Sélectionnez votre langue

Chat in tempo reale di Waterwind

Plus d'informations
22 Oct 2020 09:58 #11437 par ita4012
Réponse de ita4012 sur le sujet Chat in tempo reale di Waterwind
In realtà, sto meditando che utilizzare Kunena (questa estensione per il forum), ed aprire una categoria di discussione "Messenger", magari aperta alla pubblicazione anche da parte degli utenti non registrati (Guest - sperando che poi non arrivi troppo spamming), per gli aggiornamenti dagli spot, potrebbe essere la soluzione migliore.

Avremmo la possibilità di inserire foto e video facilmente, e notifiche per mail a tutti gli interessati (che hanno sottoscritto la categoria di discussione) quando viene postato un nuovo messaggio. Inoltre, si avrebbe l'utilizzo di una estensione e di uno script in meno (sito più veloce).
Metterei un modulo con solo questa categoria di discussione nella pagina messenger, con un look, tutto sommato, abbastanza simile a quello dell'attuale chat.

Ciao. Fabio

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!

Connexion ou Créer un compte pour participer à la conversation.

  • Daniele
  • Visiteur
  • Visiteur
17 Oct 2020 15:28 - 17 Oct 2020 15:33 #11409 par Daniele
Réponse de Daniele sur le sujet Chat in tempo reale di Waterwind

ita4012 écrit:

Daniele écrit: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose


Azz, ne sai molto più di me. Che vuol dire?


Lavoro sui db ...
In soldoni i software non aggiornati e che non hanno alle spalle una buona comunità, sono più soggetti a delle vulnerabilità (non risolte). Persino la miglior crew di programmatori può scrivere codice bucabile (per disattenzione, per sottovalutazione, per non aver fatto dei test units approfonditi e per molte altre innumerevoli ragioni).
In pratica un exploit è, per farla semplice, spesso una stringa alfanumerica, altre volte un codice più strutturato, in grado di fare danni lato server come ad esempio una SQL Injection cioè un attacco che può resettare, eliminare, variare i dati contenuti nel database. Il problema è che gli exploits girano liberamente sul web e un bimbominchia smanettone può iniettarla nel tuo sistema con un copia incolla. Di qui l'importanza di tenere il software aggiornato e utilizzare solo lo stretto necessario di software di terze parti (estensioni e componenti) che garantisca un aggiornamento costante nel tempo. Spesso gli hosting aggirano il problema di alcune vulnerabilità (però non sempre è possibile) con degli stratagemmi che sono tipo la riparazione casalinga che io potrei fare alla mia tavola da windsurf.

Esempio basico: joomla gira in PHP (ma il linguaggio è relativo, solo che il PHP si presta a più vulnerabilità perchè più diffuso e molti sono i programmatori della domenica che fanno cose a c****) e gli indirizzi, in particolare quelli con querystring come questo:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam&searchdate=all&childforums=1
si prestano ad essere iniettati, con più facilità (per i bimbominchia), con degli exploits (codice malevole) da copiare e incollare. Per esempio al posto di pradelafam potrei scrivere:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam' UNION SELECT 1, username, password FROM users WHERE 'x'='x&searchdate=all&childforums=1
L'esempio appena fatto non crea nessun problema in quanto è un attacco diretto a Joomla il quale di per se è ben protetto, ma supponi che l'attacco invece che al core di Joomla (il quale può avere delle vulnerabilità, tanto è vero che ad ogni aggiornamento non si introducono solo migliorie ma anche la risoluzione a eventuali vulnerabilità) venga fatto ad un componente (non aggiornato e bucabile)?
Quello che succede è che si potrebbe distruggere o alterare il database (di solito si punta ad alterare i records inserendo degli script javascript (nelle varie pagine, cioè in più records) che possano creare problemi ai visitatori (con sistemi e browser non aggiornati, non sono pochi) sfruttando le potenzialità del browser persino per fini di cryptominer o per rubare sessioni e credenziali eccetera eccetera

Ecco perchè ti ho detto: visto che quel componente non è aggiornato e potrebbe essere vulnerabile, se lo usi cerca di metterlo su un database separato (intendo fisicamente anche come macchina, ma va bene anche su macchina virtuale differente) da quello del sito, di modo che il sito non venga compromesso.

In conclusione: è meglio sempre affidarsi a soluzioni aggiornate con continuità, magari non sfavillanti, piuttosto che quelle sfavillanti e non aggiornate. Io ritengo che al giorno d'oggi un software debba essere aggiornato con una certa frequenza.
Esempio ti fidi di più di un produttore che ha una storia nella costruzione di tavole da windsurf e che ogni anno rilascia nuovi modelli o ti fidi di più della nuovissima startup che fa delle tavole con un design fuor di testa, con una grafica mai vista e che è solo da un anno che fa tavole da windsurf il cui corebusiness precedente erano le tavole e le sedie da salotto?

PS: ci sono tantissimi modi per bucare un sito, non solo passando dal database, ma anche per esempio caricando una foto (ma che una foto magari non è) eccetera eccetera
Dernière édition: 17 Oct 2020 15:33 par Daniele.

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
17 Oct 2020 13:30 #11408 par ita4012
Réponse de ita4012 sur le sujet Chat in tempo reale di Waterwind

Daniele écrit: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose


Azz, ne sai molto più di me. Che vuol dire?

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!

Connexion ou Créer un compte pour participer à la conversation.

  • Daniele
  • Visiteur
  • Visiteur
17 Oct 2020 12:51 #11407 par Daniele
Réponse de Daniele sur le sujet Chat in tempo reale di Waterwind
Comunque ho trovato una soluzione (scorrendo l'HTML di pagina), spartana, per skippare il disclaimer e avere a video subito la chat box, basta salvare la pagina sul cellulare con il fragment #jjshoutboxform, così:
www.waterwind.it/new/it/forum/waterwind-....html#jjshoutboxform

Connexion ou Créer un compte pour participer à la conversation.

  • Daniele
  • Visiteur
  • Visiteur
16 Oct 2020 21:32 #11405 par Daniele
Réponse de Daniele sur le sujet Chat in tempo reale di Waterwind

ita4012 écrit: Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.


Si potresti sintetizzarlo e potresti ribadire il divieto nella textbox sostituendo il placeholder da così:

"please enter a message"

a in italiano (visto che la usano in prevalenza gli italiani) un qualcosa del tipo:

"inserisci solo informazioni vento/onde/meteo del tuo spot"[/post]


ita4012 écrit: Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat

Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose

Connexion ou Créer un compte pour participer à la conversation.

Plus d'informations
16 Oct 2020 16:19 - 16 Oct 2020 16:32 #11402 par ita4012
Réponse de ita4012 sur le sujet Chat in tempo reale di Waterwind

Daniele écrit:
1) si certo, è ugualmente salvabile, intendevo dire che senza il disclaimer da l'idea, parlo di percezione, di una SPA (single page application)

2) si il disagio è contenuto, inoltre ho notato anch'io, nonostante il disclaimer, che chiedono consigli ...

3) shoutbox anche se tecnicamente molto inferiore a Disqus, per il fatto che 1) non richiede registrazione o account social 2) vedo non ha contenuti traccianti come Disqus 3) shoutbox se è onsite (credo di si ma non lo so) non soffrirebbe di eventuali down o latenza di servizi esterni nonostante asincroni

Ciao!


Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.

Le considerazioni di cui al punto 3) sono molto utili, ed unite anche a quelle di Alessandro, mi convincono a non utilizzare Disqus. Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat

Ciao. Fabio

Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!

Share your passion!
Dernière édition: 16 Oct 2020 16:32 par ita4012.

Connexion ou Créer un compte pour participer à la conversation.

Temps de génération de la page : 0.723 secondes
Propulsé par Kunena