JM-Nový příspěvek

	Auto

Návštěvnost: 4157555

Online: 1915
Přihlášených: 1
Nová registrace

Nový příspěvek

Autor:	Nepřihlášený uživatel
Příspěvek:	0/2000

Bezpečnost a stabilita webu Jawamania- co s tím?

[dadajan](16.11.2016 16:16:21)

Příspěvků: 42, poslední: 21.11.2016 12:24:5463644.všechno ostatní

Už nějaký čas lamentujeme nad vypadáváním a restarty webu-zejména diskuze. Pokud by pomohl na zlepšení stability a třeba i bezpečnosti webu nějaký další mimořádný finanční příspěvek, tak prosím někoho konstruktivního k výzvě. Dnes mi do schránky, kterou používám převážně na jawamania (ale ne výhradně) přistála následující zpráva , kterou asi netřeba komentovat:...."Dobrý den, jsem tady nová chci, abychom byli přátelé, jsem našel svou e-mailovou adresu, na www.jawamania.info . Chci, abychom byli přátelé se dozvědět více o sobě, jsem 25 let single dívka, jsem tu sám a já potřebuju někoho, komunikovat a být dobří přátelé. odpovězte přímo na můj soukromý e-mailovou adresu (agnezblinda@gmail.com). Pošlu vám moje fotky v soukromém e-mailu a budeme pokračovat odtamtud. čeká na vaši odpověď. Jmenuji se Agnes.!.......odesílatel: Agnes Linda [agne_barasa@yahoo.com]

hezké zoubky :-) [maspe] (21.11.2016 12:24:54)

monitoring jawamania.info zde http://statistiky.monitoring-serveru.cz/2228447 [xTas] (18.11.2016 11:48:27)

Pozerám do štatistík a niečo sa udialo. Neúspešne prihlásenia, zobrazené stránky, SQL spojenia išli dolu. Dnes mi to tu ale raz vypadlo. [Milos634] (18.11.2016 11:30:18)

bezpečnost - rozhodně jsem pro nezobrazování emailu nepřihlášeným (nebo alespoň textově), to je radost pro každýho harvestovacího robota

té dostupnosti nevěřím, a vzhledem k tomu že service unavailable by mělo házet 503, tak je to úplná utopie, padá to poměrně často na to aby to bylo 99,99%. To pruzení hostingu s ticketem je zajímavej nápad, když to udělá 100 lidí tak se možná dokopou k nějaký akci

google captcha - mám dobré reference, funguje celkem dobře.

Co se týče bezpečnosti, taky se mi taky osvědčila blokace ip. Testovací útoky jdou z celýho světa, ale bruteforce útoky bývají z jedný nebo relativně málo adres (případně víc útoků současně). Samozřejmě ideální je tohle udělat ve firewallu než v aplikaci samotné, nicméně po zablokování ty útoky do pár hodin ustávají, neplýtvají neúčinně výkonem robotů/zombie pc (takový fail2ban s týdenním banem dovede opravdový kouzla). Horší je to u ipv6, tam je potřeba blokovat celý rozsahy kvůli stupidnímu rozhazování ip [xTas] (18.11.2016 10:42:17)

Hlavně ne jednoduchou captcha, tu maj roboti dávno proraženou. Z toho co je součástí standardního phpbb balíku mi nefungovalo nic, to mají roboti už dávno naučené. Otázka jako uvádí krf také nefunguje, roboti tam zkouší jednak hrubě krátké kombinace znaků, tak prvních pár výsledků, co jim na otázku vrátí google. Otázka mi funguje dobře, ale musí to být něco co vyžaduje alespoň trochu inteligence nebo kulturních znalostí cílové skupiny. Navíc by v odpovědi měl být buďto nějaký český znak nebo by měla být dlouhá. Pak začnou chodit automatické emaily z překladače žádající odpověď na tu otázku. 1x měsíčně napíše někdo, kdo by projít měl, ale nedocvaklo mu to. [Deadman] (18.11.2016 9:13:21)

krf: Videl bych to na toto: https://www.google.com/recaptcha/api2/demo [HejtmaMa] (18.11.2016 8:16:04)

a místo těch rozmazaných obrázků, nestačilo by jak je třeba na roumenu to sčítání? to je možná jednoduší...např 3+2 a odpověd musí být 5 [krf] (18.11.2016 6:04:12)

Supr, ocenuju snahu (-: Chapu ze to neni na 15 minut, ale tu captchu by to do budoucna fakt chtelo (-; [Krizoň IV.] (18.11.2016 0:19:30)

Tak posledni update dneska ... poradilo se mi rozjet lokalne posledni code base, a diky tomu odladit tu problematickou sekci ucastniku srazu, jednak tam byl problem s vykonem pri vetsim mnozstvi ucastniku, a jednak se mi podarilo zakazat pridavat se neregistrovane (captcha neni momentalne v mych casovych moznostech), snad to pomuze, uvidime. Zaroven jsem premigroval projekt na .NET 4.0, a zkusim vic tlacit hosting do prechodu na tu novejsi serverovnu, pak se pripadne muzeme rozhnodnout co dal. Kdyz bude padat, ozyvejte se ;-) [HejtmaMa] (17.11.2016 23:37:26)

Tak to pada porad, ale neco jsem vysledoval aspon z vlastnich logu, tak se na to mrknu a snad to pomuze [HejtmaMa] (17.11.2016 21:23:57)

Miskin: Jak jsem psal, nedokazu rict co by bylo reseni dokud nevim co je presne za problem, castejsi restarty nejsou reseni priciny, jen dusledku, a celkovou stabilitu nezlepsi.

Aktualne jsem opet promazal ty spamy v Registraci srazu, bylo jich tam cca 33k, a davalo to te strance celkem pokourit. Co bych od vas potreboval je:

1) Sledovat stabilitu, muze se stat ze se ted zlepsi. Pokud by to opet padalo tak se podivat (ne vsichni najednou) na stranku registraci u Krucemburku, jestli se tam opet objevilo vetsi mnozstvi spamu a trva delsi dobu nacitani nebo ne
2) Pokud nekde jinde na webu najdete spam od botu ve vetsim mnozstvi, tak ho nahlasit, at vim ktere dalsi sekce pripadne sanitizovat
3) Zjistim aktualni naroky webu, a pak budu rad kdyz nekdo vypatra moznosti jineho vhodnejsiho hostingu ktery by to splnoval

Pripadna zjisteni davejte do tohohle dotazu, mam na nej nastavene notifikace tak mi budou chodit do mailu

Pro zajimavost, vyvoj tohohle webu mi trval dohromady cca 3 mesice 3-4 hodiny denne po vecerech (jako v te dobe pomerne nezkusenemu), pocitam ze nekomu zkusenemu by to s pouzitim dnesnich technologii mohlo zabrat tak 2-3 tydny na full time. [HejtmaMa] (17.11.2016 20:25:44)

HejtmaMa: nedal by sa napisat skript ktory by vsetkym uzivatelom upravil emailovu adresu tak aby sa nedala pouzit? napr. nahradit @ niecim inym, prerobit cely email na obrazok atd...? Alebo jednoducho neumoznit neprihlasenym vidiet profil uzivatela? [mihal] (17.11.2016 20:22:05)

Navrhujem teda zacat zbierat peniaze :-) napr. Paypal ucet kam by sme mohli prispiet alebo zalozit ucet aj na SR a z neho raz za cas previest peniaze do CR. (Koli poplatkom za prevod) [mihal] (17.11.2016 20:05:27)

nehledě na to, že vždy je mrtě rejpalů, kterým se něco nelíbí. [maspe] (17.11.2016 19:12:30)

přepsat takovýhle web je otázka minimálně několika měsíců denní práce, pokud to má být pořádně. A v tom právě není analýza, a další věci. Dříve jsem několikrát nabízel pomoc se správou/vývojem/úpravou webu, ale momentálně to je mimo mé časové a psychické možnosti.

HejtmaMa: díky za vyčerpávající informace. [maspe] (17.11.2016 19:11:15)

Klouzek: to právě není práce na týden, ač to tak nevypadá jm toho umí opravdu hodně (profily uživatelů, bazar, poradna, diskuze, galerie - ostatní jsou už "jen" stránky). Úplně programátor nejsem, ale živím se v tomhle oboru. Odhad od junior programatora by byl min 20k (ale potřebuje dozor). Takže když někdo zaplatí prg já se klidně postarám o zbytek "zadarmo" (analýza, zadání, testování)... ale komu by se za jm chtělo tolik platit :) [Miškin] (17.11.2016 18:58:48)

Ano vím o tom hovno protože v programování se nevyznám, ale chci podpořit renovaci, jak materiálně tak psychicky. Když to teda neni problém serveru, to by to někdo za prachy neudělal ? Třeba za 10 tisíc do tejdne ? Kdo máte teda šanci s tím cokoliv udělat, hlaste se všichni a je to. [Klouzec] (17.11.2016 18:50:54)

HejtmaMa: nevidím v tvém příspěvku řešení :) Takže by pomohl lepší hosting (komunikace, logy)? Klidně bych řešil i finance přes "sponzora" (nevím kolik stojí vps na .net 2.0 ale do 1tis měsíčně?) a za to by byl zde propagován, těch "firem" by se tady asi pár našlo co by mělo zájem, ne?

Předělávat to asi nemá pro nikoho smysl, není to věc na pár md. [Miškin] (17.11.2016 18:45:51)

Klouzku, znova, tohle neni problem serveru. Prachy na lepsi server to nevyresi. HejtmaMa celkem jasne napsal o co jde, lidi co maji sanci s tim cokoli udelat tomu rozumi, lidi co o tom vi hovno o tom budou vedet hovno dal. [Krizoň IV.] (17.11.2016 17:55:00)

Aktuálně to vypadává co 5 minut.
Navrhuju aby všichni napsali kolik jsou ochotni přispět a kdo by všechno přispěl, pak udělat nějakou kalkulaci kolik by stál nějakej lepší server ? Rozumím tomu hovno ale rád bych aby to chodilo, chodíme sem večer na diskusi každej den kibicovat od cca 8h a nedá se to jak to furt padá.
Aspoň prozatím než se to opraví kdyby někdo měl třeba návrh na nějakej jednoduchej chat bez píčovin a převést to tlačítko diskuse na něj ? [Klouzec] (17.11.2016 17:39:47)

JAK ME KONTAKTOVAT?

Jak jsem psal, na web pravidelne nechodim, tj. ani mi nepiste vzkazy. Bud mi poslete mail, viz muj profil nebo viz hlaska kdyz se vam nepodari prihlasit, a nebo jsem ve FB skupine, z te mi celkem notifikace chodi, ale i tak to muze trvat nejakou dobu nez se k tomu dostanu ... holt free sluzba bez reklam :-)

Pokud vas zaujalo nejake z nastrelenych reseni, nebo se k tomu chcete jinak vyjadrit, sem s tim [HejtmaMa] (17.11.2016 17:13:05)

CO DAL ... ?

1) Zamerne jsem postnul jejich odpoved i s cislem, pokud to nepojede, zkuste jim dat vedet, at maji trosku motivaci s tim neco delat. Nejspis budou mit lepsi cas reakce nez ja a aspon nam to restartuji. Kdyz si budeme stezovat casto, tak se na nas bud vyserou a budeme muset prejit jinam nasilne nebo na drazsi program (uz ted narazime na limity, ale se stabilitou to nema co docineni), a nebo nas presunou na ty vhodnejsi servery :-)

2) Kdyby nebylo udajnych utoku, web bezi v pohode, bez logu s tim ale nic zasadniho nevymyslim, ocekavam ze i kdyby se to nasadilo na jiny hosting, budou podobne problemy. Cekam na logy, pak uvidim co dal z moji strany, zatim nevim ani jak casto to nejede, rad se to dozvim od nekoho, nechodim sem pravidelne.

3) Pokud jsou mezi vami vyvojari kteri by se tomu chteli venovat nejakym inkrementalnim vylepsovanim toho co uz je, lidi to urcite oceni. Co se tyce jakekoliv odmeny, ja to neplatim :-), ale pokud byste to nechteli delat jen z dobre vule muzu vam pripadne publikovat separatni cislo uctu na kterem by vas mistni mohli odmenovat podobne jako prispivaji na web. Alternativa je nasadit reklamu a platit to z ni. Kazdopadne v tomhle pripade bych zustal vlastnikem a project managerem. Jedna z variant je opensourcovat zdrojaky na GitHub, a kdo by chtel, mohl by delat pull requesty.

4) Pokud si nekdo veri a chtel by to postavit odznova, klidne na jine technologii a stat se vlastnikem, je to taky moznost. Predem upozornuju ze to sezere mrte casu :-) Ja osobne drzim v podstate jen domenu a data, tj. bud muze probehnout podobna migrace jako probehla kdysi, a nebo muze probehnout import dat a prevod domeny. V takovem pripade bych vypsal "referendum" na to jestli by s tim byla komunita OK, nicmene lidi by se meli rozhodovat na zaklade porovnani neceho noveho s tim starym.

Dalsi prispevek bude ... jak me kontaktovat? [HejtmaMa] (17.11.2016 17:07:17)

STABILITA: To ze je web nestabilni pozname vsichni, je to tak, tady je vyjadreni WELIA na posledni incident kdy jsem si postezoval ze to pada prilis casto a rozhodne to neodpovida jejich tvrzeni ze maji 99.9% dostupnost:

---
Dobrý den, sluzba je opet dostupná.
Dostupnost nasich serveru je opravdu na dobré úrovni - zde máte nezavislé merení http://mereni.kyblsoft.cz/

Nicméne aktuální problém se týká pouze jedné staré lokality (serverovna czechia), která byla zdedena a bude z duvodu nevyhovujících sluzeb a zázemí zrusena.
Merení a kvalitu sluzeb kterou úvádíme muzeme garantovat pouze u nasich serveru, které jsou v jiné lokalite (serverovna Master).
Nicméne u Vasí sluzby jsou i jíné veci, které snizují dostupnost a to jsou casté útoky na vasi webovou aplikaci.

V prípade výpadku doporucuji krom psaní tiketu i telefonické oznámení na Tel: +420 608 830 346
---

Ptal jsem se na logy, na to kdy nas hodlaji prevest, ale doted jsem od nich nedostal odpoved. Poslal jsem tam dalsi ticket protoze to zas nejelo. Celkove musim rict ze me zacinaji srat a silne uvazuju o prechodu na jiny hosting, otazka je jestli nejaky nabizejici .NET 2.0 jeste existuje, poslednich cca 7 let nemam poradne cas se venovat nejakemu vyvoji, resim jen incidenty. Nedokazu rict jestli bych mel v dohledne dobe cas to zmigrovat aspon na .NET 4.5, navic je to napsane ve Visual Basicu, pricemz v nem cca 8 let uz nedelam, delam C#. Proc je to tak jak to je? Protoze v te dobe to bylo to co jsem ve volnem case zadarmo byl schopny a ochotny efektivne realizovat zatimco puvodni manie sla do kopru :-) Dneska bych to implementoval uz v ASP.NET Core, C# a MVC :-)

Dalsi prispevek bude ... co dal? [HejtmaMa] (17.11.2016 16:54:21)

Caute. Zacnu BEZPECNOSTI, protoze s bezpecnosti neni problem (aspon krome zaspamovanych ucasti na srazech ktere jsem do druheho dne procistil skriptem mi doted nikdo nic nereportoval ...)

Za to ze dostavate spamy na vas mail nemuze nezabezpeceny web, ale to ze mate ve svych profilech verejne zobrazene svoje e-maily, viz. autor dotazu, ale i spousta dalsich kteri mi podobnou veci zaspamovali vzkazy ...
http://jawamania.info/masters/frames/default.aspx?content=userdetail&userid=15608

Zverejnit e-mail neni povinne, muzete si ho sami z profilu vymazat. Webu staci znat registracni mail ktery se nikde nezobrazuje.

Stabilita webu je jina vec, ale o tom dalsi prispevek, bude to delsi povidani ... [HejtmaMa] (17.11.2016 16:20:18)

Treba pozriet tie logy, potom by sme vedeli viac. Na mojej stranke som mal vseliakych spam-robotov iba z urcitych IP adries ktore sa stale opakovali. [Milos634] (17.11.2016 13:55:12)

Milos634: myslenka chvalyhodna, lec nesmyslna. Ty utoky 100% jdou ze zombie stroju - zavirovanych domacich pocitacu vsude po svete. Zablokujes jich 100, prijde tisic novych. Omezit pristup na manii je blbost, chodi tam lidi z celeho sveta (jmenovite treba ja z anglie nebo 75CB750 z Trumplandu) [Krizoň IV.] (17.11.2016 9:42:32)

Napadlo ma teraz, ze keby sa v logoch hostingu (ak to umoznuje) pozreli pristupy z akej IP adresy/adries su tie utoky a zablokovali sa. Pripadne nech sa zablokuju pristupy na Jawamaniu pre niektore krajiny. Pochybujem ze nejaky napriklad cinan potrebuje radu na Jawamanii. [Milos634] (17.11.2016 9:13:51)

iis musí bejt taky schopnej blokovat bruteforce útoky, minimálně přes nějakej plugin/rozšíření nebo v nejhorším naskriptovat. Otázka ale je, co umožňuje dotnethosting na kterým to jede.

Krizoni ad 2, to zas takovej problém není - původní idea byla co nejvíc zkopírovat původní vzhled Radimový manie, což se myslím povedlo, a hlavně za žádnou cenu nedělat stupidní phpbb systém (co vlákno to stránka, a nejnovější stále nahoře). Původní jawamania.cz vypadala takhle https://web.archive.org/web/20040321152114/http://www.jawamania.cz/ (předtím byla chvíli ještě tuším jawa.moto.cz nebo tak nějak, a souběžně s tím obrovsky rozjetá emailová konference na pandoře jawapandora.cz - ale to už je fakt archívek)

Ono by to chtělo tý péče víc, obnovit ze zálohy modely ČZ který vykradl a zkurvil kývačkář, označování anonymních nesmyslů, zabezpečení..

poslední kontakt co vím dával sem http://www.jawamania.info/poradna/detail.aspx?questionid=53103 ale jestli je aktuální, netuším [xTas] (17.11.2016 0:53:36)

Jestli jsou to utoky hlavne na login, je tu moznost, presunout prihlaseni na nejakyho jinyho identity providera. Proste se hlasit napr. Facebook uctem. Tim by odpadla rezie s prihlasovanim, tu pecku by schytal FB. [_remove] (17.11.2016 0:19:48)

Napriklad lamky.net tam sa kupuje ucet za 79kc/3€ na rok formou sms...co vobec neboli... [mihal] (16.11.2016 23:58:56)

taktiež prispejem..vzhľadom na to, že jawamania nemá žiaden oficiálny príjem (predpokladám) by bolo na mieste nejakou symbolickou čiastou prispieť každý rok (ako povinnosť pre pokračovanie v používaní svojho konta) [bongo] (16.11.2016 21:53:48)

Tiež som ochotný prispieť [furioso] (16.11.2016 21:30:46)

Pár stovkami Kč som prispel a aj znova prispejem ak bude treba na prerobenie, zabezpečenie webu. Vypadáva čo často. [Milos634] (16.11.2016 21:18:25)

tak jsem se díval do statistik a za poslední hodinu je 1402 neuspěšných přihlášení. Tak to vychází 23,36 za minutu. Tak potom se nedivím, že to padá [Doly_cz] (16.11.2016 18:21:24)

Hoši kdo to opraví tomu dám klidně litr domácí slivovice ! [Klouzec] (16.11.2016 18:12:29)

Krizoň IV.: někdo by tedy musel kontaktovat hosting, zjistit přesně jak je "útok" veden a dle toho zařídit bezpečnost... řešení může zabrat pár minut nebo pár dnů, ale musí se na to někdo podívat. [Miškin] (16.11.2016 17:55:28)

Miskin: za zivotnosti to podle me neni, proste to zabiji spammeri. Kdyz se podivas na statistiky - 450 tisic neuspesnych prihlaseni za posledni tyden ? Zjevne do toho pres HTTP busi nejaky bot, a bruteforce utokem se snazi uhadnout hesla. Proc to dela, to je otazka ... [Krizoň IV.] (16.11.2016 17:53:17)

Můžu nabídnout pár korun i znalosti, ale asp fakt ne. Jinak pokud to je jen o hostingu, je to na pár hodin to přemigrovat, ale zde je otázka jak je to psaný a zda to prostě není za svojí životností (zvýšení návštěvnosti, hodně dat atd..). Už při vzniku jsem si bouchal na hlavu, když se to psalo v asp, ale to co něco pamatují určitě pamatují co se tenkrát dělo - dávám to vždy jak příklad jak se může zhroutit internetová komunita :D

Možností co udělat je hodně, ale kdo to udělá je horší :D [Miškin] (16.11.2016 17:50:49)

také jsem ochotný nějakou částkou přispět. [Doly_cz] (16.11.2016 17:37:56)

Křižoň: kruci fix ! a teď překlad pro obyčejný vesnický lidi prosím :D

Hoši tak už se do prdele vy co tomu rozumíte, nějak kloudně domluvte, každej pošle 2 kila a frčí to dalších 10 let dál, je to tu samej vysokoškolák, inženýr, docent, doktor a magistr, tak se sakra chlapi trochu předveďte, nebo to dát někomu udělat za peníze ?
tady je kontakt na milánka http://alu-milanek.webnode.cz/ určitě bude mít telefon na svýho bráchu, srát ne email, protože na ten asi nemá čas chodit. [Klouzec] (16.11.2016 17:37:50)

...já jsem u vzniku byl i nějaké prachy jsem posílal. Klidně pošlu zase, ale věnovat se tomu teď nemohu. Víc by mel vědět Hejtma nebo Milánek. Nějaké vylepšení by to už pomalu sneslo... [Bubak] (16.11.2016 17:27:05)

Ono tohle je slozity. Ja u vzniku jawamanie nebyl, znam to pouze z treti ruky, ale prusvih je ze je to defacto na miru napsana aplikace v ASP/MSSQL (komercni a drahe prostredi) coz do znacne miry omezuje dostupnost hostingu. V dobe kdy mania vznikala (podle banneru 2005) proste spam nebyl takovy problem jako dneska. Cili antispamova ochrana je nulova - moznost anonymnich prispevku, zobrazeni emailovych adres, atd ... A zjevne se nedavno manie stala tercem spammeru.

Realne vidim tri moznosti co s tim (A zadna z nich neni az tak o penezich, ale o lidech a casu)
1 - najde se nadseny ASP programator s furou casu co prevezme administreaci manie, opravit stavajici problemy. Chci to videt ... ale teoreticky by se nejaky VS student najit mohl.
2 - Premigrovat to cele na nejaky standardni diskuzni system postaveny na PHP/MySQL. Fura casu, opet by byl potreba nekdo kdo se tomu bude venovat, a navic uz by to proste nebyla ta manie co jsme na ni vsichni zvykli.
3 - pridat nejakou slusnou captcha do anonymnich prispevku, koupit SSL certifikat, prehodit manii na HTTPS, znepristupnit informace o uzivatelich neprihlasenym uzivatelum, a prihlasenym uzivatelum mladsim nez XX dni (mesic, dva ...), eventuelne posilit bezpecnost i jinak (tady dost zalezi na tom co umi nas hosting, silne by me prekvapilo kdyby nabizel nejaky hostovany web application firewall za unosne penize) Tohle je na adminovi (HejtmaMa) zda je ochoten venovat cas na potrebne upravy manie (eventuelne za nejaky peniz, na ktery by se slozili uzivatele)

Vzhledem k tomu ze na admina kontakt nemam, resit to s nim nemuzu. Nicmene pokud by nekdo z tech kdo na admina kontakt maji poprosil aby se mi ozval, muzu s nim probrat co by se dalo udealt. Vzhledem k tomu ze IT security me uz dlouho zivi, neco malo o tehle problematice vim (-: [Krizoň IV.] (16.11.2016 17:21:04)