Относительно движка сайта

Вот два сообщения http://www.pgpru.com/Comment10794 и http://www.pgpru.com/Comment10787. В первом ссылка неурлкодирована, во втором – да. Если я открываю ссылки из обоих сообщений из Оперы – всё работает нормально. Если же из клиента RSS – то нормально открываются только те что заурлкодены. Некодированную ссылку клиент пытается видимо сам конвертнуть и получает на выходе какую-то фигню. Если ссылку просто copy/paste в строку браузера – всё работает. Вообщем это похоже проблема клиента (возможно только моего), и обходимая. Так что можно оставить как есть. С другой стороны с точки зрения стандартов инета интернациональные ссылки должны быть заурлкодены наверное..

Ага, похоже я понял. Попробую исправить...

Поставил тему OpenSpace. Очень понравилось.
В настройках профиля (полезно туда иногда заглядывать) обратил внимание вот на что: в качестве ID ключа ранее у меня был указан полный отпечаток, а сейчас в поле вмещается только половина, т.е.
вместо: CB75 3322 8147 1477 D940 53B5 4649 BD64 4BD1 2C40 только: CB75 3322 8147 1477 D940

Раньше как-то помещалось вот только с какого момента это потерялось?

Наверное, после переноса данных из старого форума. В общем-то, поле ID ключа предназначено именно для ввода ID (а это обычно 8 или 16 байт плюс префикс шестнадцатеричной нотации), отсюда и ограничение на размер поля. В принципе, можно и исправить, но не хотелось бы: в будущем ID будет использоваться для поиска ключа пользователя.

У меня по поводу подключения к нашему хозяйству GnuPG ещё не сложилось чёткое представление (поэтому исправление поля в одну сторону может в дальнейшем потребовать исправления в обратную сторону). Пока лишь общие идеи и некоторые намётки технической реализации такой схемы. Кстати, было бы интересно узнать, что вы все думаете по этому поводу (только не напоминайте об SSL, сам знаю :-).

Чтобы закрыть тему SSL, я не могу точно вспомнить источники, но в литературе мне встречалось прямое, хотя и необоснованное мнение, что вопроизвести его через набор javascript и cookie невозможно.

Насчёт GPG. Самое элементарное, я хотел бы для начала, чтобы полный отпечаток ключа пользователя отображался бы мелким, но чётким шрифтом внизу каждого сообщения. Таким образом его последние цифры постепенно будут запоминаться, как номер часто используемого телефона. Это повысит доверие и позволит замечать смену (или подмену) ключа.

Также возможно использовать кнопку "показать отделённую подпись". Хотя лично я скорее всего не буду использовать подписи через браузер. И даже их проверку на лету по открытым ключам. По соображениям безопасности предпочтительнее не давать доступ браузеру к ключам gpg и только в крайних случаях можно перетаскивать подписанное сообщение между браузером и консолью через файл.

Возможность загрузки в профиль открытого ключа PGP, используемого в дальнейшем для шифрования забытого пароля и сообщений приватной связи

Понимаю, что это сложнее, но удобнее в профиль загрузить только отпечаток ключа, а чтобы сам ключ скачивался из одного из любых серверов сети GnuPG и регулярно с ней синхронизировался. Продвинутому пользователю удобнее один раз выложить скриптом свой ключ в сеть GnuPG и не думать, где он его ещё должен вручную обновить.

А шифроваться это будет на стороне сервера что ли? Вместо того чтобы пользователь сам загрузил уже зашифрованный пароль или сообщение?

ygrek, кажется, Вашу проблему я тоже решил (её, кстати, напротив, вызывают ссылки, закодированные urlencode'ом). Проверьте, например, вот это.

unknown,

Чтобы закрыть тему SSL, я не могу точно вспомнить источники, но в литературе мне встречалось прямое, хотя и необоснованное мнение, что вопроизвести его через набор javascript и cookie невозможно.

Да, раз уж JS и cookie — это уровень приложений, то реализовать на нём функциональность транспортного уровня без взаимодействия с окружением просто невозможно. И совместимость такого гибрида будет весьма ограниченна.

Касаемо GnuPG, я не предполагаю использование закрытых ключей в том или ином виде. Пользователь будет загружать на сервер свой открытый ключ (да, сервер сможет и сам забрать его с одного из депозитариев). Поскольку сайт получит поддержку SSL, можно будет даже наладить полностью защищённую переписку через систему приватной связи, даже в отсутствие у отправителя открытого ключа получателя и GPG — он просто вводит своё сообщение в форму, и если на сервере присутствует открытый ключ получателя, сервер сам шифрует письмо и пересылает ему (возможность хранения приватных сообщений на сервере, как было в прежнем форуме, мне бы давать не хотелось).

Та же самая история с забытым паролем. Если пользователь предварительно загрузил свой открытый ключ, то сервер зашифрует с его помощью новый пароль и перешлёт ему на ящик.

spinore недавно выдвинул идею с подписью публикуемых в форуме сообщений, но это уже перебор, на мой взгляд. Тогда следует подписывать и редакции страниц, и всё прочее. Как всё это вписать в концепцию вики я, признаться, не представляю, но если вы можете меня просветить, буду крайне признателен. (Что важнее, я не уверен, что всё это очень-то нужно: если кто-то хочет подписать своё сообщение, он может просто заверить его "прозрачной" подписью, тем более, что мы изначально исходим из того, что все преобразования пользователь будет производить самостоятельно на своей машине. Загрузка закрытых ключей на сайт — это последнее, что пришло бы мне в голову.)

Самое элементарное, я хотел бы для начала, чтобы полный отпечаток ключа пользователя отображался бы мелким, но чётким шрифтом внизу каждого сообщения. Таким образом его последние цифры постепенно будут запоминаться, как номер часто используемого телефона. Это повысит доверие и позволит замечать смену (или подмену) ключа.

Обеими руками "за"!

Поскольку сайт получит поддержку SSL, можно будет даже наладить полностью защищённую переписку через систему приватной связи,

А, так всё таки это в отдалённой перспективе планируется? Тогда можно использовать сертификаты не только сервера PGPru.com, но и пользовательские. Ими пользователь мог бы аутентифицировать себя в сеансе связи с сайтом. Вот их то и есть смысл хранить на сайте.

Касаемо GnuPG, я не предполагаю использование закрытых ключей в том или ином виде.

А я и не предполагал, что Вы можете это предполагать :-)

Поскольку сайт получит поддержку SSL, можно будет даже наладить полностью защищённую переписку через систему приватной связи,

А, так всё таки это в отдалённой перспективе планируется?

Я бы даже сказал, во вполне обозримой. Через пару недель, в двадцатых числах, если быть точным.

Тогда можно использовать сертификаты не только сервера PGPru.com, но и пользовательские. Ими пользователь мог бы аутентифицировать себя в сеансе связи с сайтом.

Это которые X.509? Они ведь мало у кого есть (тем более с поддержкой удалённой аутентификации, а не только подписи мэйла). Будет ли в этом смысл?

Это которые X.509? Они ведь мало у кого есть (тем более с поддержкой удалённой аутентификации, а не только подписи мэйла).

Сегодня нет, завтра может кого-то заинтересует.
В WebMoney-Light же такая система используется. И даже непродвинутых пользователей не очень смущает.

Мы млжет сделать чуть сложнее.
Напишем краткий how-to, как сделать свой сертификат, подписать его ключём gpg, загрузить на сервер. Ну это уже точно на отдалённую перспективу, т.к. не на каждый комп. его можно таскать с собой, там придётся заходить обычным способом, по паролю, хоть и через SSL.

Не могу добавить новость. Пишет "у Вас нет прав на создание такой страницы"

И ещё нельзя отредактировать первое сообщение в теме. У меня там опечатки, а исправить уже никак не получается даже зайдя в режим модерации!

А ещё в OpenSpace очень маленькие выпадающие меню на Главной странице, в которые трудно целиться мышкой. В принципе, на многих, в основном коммерческих сайтах, такой дизайн принят, но мне выпадающие меню в WEBе не нравятся. Перешёл обратно на досье.

Панель модерации тем пока ещё по прежнему не работает. Переименовать тему не получается.

Сегодня нет, завтра может кого-то заинтересует.
В WebMoney-Light же такая система используется. И даже непродвинутых пользователей не очень смущает.

Ну, как вариант, хотя я не думаю, что у такой опции будет много поклонников. По-моему, как альтернативу парольной аутентификации следует использовать протокол запрос-ответ, предоставляя пользователю некоторую случайную строку на подпись.

Не могу добавить новость. Пишет «у Вас нет прав на создание такой страницы»

Да, простите, забыл установить права доступа на новый год. Уже сделал, пользуйтесь.

И ещё нельзя отредактировать первое сообщение в теме. У меня там опечатки, а исправить уже никак не получается даже зайдя в режим модерации!

Если тема прокомментирована, то нельзя. Это менять мне бы не хотелось.

А ещё в OpenSpace очень маленькие выпадающие меню на Главной странице, в которые трудно целиться мышкой. В принципе, на многих, в основном коммерческих сайтах, такой дизайн принят, но мне выпадающие меню в WEBе не нравятся. Перешёл обратно на досье.

Трудно же Вам угодить. ;-)

Панель модерации тем пока ещё по прежнему не работает. Переименовать тему не получается.

Открываете из самой темы или из раздела форума? Например, так:
http://www.pgpru.com/Форум/Ано.....тьВИнтернет/moderate

Если тема прокомментирована, то нельзя. Это менять мне бы не хотелось.

Самое смешное, что тему открыл я и комментарий я же и добавил. Надо было его удалить :-)

Трудно же Вам угодить. ;-)

Очень легко. Про debian.org и IACR я уже упоминал :-)

предоставляя пользователю некоторую случайную строку на подпись.

Если я потеряю свой пароль, то распишусь по почте и буду ждать пока меня восстановят. А так у меня gpg отделено от браузера, расписываться в WEBе "на лету" я скорее всего не буду. И другим *nix пользователям не посоветую. Или речь не о GnuPG подписи?

Трудно же Вам угодить. ;-)

Очень легко. Про debian.org и IACR я уже упоминал :-)

Тогда тема dossier наиболее близка Вашим предпочтениям. :-)

Или речь не о GnuPG подписи?

О ней. Впрочем, возможно Вы и правы, и такая функция будет избыточной. Она имела бы смысл без SSL, чтобы авторизоваться, не раскрывая пароля (применимость MITM для такого случая не рассматриваем), но при наличии SSL пароль всё равно не может быть перехвачен, а серверу он в любом случае известен.