Select your language

Chat in tempo reale di Waterwind

  • ita4012
  • Topic Author
  • Offline
  • Moderator
  • Moderator
More
22 Oct 2020 09:58 #11437 by ita4012
Replied by ita4012 on topic Chat in tempo reale di Waterwind
In realtà, sto meditando che utilizzare Kunena (questa estensione per il forum), ed aprire una categoria di discussione "Messenger", magari aperta alla pubblicazione anche da parte degli utenti non registrati (Guest - sperando che poi non arrivi troppo spamming), per gli aggiornamenti dagli spot, potrebbe essere la soluzione migliore.

Avremmo la possibilità di inserire foto e video facilmente, e notifiche per mail a tutti gli interessati (che hanno sottoscritto la categoria di discussione) quando viene postato un nuovo messaggio. Inoltre, si avrebbe l'utilizzo di una estensione e di uno script in meno (sito più veloce).
Metterei un modulo con solo questa categoria di discussione nella pagina messenger, con un look, tutto sommato, abbastanza simile a quello dell'attuale chat.

Ciao. Fabio

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!

Please Log in or Create an account to join the conversation.

  • Daniele
  • Visitor
  • Visitor
17 Oct 2020 15:28 - 17 Oct 2020 15:33 #11409 by Daniele
Replied by Daniele on topic Chat in tempo reale di Waterwind

ita4012 wrote:

Daniele wrote: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose


Azz, ne sai molto più di me. Che vuol dire?


Lavoro sui db ...
In soldoni i software non aggiornati e che non hanno alle spalle una buona comunità, sono più soggetti a delle vulnerabilità (non risolte). Persino la miglior crew di programmatori può scrivere codice bucabile (per disattenzione, per sottovalutazione, per non aver fatto dei test units approfonditi e per molte altre innumerevoli ragioni).
In pratica un exploit è, per farla semplice, spesso una stringa alfanumerica, altre volte un codice più strutturato, in grado di fare danni lato server come ad esempio una SQL Injection cioè un attacco che può resettare, eliminare, variare i dati contenuti nel database. Il problema è che gli exploits girano liberamente sul web e un bimbominchia smanettone può iniettarla nel tuo sistema con un copia incolla. Di qui l'importanza di tenere il software aggiornato e utilizzare solo lo stretto necessario di software di terze parti (estensioni e componenti) che garantisca un aggiornamento costante nel tempo. Spesso gli hosting aggirano il problema di alcune vulnerabilità (però non sempre è possibile) con degli stratagemmi che sono tipo la riparazione casalinga che io potrei fare alla mia tavola da windsurf.

Esempio basico: joomla gira in PHP (ma il linguaggio è relativo, solo che il PHP si presta a più vulnerabilità perchè più diffuso e molti sono i programmatori della domenica che fanno cose a c****) e gli indirizzi, in particolare quelli con querystring come questo:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam&searchdate=all&childforums=1
si prestano ad essere iniettati, con più facilità (per i bimbominchia), con degli exploits (codice malevole) da copiare e incollare. Per esempio al posto di pradelafam potrei scrivere:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam' UNION SELECT 1, username, password FROM users WHERE 'x'='x&searchdate=all&childforums=1
L'esempio appena fatto non crea nessun problema in quanto è un attacco diretto a Joomla il quale di per se è ben protetto, ma supponi che l'attacco invece che al core di Joomla (il quale può avere delle vulnerabilità, tanto è vero che ad ogni aggiornamento non si introducono solo migliorie ma anche la risoluzione a eventuali vulnerabilità) venga fatto ad un componente (non aggiornato e bucabile)?
Quello che succede è che si potrebbe distruggere o alterare il database (di solito si punta ad alterare i records inserendo degli script javascript (nelle varie pagine, cioè in più records) che possano creare problemi ai visitatori (con sistemi e browser non aggiornati, non sono pochi) sfruttando le potenzialità del browser persino per fini di cryptominer o per rubare sessioni e credenziali eccetera eccetera

Ecco perchè ti ho detto: visto che quel componente non è aggiornato e potrebbe essere vulnerabile, se lo usi cerca di metterlo su un database separato (intendo fisicamente anche come macchina, ma va bene anche su macchina virtuale differente) da quello del sito, di modo che il sito non venga compromesso.

In conclusione: è meglio sempre affidarsi a soluzioni aggiornate con continuità, magari non sfavillanti, piuttosto che quelle sfavillanti e non aggiornate. Io ritengo che al giorno d'oggi un software debba essere aggiornato con una certa frequenza.
Esempio ti fidi di più di un produttore che ha una storia nella costruzione di tavole da windsurf e che ogni anno rilascia nuovi modelli o ti fidi di più della nuovissima startup che fa delle tavole con un design fuor di testa, con una grafica mai vista e che è solo da un anno che fa tavole da windsurf il cui corebusiness precedente erano le tavole e le sedie da salotto?

PS: ci sono tantissimi modi per bucare un sito, non solo passando dal database, ma anche per esempio caricando una foto (ma che una foto magari non è) eccetera eccetera
Last edit: 17 Oct 2020 15:33 by Daniele.

Please Log in or Create an account to join the conversation.

  • ita4012
  • Topic Author
  • Offline
  • Moderator
  • Moderator
More
17 Oct 2020 13:30 #11408 by ita4012
Replied by ita4012 on topic Chat in tempo reale di Waterwind

Daniele wrote: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose


Azz, ne sai molto più di me. Che vuol dire?

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!

Please Log in or Create an account to join the conversation.

  • Daniele
  • Visitor
  • Visitor
17 Oct 2020 12:51 #11407 by Daniele
Replied by Daniele on topic Chat in tempo reale di Waterwind
Comunque ho trovato una soluzione (scorrendo l'HTML di pagina), spartana, per skippare il disclaimer e avere a video subito la chat box, basta salvare la pagina sul cellulare con il fragment #jjshoutboxform, così:
www.waterwind.it/new/it/forum/waterwind-....html#jjshoutboxform

Please Log in or Create an account to join the conversation.

  • Daniele
  • Visitor
  • Visitor
16 Oct 2020 21:32 #11405 by Daniele
Replied by Daniele on topic Chat in tempo reale di Waterwind

ita4012 wrote: Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.


Si potresti sintetizzarlo e potresti ribadire il divieto nella textbox sostituendo il placeholder da così:

"please enter a message"

a in italiano (visto che la usano in prevalenza gli italiani) un qualcosa del tipo:

"inserisci solo informazioni vento/onde/meteo del tuo spot"[/post]


ita4012 wrote: Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat

Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose

Please Log in or Create an account to join the conversation.

  • ita4012
  • Topic Author
  • Offline
  • Moderator
  • Moderator
More
16 Oct 2020 16:19 - 16 Oct 2020 16:32 #11402 by ita4012
Replied by ita4012 on topic Chat in tempo reale di Waterwind

Daniele wrote:
1) si certo, è ugualmente salvabile, intendevo dire che senza il disclaimer da l'idea, parlo di percezione, di una SPA (single page application)

2) si il disagio è contenuto, inoltre ho notato anch'io, nonostante il disclaimer, che chiedono consigli ...

3) shoutbox anche se tecnicamente molto inferiore a Disqus, per il fatto che 1) non richiede registrazione o account social 2) vedo non ha contenuti traccianti come Disqus 3) shoutbox se è onsite (credo di si ma non lo so) non soffrirebbe di eventuali down o latenza di servizi esterni nonostante asincroni

Ciao!


Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.

Le considerazioni di cui al punto 3) sono molto utili, ed unite anche a quelle di Alessandro, mi convincono a non utilizzare Disqus. Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat

Ciao. Fabio

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!
Last edit: 16 Oct 2020 16:32 by ita4012.

Please Log in or Create an account to join the conversation.

Time to create page: 0.605 seconds
Powered by Kunena Forum