Относительно движка сайта
Уважаемый SATva!
При всём моем уважении выбор нового дизайна и движка крайне неудачен.
Понимаю, что Вы вложили в это немало труда, но увы, напрасно – пользоваться новым сайтом просто утомительно :(
|
||||||||||||||||||||||||
|
||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
1) Разработка движка ведётся бессистемно. По принципу "experimental software". Пришла в голову идея, понравилась – её реализовали. А программирование по формальной модели разработки – недостижимый уровень (как у легендарного профессора DJ Bernsteina, который может найти дырку даже в HelloWorld, а сам пишет законченные с точки зрения безопасности программы). Хотя: 99% всего open sourca так и делается – из подручного мусора и шлифуется только со временем (Про остальной я вообще молчу). Может большего и не надо? Создатели и пользователи всего этого и так набираются достаточно ценного опыта на этом экспериментальном полигоне?
2) Всё собрано из подручных средств. PHP+обёртка к бинарнику с фильтрацией комманд.
Мне вообще кажется, что средствами безопасной разработки форумов мало кто заморачивался.
И уязвимости в них всегда будут.
Поэтому в важных случаях используют листы почтовых рассылок, с минималистичным и неразвивающимся интерфейсом, где можно отображать подписи, но не форумы.
А если делать форум+openPGP не из подручных средств, то нужная своя библиотека, наподобие Apache mod_ssl, которая бы очень серьёзно сама бы всё сначала обрабатывала, а затем уже передавала данные библиотеке libgpgme (по аналогии с библиотекой openssl). Всё это через API, а не напрямую через фильтрованный пайп.
Но вся эта обёртка над бинарником...конечно так тоже делают, но это мне кажется потенциальная дыра.
Вот если бы под проект был написан модуль типа Apache mod_ssl, только lib_openspace_gnupg или как-то так.
комментариев: 11558 документов: 1036 редакций: 4118
Ага, и установили бы это на виртуальной хостинг-площадке. Кто ж позволит? А за виртуальный сервер или, тем паче, коло-сервер платить слишком дорого. И, самое главное, нужно ли всё это?
комментариев: 9796 документов: 488 редакций: 5664
Надо Вам придумать какой-то коммерческий проект. Какую-нибудь фишку как у Гугла. Потому что Ваш опыт в проекте если не бесценен, то по своему уникален.
А ещё, если что-то делать только потому-что так надо, а не потому что так выгодно, может получиться по крайней мере интересный и неожиданный результат.
подкинул я когда-то идею с SSL/https, чем удорожил хостинг, а теперь понимаю что всё ещё раз упирается в деньги. Что ж, выдумывать дорогие и нереалистичные проекты у меня получается. Только это действительно чаще всего не нужно. Ну можно хотя бы помечтать.
комментариев: 11558 документов: 1036 редакций: 4118
Если бы я искал только выгоду, то этот сайт ныне вообще бы не существовал. ;-)
Как бы то ни было, хочется верить, что не зря всё это...
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
У меня был случай: создавал парню ключи, я в италиии, он на украйне. 2 часа разность фаз. Ну создали, перекинули друг другу, сели тестить в джабер, а я не могу импортировать их в кольцо. Потом поставил игноре тайм конфликтс – скушал клиент джаббера, но работать с таким ключом отказался. Единственный вариант был – либо ждать сколько-то времени либо переводить системные часы если надо общаться срочно. Я сделал второе. Потому и спрашиваю как сайт реагирует на временные казусы.
Аккаунт пользователя SATtva'а это позволит мне скопрометировать на текущий момент? :-)
комментариев: 1515 документов: 44 редакций: 5786
Насколько я понимаю, только те вещи, которые человек сделал в жизни бесплатно ради идеи в конечном счёте покажутся ему не бессмысленными в конце жизни. А деньги, это то что сгубило всё, всю жизнь протравило :-(
комментариев: 11558 документов: 1036 редакций: 4118
Надо в заголовок добавить: "This is experimental website software, do not rely on it for strong security". А вести безопасную разработку, дорабатывая потенциально небезопасный софт, бесполезно.
комментариев: 1515 документов: 44 редакций: 5786
Я от кого-то слышал, что в некоторых компаниях используется такой приём, забыл как называется: один пишет, а другой стоит у него над душой и на каждое его действие говорит одобряет он его или нет, а также поправляет неточности/ошибки. Пока оба несогласятся, в коде ничего нового не появляется.
А ещё вроде бы есть группа людей, котороая занимается исключительно поверкой кода, и это не авторы проверяемого кода.
Не знаю – это надо обращаться к сепциалистам, кто знает как пишутся серьёзные проекты с хорошей надёжностью.
комментариев: 1515 документов: 44 редакций: 5786
Кто виноват и что делать?
Вот ещё один тест:
ua. KOI8-U
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 11558 документов: 1036 редакций: 4118
А ещё две независимые группы разработчиков могут писать две реализации под одну и ту же задачу. По завершении проводится перекрёстный аудит обеих, и выбирается наиболее надёжная/безопасная/эффективная или на их основе пишется третья.
Подходов много. Но все они исключительно дОроги (в плане время- и трудозатрат, финансовой поддержки и пр.).
комментариев: 1515 документов: 44 редакций: 5786
Да, ну или так: выясняют какой коллектив нагнал и на расстрел его. Бомбу именно так считали. 3 коллектива. От расстрела спасла одна из случайностей: обнаружили ошибку научного характера в алгоритме, а не в самой его реализации.
P. S.: тогда правильно, кажется, посчитал только один коллектив.
комментариев: 1515 документов: 44 редакций: 5786
надо пофиксить боян на сайте либо раскажите как его печатать:
\[\:\:\:\:\:\] без символов "\"
И вообще, как в каком-либо из кусков текста отключить действие всех спецсимволов чтоб сайт воспринимал их буквально?
Чё-то сходу не нашёл в документации.