимость MITM для такого случая не рассматриваем), но при наличии SSL пароль всё равно не может быть перехвачен, а серверу он в любом случае известен.
Ещё вопрос, ткните пожалуйста... где у нас на pgpru.com теперь кнопка "выход" и "вход"... Я с трудом нашёл только "регистрация" и потом к счастью обнаружил что не разлогинен, поэтому проблема отпала.
В принципе, обе эти функции находятся на странице /Главная/Вход[link8] (регистрация, соответственно, на
Если ищите просто кнопку в интерфейсе, то её расположение зависит от выбранного оформления: в случае openSpace — это пиктограмма человечка в правом верхнем углу экрана (там всплывающее меню, которое может не работать, если Вы блокируете javascript).
О да!
Это тест на сообразительность перед тем как писать на pgpru?
Я бы не догадался. Если только методом исключения... Ладно, потом привыкнут, ничего страшного :)
Я (как обычно, с опозданием) полностью закончил панель модерации тем и сообщений; сейчас подготовлю справку. Вроде бы всё работает нормально, но при возникновении любых непредвиденных ситуаций прошу уважаемых модераторов сообщать об этом мне. Да, и если будут пожелания по изменению интерфейса, тоже дайте знать.
Пришел случайно. С точки зрения содержания – очень полезно. Но интерфейс – невыносим! Может быть что-то уже обсуждалось, но скорость прокрутки страниц такова, что читать больше нет сил. При выключенных скиптах Mozila (версия 2.0.0.2) задумывается секунды на 3, а потом летит без остановки, как шайба по льду. Если скрипты вкючить, то прокрутка напоминает поверхность воды, в которую бросили камень, – время релаксации порядка 10 секунд (цифры ориентировочные, но долго невыносимо). Про курсор, которого не видно, уже писали. Может сделать по-проще. Простота – залог здоровья.
Проверка правописания тоже работает, скажем, странно.
С уважением (честно)
пока прохожий
Попробовал, на всякий случай, Opery 8.53. Курсор видно, а с прокруткой все то же самое.
Удачи
Дефолтное оформление изменено на "openSpace", где все отмеченные ошибки давно исправлены. Когда дойдут руки исправить "steel" верну его обратно.
Тема "steel" исправлена. Это касается и курсора в полях ввода, и скорости отрисовки при скроллинге в Mozille/Firefox/Opera (Сам скорость не проверял, ибо слабой машины под рукой сейчас нет, но причину, вызывавшую перерасход вычислительных ресурсов, устранил.)
OpenSpace – такая тема была с нормальными цветами и дизайном и кто-то взял и всё испохабил :-( Ну не сочетается красная полоска по тёмно-синему и выставление такого контрастного синего сверху хуже воспринимается. Сделайте предыдущий вариант как опцию для выбора в настройках....... Пожалуйста...
Вот было б счастье, коли яркость всех мониторов одинаковой была. :-)
SATtva, ну сделайте как вариант темы для выбора – я же не покушаюсь на дефолт.
Хорошо, только потому что Вы попросили. :-) Но немедленно не ждите, может быть в течение недели.
Спасиба! :-)
У меня проблема с идентифицацией в Opera. Кликаю на https://www.pgpru.com/Главная/Вход/ и ничего не происходит.
Уф, вечно с этой Оперой проблемы. Ничего не происходит — это вообще не загружается страница? А сертификат сайта установлен как доверенный?
Kent, я сейчас зашёл и авторизовался через Оперу, всё работает корректно. Настройки дефолтные, сертификат принял, несмотря на предупреждение о неизвестном заверителе (действительно, CAcert нету в Опере).
Стою на главной странице https://www.pgpru.com. После клика происходит попытка что-то загрузить, но ничего не меняется.
Сертификат CAcert.org установлен как доверенный. Сертификат pgpru.com не импортируется. Нет значка защищённого соединения. Видимо, по этому и не идёт по ссылкам. Окно о доверии выскакивало (раньше). Сначала нормально всё работало. Но теперь не получается.
Вот что написано в информации о странице:
Ничего в этом не понимаю, но "Extensions X509v3 Basic Constraints (Critical) CA:FALSE" смущает.
Basic Constraints (Critical) CA:FALSE бояться не надо — это только указывает, что наш сертификат не является корневым сертификатом УЦ (т.е. не может заверять другие). Вполне логично.
Воспроизвести проблему мне всё равно не удаётся. Точно так же открываю главную страницу (по http или https — не важно). Затем щёлкаю на ссылку "Вход", начинается загрузка, и через одну-две секунды открывается страница ввода пароля. Есть одно различие между http и https: в первом случае Опера выстраивает html-документ по мере его загрузки, но во втором вначале полностью его загружает и только затем сразу весь отображает в своём окне. Может эта пауза между переходом по ссылке и полной загрузкой документа (и его отображением) кажется отказом? Может быть связь не очень быстрая, и следует просто подождать? Я не утверждаю, просто допускаю.
Попробуем так:
После этого соединения должны быть защищены.
При использовании Opera 9.x версий подтверждаю, в Firefox Всё нормально.
Исправил пару недель назад. Заодно сняло проблему с тормозами при прокрутке страниц, отмеченную многими пользователями.
Возвращаясь к вопросу о просмотре сайта в Opera (в моём случае).
Заходил из Linux. Всплыл какой-то запрос на принятие сертификата от Spylog. В Windows у меня все эти счётчики рубятся. Может в этом дело?
Навряд ли. У меня, вот, тоже в Windows счётчики разные контент-фильтры вырезают, но на работоспособности это не сказывается. Spylog для SSL-сайтов действительно суёт какой-то свой сертификат с 512-битовым RSA (счётчик тоже защищает, с ума сойти!), но если вырезать весь этот код, это будет то же, как если бы его вообще не было на странице.
Кстати, а как вообще в Линуксе, работает сайт, нет проблем (если не считать этот сертификат от Spylog)?
Если вырезать SpyLOG, то нормально, а если нет, то получаем "broken https connection" – часть страницы идёт по доверенному SSL, часть нет. Не очень хорошо с точки зрения возможности перехвата паролей. Например если злонамеренный tor-exit-node перекроит страницу по своему, пользователь не заметит подмены, если только не будет каждый раз вручную разбирать код загружаемой страницы.
От SpyLOG'а избавимся вообще: толку от него всё равно в последнее время мало.
Подтверждаю: Firefox в момент входа (авторизации пользователя) показывает защищенный канал, после входа – "частично защищенный" :-)... И каждый раз кричит об этом: "мужик, ты смотри, будь осторожней – тебя (censored) хотят всякие нехорошие люди"... :-)
Из свежезамеченного. На странице Черновиков о Получении сертификатов Thawte появилось правое меню. Да, "в том числе и на странице...". Так вот, это меню не имеет аттрибута NOWRAP и поэтому плющится вплоть до полного исчезания. В статье имеются картинки, которые расположены рядом две по ширине страницы. Они не могут быть быть сжаты при уменьшении юзером ширины открытого окна браузера, поэтому вся нагрузка при масштабировании размера по горизонтали ложится на меню.
В принципе меня, как противника боковых меню, это устраивает. Кстати, на одном инет-проекте мы сделали переключатель меню: боковое/верхнее. Т.е. клик – и у юзера боковое меню перемещается наверх, другой клик – и меню сверху переключается направо. Это очень актуально, т.к. на обычном мониторе всегда не хватает ширины, а ноуте с "широкоформатным" экраном – высоты.
В отличие от отличного ресурса, движок на котором он основан – полное дерьмо! Откуда его выкопали только?
Почему-то частенько автоматическая авторизация слетает, гораздо раньше тридцати дней заданных в настройках.
Возможные причины:
Разные браузеры бывают. Но как это может влиять, так и не понял. IP постоянный.
И кто же это мне может в куку изменение внести?
Цитипую отсюда[link11]:
На самом деле SATtva внятно не отаргументировал каким образом кто может спирать куки и почему надо запрещать работать в 2-х браузерах. Мне просто лень спорить было и я замолчал. Аргумент что кто-то забудет разовтаризоваться в кафе и тем самым даст возможность злоупотребить своими куками не уместен: с таким же успехом можно вообще зарубить парольную аутентификацию так как она не спасёт против кейлоггеров установленных в кафе и т.п. Не говоря уже о том, что в пользу редкой тупой единицы которая ходит на сайт с кафе создаются неудобства для 99% пользователей сайта ходящих сюда со своих домашних или рабочих компьютеров, а не говоря уже о том, что для особо одарённых прикручивается подпись комментариев, и уже прикручена смена пароля по ключу – это для тех кто действительно пекётся о безопасности своего аккаунта. Кто же не пекётся о безопасности – он может свой пароль на этот сайт хоть на заборе написать чтоб все видели – идеология с куками от этого не спасёт. Правильная стратегия – защищать тех, кто сами прикладывают усилия к этому, то есть на защите от дурака далеко не уехать – дурак окажется смышлённее чтоб обойти защиту от него рано или поздно.
Можно было бы дать возможност желающим сделать некоторые (и даже все) символы пароля зависимыми от того, что они видят на экране. Ну типа вторая буква в третьем слове. А задавать пароль можно будет выражениями типа "Fh(3,2) gk(5,1) fcv" (или вобще регулярными выражениями :)
То же что и выше будет выглядеть примерно так:
s/([A-я]*[^A-я]*){2}.(.)([A-я]*[^A-я]*){2}(.)/Fh$2gk$4fcv/
Зато SATtvа не надо будет писать свой парсер!
Просто производим замену и результат сравниваем с вводом ползователя.
Ну и самый радикальный вариант когда пользовытель задаёт пароль фрагментом кода (на PHP). При этом он сможет на своей стороне написать аналогичный скрипт (на JavaScript) для автоматизации входа (из дома). Это будет давать защиту от кейлоггеров общего назначения. А если кто опасается специально написанных кейлоггеров или связываются с чужого компьютера, могут использовать Java-апплет на сотовом телефоне.
Ладно, spinore, будем считать, что Вы меня переубедили. Изначально, если помните, защита куков делалась ещё до установки SSL — в качестве одной из первых мер для укрепления сессий (после памятного первого случая получения Вами моего имени на сайте). Сейчас, когда есть SSL и когда в истинных причинах того инцидента разобрались, во всех этих сложностях действительно нет большого смысла.
Cпасибо, SATtva :-)
spinore, Kent и все остальные,
Я отключил аутентификацию куков (сделал её опциональной на уровне глобальных настроек безопасности движка), так что теперь можете работать из нескольких браузеров одновременно.
0чень х0р0ш0, приятная н0в0сть.
ещё вот что хотел спросить:
Был-жил гость, и публиковался он на pgpru.com с подписями.
А пототм взял да зарегался.
Сайт прожуёт тот факт, что "неопределённые ЭЦП" стали "определёнными"?
Или форум не имеет обратной силы? Как это сделано?
(в смысле реализовано алгоритмически на данный момент)
Всё просто. Проверка подписей и вывод индикатора с конкретной диагностикой производится при каждой отрисовке страницы. Соответственно, если вчера ключ автора отсутствовал на сайте и выводилась "неопределённая ЭЦП", а сегодня он зарегистрировался и загрузил ключ в профиль, старые сообщения от гостя получать "верную ЭЦП", но с уточнением, что "ключ принадлежит пользователю Икс".
Грамотно кстати реализовали. Но всё равно подозрения гложат что что-то может быть не так. А если пользователь загрузит ключ, где дата создания из будущего? Или отозванный ключ? Ну там много вариантов есть, все не перебрать в двух словах...
Если один ключ принадлежит двум пользователям сразу: A и B.
Если A подпишет им своё сообщение после авторизации на сайте будет зелёный траст или жёлтая ругань на то что ключ принадлежит пользователю B?
В OpenPGP, в отличие от X.509, это не имеет практического значения. Можно, конечно, проверять дату специально, но я в этом смысла не вижу. Может у пользователя часы не правильно установлены? Вы же сами идею с лагом забраковали — это из той же оперы.
А вот это интересней (как и просроченный ключ, кстати). Данный функционал пока не реализован, но стоит в ближайших планах.
Ситуация нетипичная, и результат зависит от того, чей никнэйм окажется выше в записях БД. Поскольку А выше, то ругани не будет. А вот если тем же ключом подпишет В, то будет предупреждение, что ключ принадлежит А (просто при проверке принадлежности ключа возвращается только первое соответствие; вообще сценарий интересный, и его тоже следует добавить в проверку).
раз пошла такая пьянка, у меня тоже есть несколько общих соображений на тему сегодняшнего местной "атаки кло(у) нов".
1) Разработка движка ведётся бессистемно. По принципу "experimental software". Пришла в голову идея, понравилась – её реализовали. А программирование по формальной модели разработки – недостижимый уровень (как у легендарного профессора DJ Bernsteina, который может найти дырку даже в HelloWorld, а сам пишет законченные с точки зрения безопасности программы). Хотя: 99% всего open sourca так и делается – из подручного мусора и шлифуется только со временем (Про остальной я вообще молчу). Может большего и не надо? Создатели и пользователи всего этого и так набираются достаточно ценного опыта на этом экспериментальном полигоне?
2) Всё собрано из подручных средств. PHP+обёртка к бинарнику с фильтрацией комманд.
Мне вообще кажется, что средствами безопасной разработки форумов мало кто заморачивался.
И уязвимости в них всегда будут.
Поэтому в важных случаях используют листы почтовых рассылок, с минималистичным и неразвивающимся интерфейсом, где можно отображать подписи, но не форумы.
А если делать форум+openPGP не из подручных средств, то нужная своя библиотека, наподобие Apache mod_ssl, которая бы очень серьёзно сама бы всё сначала обрабатывала, а затем уже передавала данные библиотеке libgpgme (по аналогии с библиотекой openssl). Всё это через API, а не напрямую через фильтрованный пайп.
Но вся эта обёртка над бинарником...конечно так тоже делают, но это мне кажется потенциальная дыра.
Вот если бы под проект был написан модуль типа Apache mod_ssl, только lib_openspace_gnupg или как-то так.
Всё верно. А на формализацию откровенно времени нет. В общем смысле всё это действительно большой эксперимент, за который мне лично вообще никто не платит.
Ага, и установили бы это на виртуальной хостинг-площадке. Кто ж позволит? А за виртуальный сервер или, тем паче, коло-сервер платить слишком дорого. И, самое главное, нужно ли всё это?
Надо Вам придумать какой-то коммерческий проект. Какую-нибудь фишку как у Гугла. Потому что Ваш опыт в проекте если не бесценен, то по своему уникален.
А ещё, если что-то делать только потому-что так надо, а не потому что так выгодно, может получиться по крайней мере интересный и неожиданный результат.
подкинул я когда-то идею с SSL/https, чем удорожил хостинг, а теперь понимаю что всё ещё раз упирается в деньги. Что ж, выдумывать дорогие и нереалистичные проекты у меня получается. Только это действительно чаще всего не нужно. Ну можно хотя бы помечтать.
Если бы я искал только выгоду, то этот сайт ныне вообще бы не существовал. ;-)
Как бы то ни было, хочется верить, что не зря всё это...
Не знаю кто-как, я не верю, я точно знаю что да, не зря.
Спасибо за поддержку. Это точно важнее денег.
У меня был случай: создавал парню ключи, я в италиии, он на украйне. 2 часа разность фаз. Ну создали, перекинули друг другу, сели тестить в джабер, а я не могу импортировать их в кольцо. Потом поставил игноре тайм конфликтс – скушал клиент джаббера, но работать с таким ключом отказался. Единственный вариант был – либо ждать сколько-то времени либо переводить системные часы если надо общаться срочно. Я сделал второе. Потому и спрашиваю как сайт реагирует на временные казусы.
Аккаунт пользователя SATtva'а это позволит мне скопрометировать на текущий момент? :-)
Насколько я понимаю, только те вещи, которые человек сделал в жизни бесплатно ради идеи в конечном счёте покажутся ему не бессмысленными в конце жизни. А деньги, это то что сгубило всё, всю жизнь протравило :-(
Надо в заголовок добавить: "This is experimental website software, do not rely on it for strong security". А вести безопасную разработку, дорабатывая потенциально небезопасный софт, бесполезно.
Я от кого-то слышал, что в некоторых компаниях используется такой приём, забыл как называется: один пишет, а другой стоит у него над душой и на каждое его действие говорит одобряет он его или нет, а также поправляет неточности/ошибки. Пока оба несогласятся, в коде ничего нового не появляется.
А ещё вроде бы есть группа людей, котороая занимается исключительно поверкой кода, и это не авторы проверяемого кода.
Не знаю – это надо обращаться к сепциалистам, кто знает как пишутся серьёзные проекты с хорошей надёжностью.
В сообщении[link12] вставился лишний пробел между "ua." и "KOI8-U".
Кто виноват и что делать?
Вот ещё один тест:
ua. KOI8-U
ещё одна[link13] идея без ответа.
А ещё две независимые группы разработчиков могут писать две реализации под одну и ту же задачу. По завершении проводится перекрёстный аудит обеих, и выбирается наиболее надёжная/безопасная/эффективная или на их основе пишется третья.
Подходов много. Но все они исключительно дОроги (в плане время- и трудозатрат, финансовой поддержки и пр.).
SATtva:
Да, ну или так: выясняют какой коллектив нагнал и на расстрел его. Бомбу именно так считали. 3 коллектива. От расстрела спасла одна из случайностей: обнаружили ошибку научного характера в алгоритме, а не в самой его реализации.
P. S.: тогда правильно, кажется, посчитал только один коллектив.
2 SATtva:
надо пофиксить боян на сайте либо раскажите как его печатать:
\[\:\:\:\:\:\] без символов "\"
И вообще, как в каком-либо из кусков текста отключить действие всех спецсимволов чтоб сайт воспринимал их буквально?
Чё-то сходу не нашёл в документации.
Пишем в удвоенных кавычках (без пробелов)
" " [:::::] " "
Текст, заключённый в двойные кавычки, выводится как есть (а если впереди добавить тильду, будут выведены и двойные кавычки :-). Пример:
""**тестирование раз**
//тестирование два//
тестирование три - ::::::""
Ну, или в код, как unknown предложил. Тогда вместо кавычек используйте двойные знаки процента – %%.
А как здесь обстоит дело с матформулами?
Если никак, то предлогаю mimeTEX[link14]
Вот как это делают[link15]
Впечатляет. Но оно нам надо? Кто у нас кроме unknown'a и mellon'a умеет пользоваться mimeTEX'ом?
Ну может spinore ещё. Да, голосование мы провалим.
Я только LaTeX знаю на данный момент :-)
А вообще, идея хорошая!
Вдруг потом поднимем межнаучный форум среди любителей точный наук?
Но это так, в абстрактном будущем :-)
только что сайт сдыхал, что с ним было? Был недоступен.
Резервная копия делалась и оптимизировалась база данных.
Ух, а я уж думал всё – закрыли ресурс :-( за нарушение чего-нибудь там.
Такой российский сайт есть и с mimetex-движком. Mimetex – немного корявый, но быстрый рендер для LaTeX.
В статье, которую я привёл выше, сделано лучше.
Пишете
[tex]
[/tex]
и получаете полное tex-форматирование в форуме. Наверняка не особо секьюрно (так же как и mimetex), хотя красиво. Можете хоть метапост и gnuplot туда присобачить, но думаю нам это действительно не надо.
Да баловство это всё. Почему всякие любители оружия, охотники за НЛО, диссиденты, диггеры, хакеры и т.д. до бесконечности считают, что именно их надо закрывать в первую очередь? Наверное набивают себе цену.
Мания преследования.
unknown, статью вот смотрю, но не пойму пока, это вы картинки вставили, или на сервере отрендерилось?
На счёт необходимости.
Ну мы криптографический форум, или где?
А какая криптография без формул?
это раз.
Следующее. mimeTeX позволяет форматировать схемы, блоки, если необходимо и топологию можно впихнуть без особых затруднений.
это два.
unknown верно отметил на счёт некой корявости, но это с лихвой покрывается универсальностью
====================
Потом, хочу отметить, что форум через TOR работает очччччень медленно (по сравнению с другими ресурсами)
Выражается тем, что броузер (gecko based, konqueror) долго ждет ответа.
Причем, часто, при отпралении комментария запрос посылыется довольно быстро, но начало загрузки готовой страницы с добавленным комментом приходится ждать очень долго.
Долго это значит больше 3-х минут, а не редко "ожидание ответа" затягивается до порядка 10 минут
одного не могу понять: зачем ходить на pgpru под тором? Честно не понимаю. Сайт же легальный!
Ну тут простор для фантазии может быть неограниченный.
Разве tor предназначен только для того, чтобы ходить на нелегальные сайты?
А зачем ходить под тором только на нелегальные сайты, а на легальные в открытую? А как же покрывающий траффик? А если есть расшаренная точка доступа под tor?
Может анонимность это такое хобби, стиль жизни или навязчивая идея, поэтому шифруем абсолютно всё.
Кстати, если есть возможность, всегда лучше шифровать весь канал связи целиком, а не только отдельные соединения.
Отрендерилось. На сервере. Только не на нашем. А вставилось с другого.
Если в чём-то сомневаетесь, всегда советую смотреть исходный код отображаемой страницы, тогда всё станет ясно.
Делать вставки с публичных серверов конечно не вариант, так как картинку могут в любой момент отключить или заменить, да и исправлять или цитировать код формулы неудобно.
Ещё раз: в ссылке про то, как это делается использован лучший рендер, чем mimeTeX, который мне не особо нравится.
Только не являюсь я энтузиастом этой идеи. Сил отнимет на реализацию много, проблем потенциальных тоже много, а отдачи практически не какой.
Иметь полноценное LaTeX форматирование в форуме это уже понты какие-то :-)
1. Есть мысль(кстати, может быт ошибочная), что за пользователями Tor придут не раньше, чем за посетителями этого сайта.
2. Для "полевых испытаний" (в частности показавших, что для анонимного и обычного хождения нужно использовать разные инсталляции браузера, иначе периодически забываю вовремя переключиться в анонимный режим)
В случае с mimetex придётся скопировать один файл mimetex.cgi в директорию cgi-bin/ (на сервере).
Почти все силы, надо думать, отнимет действие сие... :))
Оставим в покое п.1, как если и не ошибочный, то неясный и не особо конструктивный.
А вот п.2 полезен. Если на другом сайте глючит форум или какие-то функции из под тора, Вы не всегда сможете объяснить, в чём дело.
А здесь можно проверить: дело в движке форума или в Ваших настройках и как их можно подружить.
Ну тогда я не против :-)
Нельзя ли в сообщении о недоступности сервера писать ожидаемое время начала его работы?
И нельзя ли (из соображений параноидального характера) выкладывать резервные копии в открытый доступ?
Вы его пингуете каждую секунду что-ли?
И что диктует Вам ваша паранойя? Вручную сравнивать копии, чтобы находить подозрительные расхождения в случае взлома? Или поднять зеркало, если сайт надолго пропадёт?
Поднять зеркало. Лучше как скрытый Tor-сервис. И с непрерывным покрывающим траффиком. И с распределённой формой хранения материалов сайта.
Мне кажется, что "размер имеет значение". И создание систем с небольшим непрерывным покрывающим траффиком – вполне реальное дело. И копирасты не будут так сильно доставать, если фильмы качать будет нереально, а вот для обмена короткими текстовыми сообщениями (чаты и форумы) – самое оно!
Правильно ли я понимаю, что непрерывный покрывающий траффик даёт защиту (конечно, пропорциональную количеству участников) от глобального наблюдателя?
Сколько форум ни пингуй, всё равно получишь... доступ! :))
По карйней мере в наиболее важных военных каналах связи этот метод используется.
И ещё всё это стегофицировать, как-нибудь привязавшись к траффику какой-нибудь массовой онлайновой игрушки. (Наверное игрушка должна быть без центрального сервера, P2P. Кто нибудь знает такую?)
На этом моя паранойя останавливается... Может, у кого есть ещё какие идеи :)
Кстати, каков размер резервной копии этого сайта?
На счёт ТеХ'а
Есть идея.
Вот unknown отрендеренные картинки вручную вставляет.
Если на данном сервере pgpru.com уж очень сложно реализовать свой рендеринг, то может просто автоматизировать, то, что делает unknown, и при встрече в комментарии ТеХ блока рендерить его на стороне? А полученную картинку вставлять в готовую страницу? При этом текствый ТеХ блок сохраняется в исходном тексте комментария. Таким образом решатся следующие слабые места.
1) Недоступность стороннего рендерера, если он стал недостуепен, то администрартор просто заменяет его на другой доступный.
2) Постобработка комментариев: подписание, цитирование и т.д. не составят труда, ибо будет доступен TeX оригинал.
Но я бы, конечно, для начала поискал уже готовые решения, насколько я помню, для MediaWiki есть готовый ТеХ-модуль, нет ли чего подобного и для этой wiki
Вопрос: Что получится, если скрестить микророботов и микробов?
Ответ: микроботы
"Matrix has you!"
unknown:
А вот та же математика без TeX'ов.[link16]
Само собой. :-)
Гость:
Нельзя. Это не зеркалирование, а резервная копия БД. Со всеми пользовательскими паролями, списками допуска и пр.
Сжатая БД — около десяти мегабайт (без сжатия под 70). Не считая загруженных файлов — это ещё пять мегабайт в .gz. И движка — это ещё три.
Я думал, хранятся хэши. :(
Но ведь наверное можно сделать децентрализуемую базу с использованием достижений ассимметричной криптографии?
70 мегабайт текста?! Нифига себе... :()
Хэши и хранятся. А Вы считаете это панацеей? Имея хэш пароля можно воссоздать авторизующий cookie и войти на сайт под именем любого пользователя.
Я использовал "укреплённые" куки, усложняющие такой манёвр, но они имели побочный эффект (нельзя было работать через два браузера одновременно), доставляющий неудобства некоторым участникам. В принципе, можно совместить оба подхода (т.е. хранить в куке не явный хэш, а его XOR с хэшем секретного показателя системы), но это тоже не панацея. Ваш покорный слуга всё равно сможет заниматься имперсонацией, поскольку имеет доступ к секрету системы. :-)
Можно вообще всё, что угодно. Вопрос в другом: нужно ли? И кто займётся реализацией?
Строго говоря, текста меньше (в базе данных хранится не только текст). Если интересны детали, они таковы (только основное):
- Списки допуска — 1 Мб
- Наблюдения за изменением документов — почти 1 Мб
- Логи — в пределах 3 Мб обычно
- Список реферреров — до 7 Мб (в зависимости от посещаемости сайта)
- Редакции страниц — на данный момент 3,5 Мб
- Пользователи — 0,5 Мб
- Страницы и комментарии — почти 40 Мб (25 — текст, 15 — индекс)
- И прочее по мелочи
- За пределами БД ещё кэша иногда на 10-20 Мб набирается, но он ценности не представляет
Касаемо страниц, есть одна особенность. Объём текста можно разделить пополам, поскольку он хранится в двух экземплярах: исходник и откомпилированный html с внутренней разметкой (это для ускорения загрузки страниц, чтобы не прогонять текст через форматтеры при каждом открытии url'а).А если в куку положить другой хэш, полученный из пароля с помощью другой хэш-функции. Тогда можно будет свободно публиковать хранимые хэши паролей, поскольку из них уже не получишь сессионный хэш.
А что ещё в существующей базе данных представляет собою секрет, мешаюший выложить её в открытый доступ?
Как этом сайте пользовать LaTeX :)
Пишем подряд, без пробелов (неудобство, однако), префикс
http://www.forkosh.dreamhost.com/mimetex.cgi?\fs7
затем формулу на LaTeX'e, например
\sqrt{a^2+b^2}
и постфикс :)
\fs0\hspace{444}.gif
Итого, написав
http://www.forkosh.dreamhost.com/mimetex.cgi?\fs7\sqrt{a^2+b^2}\fs0\hspace{444}.gif
получим
;-)
Некоторые страницы и обсуждения с ограниченным допуском. Кроме того, простое опубликование бэкапа большой пользы не даст. Бэкапы пишутся в специальном формате (в целях компактности и возможности делать/восстанавливать бэкапы в условиях жёстких ограничений на объём используемой памяти), для распаковки которого в SQL требуется парсер. Движок пока в единственном экземпляре работает на этом сайте, а публиковать его исходник до завершения альфа-стадии мне бы не хотелось (конечно, если попросите, передам напрямую).
Вот и славненько. У меня в браузере, правда, графика с левых сайтов режется.
А вы скопируйте на сайт файл mimetex.cgi, будет графика со своего :)
А ещё это можно использовать как антиспам
Вместо пробела пишем тильду ~
На новую строку переходим \\
Постфикс %%.gif
http://www.forkosh.dreamhost.com/mimetex.cgi?\fs5\cyr{Pochta}\hspace{20}box~@~ma~il.r~u\\\fs7\left\int_a^b~x^2dx~=\frac{x^3}3\right|_a^b%%.gif
SATtva:
А в чём состоит "секрет системы"? В этом[link17]?
SATtva:
А зачем они нужны кроме как для статистики? И обычно они на всех форумах/сайтах сохраняются?
unknown:
Я бы ответил, это б даже смешно было... но лучше промолчу – так будет всем полезнее.
unknown:
Ну да. Он предназначен нарушать закон, если быть более точным. Для обхода корпорактивного админа достаточно сторонней прокси/VPN. tor используют большей частью для тех или иных нелегальных целей если исключить тех, кто его изучает по долгу службы/работы. Я даже более того страшную вещь скажу: профессионалы в боласти безопасности высокого класса – это люди, имеющие большой опыт нелегальной деятельности в сети. Последнее утверждение, в частности, объясняется тем, что "спортивный или академический интерес" – это одно, а "реальная угроза оказаться за решёткой" – это совсем другое. Вам на кажется ли, что вторая категория будет более усердно изучать ИБ? ;-) Ну это так, чисто к слову по поводу розовых очков :-)
unknown:
А тут бабка надвое ещё сказала про покрывающий траффик. Смотрим:
Админ локальной сети (который поди про тор вообще ничё не слышал, ну да ладно – этот случай вообще тривиален): "так, посмотрим куда Вася ходит... хм. Ни одного адекватного сайта. Что это такое?! Шифруется? Ничё не могу понять, какие-то нездоровые логи, чем он вообще занимается?"
В случае разделения трафика на легальный и иллегальный:
"Ну вот, ходил новости читать, по форумам лазил, что-то не смог определить (это на самом деле тор – ред.), но мало ли куда он там ещё ходил и что делал... " (если сильно не интересуется он Васей, то он и не будет выяснять его детальный портрет и каждый запрос в есть.)
Это я к тому, что более plausible является второй случай с раздедением траффика.
Обратный эффект: создавая только тор-траффик админ может сказать "ага, Вася наверняка мног окуда ходит, так что если он использует тор на все случаи жизни это ещё ни о чём не говорит...".
Ещё один обратный эффект: используя тор по всем случаям жизни вы создаёте больший тор траффик, а, значит, рыться в общем тор-траффике для отлова нелегальных запросов станоовится сложнее.
Прямой эффект: используя тор для вполне легальной деятельности, вы необоснованно перегружаете итак перегруженную сеть тор мешая использовать её тем, кому она более нужна в данный момент (своровал сам – дай своровать другому, делаться надо :-)).
и т.д.
На парадокс этого же класса даже анекдот есть, и не один. Думаю, вы меня поняли. Если у вас есть серьёзные аргументы о том, почему модель "всё через тор" даст оптимум по малости_геморроя/анонимности/скорости_загрузки_страниц и т. п. то поясните.
unknown:
Конкретно это причём здесь?
unknown:
Вообще да, гипотетически, а реально в русском языке на это поговорка есть ещё с давних времён: "дыма без огня не бывает" ;-)
unknown:
С учётом вышесказанного жду комментов о том почему выигрыш в анонимности окупит излишнюю перегрузку тора и столь сильное урезание себя в скорости серфинга. Ремарка: если бы можно было показать что существующий уровень анонимности достаточен для действия "A" при использовании раздельного серфинга по инету, то переключка на модель "всё через тор" даст заведо проигрыш.
unknown:
А если бы я писал форум с нуля и по уму, я б сделал так, что поддержка LaTeX-форматирования была бы реализована обязательно, наприимер, через модуль. Мозги ибо надо иметь прежде чем проектировать. В MatLab до 7-й версии тоже считали что интеграции с LaTeX'ом не нужно делать – итак хорошо. Когда под конец осознают, то уже поздно: делается вырыванием с корнями, выкорчёвыванием, прикручиванием костыля, заживает долго, порастая новыми костылями, и в итоге оказывается вживлённым через заднее место. А печатать формулы очень много кому надо – просто все уже привыкли использовать не то что нужно либо вообще писать plane-текстом. tex – это не только формулы, это ещё и форматирование. Например, вместо html можно было бы использовать LaTeX или хотя бы их скрест. Я не профессионал веб-дизайна конечно, этоя из общих соображений всё :-) ... так что относитесь критически.
Гость:
Вы хотели сказать "разных пользователей" или "разные профили одного и того же браузера" но забыли перейти на Linux :-)
unknown:
Как правило всегда и легко: это значит админ – <вырезано>к.
unknown:
да, и когда сервер становится недоступен сразу начинается ломка :-)
unknown:
Да, поднятие зеркала – это хорошая вещь в любом случае, вопрос только в окупаемости усложнений повышением надёжности.
Гость:
Залить его во freenet что ли?
Гсть:
Пояснее выразитесь, что-т не понял Вас.
Гость:
А может просто оставить комп в покое и научится телепатии на основе симметричного/асимметричного шифра, шоб мысли шифровать/подписывать? Хотя если б кто-то мог читать мысли, то их тоже можно было бы стеганографировать (?). Считайте, что детектор лжи – это первый пррибор пытающийся читать мысли... так что идея не столь абсурдна :-)
spinore:
Это по ошибке так вставилось... на самом деле сие есть аргумент для unknown'а по поводу его слов на тему "кто использует тор".
Ещё одна мысль: обычно на форумах пишется в правилах, что запрещено создавать никнэйми или подписываться таковыми, похожими на уже существующие, оскорбительными, содержащими мат или нецензурные/ругальные выражения... и т.п.
Возможно, этим стоило бы дополнить правила pgpru.com.
Какое-то странное поведение браузера/сайта в очень старых темах типа этой[link18]:
захожу из-под оперы, сайт показывает что я под "гостём" в то время как в других темах под своим ником, я начинаю думать что меня выкинуло с сайта, перехожу на страницу авторизации – показывает что залогинен и всё ОК, ворачиваюсь на исхожную страницу – всё так же, то есть гость. В итоге прохожу тест тьюринга, печатаю сообщение выбрав ник, а после отправки оно помечается как отправленное от меня и всё ок, причём теперь и сама страница не требует больше тьюринга. Глюки с отображениемстраницы (?).
spinore
Это максимум мог быть секрет моего/Вашего альтер-эго. Секрет системы — это секретное значение, заданное в конфигурации.
Откройте на любой странице список ссылающихся страниц (кнопка в панели инструментов рядом с правкой, редакциями и прочим). В общем-то, это наследие WackoWiki, но штука иногда полезная. Кстати, при сохранении резервной копии сайта они по умолчанию не резервируются.
В порядке уточнения можно и дополнить.
Любопытно. Больше похоже на какие-то глюки Оперы с (не) передачей кука и кэшированием.
Мысль простая(даже две мысли): чем меньше предмет тем дешевле сделать для него надёжное укрытие, и если у вас сейф малого размера, вас не будут подозревать в укрывательстве в нём крупных вещей.
Узкий канал связи с постоянным покрывающим траффиком даёт защиту от тайминговых атак, стоит недорого, не вызывает подозрений у кинокомпаний на предмет
пиратстваробингудства и позволяет свободно обмениваться мнениями тем, кто мождет их выразить в письменном виде. (А тем, кто этого не может, свободу давать опасно)Не знал, что "кинокомпании" – это разновидность жупелов :-)
google:DMCA+MPAA[link20]
кстати, может кто чиркнет статью в вики о коректном доказательстве что единственный не преступный способ зарабатывать на софте – это платить за его разработку а не за каждую проданную единицу, причём последнее является обычной прдажей воздуха или пирамидой. То есть, если фирма хочет что-то написать, она может нанять программистов, заплатить им за труд, и получить программу, котрая после этого не имеет права продаваться за деньги. Оно очевидно, просто надо время + подумать, может у кого желание появится, а то мне не до того сейчас :-(
кстати хороший вопрос: в связи с тем что страница долго рендерится на этом тяжёлом движке что произойдёт когда посещаемость сайта резко возрастёт? Какова будет масштабируемостьв зависимости от нагрузок?
P. S.: когда всё уже будет сделано переделывать, конечно, уже поздно ...
2 Spinore, вообще это уход от темы, но поскольку я считаю, что просвещать людей в нормальности, необходимости и обязательности open crypto не менее важно чем open source, то придётся для вас и других сомневающихся ещё и ещё раз упорно цитировать первоисточники:
Да, это всё утопия, в которой позднее разочаровался и сам Шнайер. 99% людей считают, что им open crypto не нужно. Так же как им не нужно open source: если у обычных пользователей есть возможность выбирать, то они могут выбрать программный продукт по критерию привычности, яркости, простоты использования, дешевизны или бесплатности (если можно выбрать безнаказанно пиратские программы, то выберут их). Простому пользователю наплевать, что драйвера или бинарники могут быть без исходников. Лишь бы работало.
Но они определяют сиюминутные потребности рынка, а не технический прогресс. От них мало что зависит в перспективе.
Во времена Шнайеровской Красной Книги не было к примеру средств полного шифрование ОС. Сейчас это есть и в Win и в Nix "из коробки" (не будем сравнивать как это реализовано). Для большинства по Вашей наивной логике это не нужно. Им ведь нечего скрывать? Но не они заставили даже коммерческих производителей сделать выбор.
Когда-нибудь и системы анонимной связи станут нормой. Такой же как SSL в браузере/почтовом клиенте или цифровая подпись пакетов. Пользователи даже не будут знать, кто это придумал. Для них это будет прозрачно. Хотя стойкая криптография всё ещё кажется чем-то чрезмерным или подозрительным, рано или поздно она будет повсеместной, все каналы связи будут зашифрованы, анонимизированы, стеганофицированы, наступит мир во всём мире и т.п. и т.д. ну и прочий утопичный и пафосный бред.
spinore:
Потенциал для роста по моим прикидкам — 5-10-кратное увеличение посещаемости. Система кэширования должна скомпенсировать повышение нагрузки; в настоящее время она почти не используется.
Оффтопик, но...
unknown:
Что-то, типа...[link21]
Вообще интересно... но вот мир во всём мире точно не наступит :-)
Есть ещё идея: когда человек делает шаг вперёд он понимает, что информация должна быть открытой, получать деньги за воздух нельзя, всеим нужно работать сообща... как и в науке. Но у каждого есть ещё один артефакт: авторство. Если сделат ещё один шаг, то исчезнет авторство, которое есть лишь порождение гордости. Что же можно получить в пределе... да, мне уже тут Vadim_Z подсказал тот факт, что "иконы не подписывают". Значит что-то в этом определённо есть...
Всех авторов будут обозначать как unknown?
Вспоминаю фразу Калласа (из PGPCorp) на ShmooCon пару лет назад: "Information wants to be free, but programmers want to eat".
unknown
Да, что-то типа "имя твоё неизвестно, но твои посты будут жить в online всегда"
Между прочим, на философии нам рассказывали о том, что когда-то в древние вка было авторство было "не модно" и все, кто что-либо писал подписывались именами кого-либо из великих. Сами же великие, как в итоге оказалось, физически не могли написать всё то, что им сейчас приписывается. Так что всё это не столь абстрактно. А лпатить программистам можно независимо: написал программу – получил за свой труд, авторство напрямую здесь не при чём.
А банкирам как?
Они одни и те же деньги одалживают (увеличивают счёт на вашей электронной кредитной карте нажатием всего нескольких клавиш) до 30 раз одновременно разным людям! Называется это явление "кредитная мультипликация" и возможно благодаря тому, что обычно не более 3% людей хотят забрать свои деньги из банка одновременно.
Поэтому пока что платитьза труд – нереально. Так система устроена: одни делают, а получают за это другие. Устроители такой системы.
А программисты массе своей получают оклад, основную же прибыль получают владельцы компаний (ну и кое-что топ-менеджерам перепадает), которые сами программ (уже?) не пишут.
(И с какого бока тут, интересно, движок сайта? :)
А ещё механизм "интеллектуальной собственности" позволяет использовать копии программ в качестве разменной монеты! :)
прочтение того, о чём говорилось вот в этой[link22] ссылке сняло бы все вопросы о том, что происходит в действительности. Или, по крайней мере, большинство вопросов. А движок здесь и вправду не при чём.
Вопрос с оттенком любопытства: недавно заходил под оперой на главную страницу сайта – смотрю баннер снизу вылез с гуглрекламой, весь вид испортил. Через некоторое время вижу что SATtva обновил главную странцу: баннер исчез, и появилась реклама снизу как и раньше. А как это делают технически и что конкретно творят хостеры, что время от времени баннеры вылазят (что их потом надо фиксить)? И можно ли настроить на сервере показ страницы так, чтобы банеры вообще не показывались? Или это будет нарушением пользовательского соглашения? Я где-то, кажется на давно ещё мазафака.ру видел инструкцию, что, если не ошибаюсь, выставить новую (ещё несуществующую версию) версию то ли для html то ли для ещё чего, то баннер грузиться не будет :)
P. S.: если что, я в web-технологии полный чайник.
Ни один в своём уме провайдер платного хостинга не будет требовать установку рекламных баннеров. Такое обычно используют на бесплатных площадках a-la narod.ru. Так что если рекламные блоки и появляются, то появляются легитимно.
[offtopic]
На мой взгляд, текстовая контекстная реклама (как у Гугла или Яндекс.Директ) портит вид сайт значительно меньше графической. Графическую я в любом случае расширять не стану: благо, есть давний партнёр, баннеры которого крутятся уже несколько лет, и его поддержка позволяет окупать хотя бы хостинг и немножко — затраты моего собственного времени. Гугловские блоки я поставил пару дней назад в качестве эксперимента в надежде поднять доходность по второй статье и выделять больше времени на развитие сайта.
[/offtopic]
Ясно, спасибо.
SATtva,
При переименовании темы испортилась кодировка первого сообщения в теме: Генерация случайных паролей[link23]
Что-то движок совсем плохо поддерживает юникод.
И вообще по идее он контент темы трогать не должен при переименовании.
Updated: Исправил кодировку.
Он только текст темы переписывает. Проблема была в том, что текст был подписан; обновление страницы сбило установленную кодировку. Исправлю — текста подписанных страниц (и даже названия) вообще не надо касаться.
Ссылка
h
t
t
p
:
/
/
www
.pgpru.com/
themes/
plastiq/
icons/
web.gif
выпадает из https://. Но это же не баннер, чтоб его блокировать.
<img src="http://www.forkosh.dreamhost.c.....-\infty}^xe^{-t^2}dt[link24]" alt="" border=0 align=middle>
тестовое сообщение
[tex]
\begin{displaymath}
\frac{a^2 – b^2}{a + b} = a – b
\end{displaymath}
[/tex]
тестовое сообщение
Предложения по поводу движка :
1) Во всех местах где указывается время дописывать GMT+N. Возможно, в настройках добавить пункт "часовой пояс".
2) Рядом с полем ввода тела сообщения добавить прямую линку на правила редактирования вики, а то сейчас надо далеко гулять по ссылкам чтобы найти.
3) Читаемость URLов тем форума можно было бы улучшить если бы пробелы заменялись на символ прочерка например, а не исчезали совсем.
4) При наличии gpg ключа и смене адреса почты в настройках долго пытался "правильно" подписать текст подтверждения changemail. Может стоит добавить в описание, что подпись должна быть "прозрачной"? Т.е. для gpg — xclip -o | gpg --clearsign -.
По последнему пункту: подпись совсем не обязана быть прозрачной. Единственное условие — она должна быть в ascii.