- Messaggi: 6958
- Ringraziamenti ricevuti 965
Chat in tempo reale di Waterwind
- ita4012
-
Autore della discussione
- Offline
- Moderatore
-
Less Di più
22/10/2020 09:58 #11437 da ita4012
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Risposta da ita4012 al topic Chat in tempo reale di Waterwind
In realtà, sto meditando che utilizzare Kunena (questa estensione per il forum), ed aprire una categoria di discussione "Messenger", magari aperta alla pubblicazione anche da parte degli utenti non registrati (Guest - sperando che poi non arrivi troppo spamming), per gli aggiornamenti dagli spot, potrebbe essere la soluzione migliore.
Avremmo la possibilità di inserire foto e video facilmente, e notifiche per mail a tutti gli interessati (che hanno sottoscritto la categoria di discussione) quando viene postato un nuovo messaggio. Inoltre, si avrebbe l'utilizzo di una estensione e di uno script in meno (sito più veloce).
Metterei un modulo con solo questa categoria di discussione nella pagina messenger, con un look, tutto sommato, abbastanza simile a quello dell'attuale chat.
Ciao. Fabio
Avremmo la possibilità di inserire foto e video facilmente, e notifiche per mail a tutti gli interessati (che hanno sottoscritto la categoria di discussione) quando viene postato un nuovo messaggio. Inoltre, si avrebbe l'utilizzo di una estensione e di uno script in meno (sito più veloce).
Metterei un modulo con solo questa categoria di discussione nella pagina messenger, con un look, tutto sommato, abbastanza simile a quello dell'attuale chat.
Ciao. Fabio
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Si prega Accesso o Crea un account a partecipare alla conversazione.
- Daniele
-
- Visitatori
-
17/10/2020 15:28 - 17/10/2020 15:33 #11409 da Daniele
Lavoro sui db ...
In soldoni i software non aggiornati e che non hanno alle spalle una buona comunità, sono più soggetti a delle vulnerabilità (non risolte). Persino la miglior crew di programmatori può scrivere codice bucabile (per disattenzione, per sottovalutazione, per non aver fatto dei test units approfonditi e per molte altre innumerevoli ragioni).
In pratica un exploit è, per farla semplice, spesso una stringa alfanumerica, altre volte un codice più strutturato, in grado di fare danni lato server come ad esempio una SQL Injection cioè un attacco che può resettare, eliminare, variare i dati contenuti nel database. Il problema è che gli exploits girano liberamente sul web e un bimbominchia smanettone può iniettarla nel tuo sistema con un copia incolla. Di qui l'importanza di tenere il software aggiornato e utilizzare solo lo stretto necessario di software di terze parti (estensioni e componenti) che garantisca un aggiornamento costante nel tempo. Spesso gli hosting aggirano il problema di alcune vulnerabilità (però non sempre è possibile) con degli stratagemmi che sono tipo la riparazione casalinga che io potrei fare alla mia tavola da windsurf.
Esempio basico: joomla gira in PHP (ma il linguaggio è relativo, solo che il PHP si presta a più vulnerabilità perchè più diffuso e molti sono i programmatori della domenica che fanno cose a c****) e gli indirizzi, in particolare quelli con querystring come questo:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam&searchdate=all&childforums=1
si prestano ad essere iniettati, con più facilità (per i bimbominchia), con degli exploits (codice malevole) da copiare e incollare. Per esempio al posto di pradelafam potrei scrivere:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam' UNION SELECT 1, username, password FROM users WHERE 'x'='x&searchdate=all&childforums=1
L'esempio appena fatto non crea nessun problema in quanto è un attacco diretto a Joomla il quale di per se è ben protetto, ma supponi che l'attacco invece che al core di Joomla (il quale può avere delle vulnerabilità, tanto è vero che ad ogni aggiornamento non si introducono solo migliorie ma anche la risoluzione a eventuali vulnerabilità) venga fatto ad un componente (non aggiornato e bucabile)?
Quello che succede è che si potrebbe distruggere o alterare il database (di solito si punta ad alterare i records inserendo degli script javascript (nelle varie pagine, cioè in più records) che possano creare problemi ai visitatori (con sistemi e browser non aggiornati, non sono pochi) sfruttando le potenzialità del browser persino per fini di cryptominer o per rubare sessioni e credenziali eccetera eccetera
Ecco perchè ti ho detto: visto che quel componente non è aggiornato e potrebbe essere vulnerabile, se lo usi cerca di metterlo su un database separato (intendo fisicamente anche come macchina, ma va bene anche su macchina virtuale differente) da quello del sito, di modo che il sito non venga compromesso.
In conclusione: è meglio sempre affidarsi a soluzioni aggiornate con continuità, magari non sfavillanti, piuttosto che quelle sfavillanti e non aggiornate. Io ritengo che al giorno d'oggi un software debba essere aggiornato con una certa frequenza.
Esempio ti fidi di più di un produttore che ha una storia nella costruzione di tavole da windsurf e che ogni anno rilascia nuovi modelli o ti fidi di più della nuovissima startup che fa delle tavole con un design fuor di testa, con una grafica mai vista e che è solo da un anno che fa tavole da windsurf il cui corebusiness precedente erano le tavole e le sedie da salotto?
PS: ci sono tantissimi modi per bucare un sito, non solo passando dal database, ma anche per esempio caricando una foto (ma che una foto magari non è) eccetera eccetera
Risposta da Daniele al topic Chat in tempo reale di Waterwind
ita4012 ha scritto:
Daniele ha scritto: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose
Azz, ne sai molto più di me. Che vuol dire?
Lavoro sui db ...
In soldoni i software non aggiornati e che non hanno alle spalle una buona comunità, sono più soggetti a delle vulnerabilità (non risolte). Persino la miglior crew di programmatori può scrivere codice bucabile (per disattenzione, per sottovalutazione, per non aver fatto dei test units approfonditi e per molte altre innumerevoli ragioni).
In pratica un exploit è, per farla semplice, spesso una stringa alfanumerica, altre volte un codice più strutturato, in grado di fare danni lato server come ad esempio una SQL Injection cioè un attacco che può resettare, eliminare, variare i dati contenuti nel database. Il problema è che gli exploits girano liberamente sul web e un bimbominchia smanettone può iniettarla nel tuo sistema con un copia incolla. Di qui l'importanza di tenere il software aggiornato e utilizzare solo lo stretto necessario di software di terze parti (estensioni e componenti) che garantisca un aggiornamento costante nel tempo. Spesso gli hosting aggirano il problema di alcune vulnerabilità (però non sempre è possibile) con degli stratagemmi che sono tipo la riparazione casalinga che io potrei fare alla mia tavola da windsurf.
Esempio basico: joomla gira in PHP (ma il linguaggio è relativo, solo che il PHP si presta a più vulnerabilità perchè più diffuso e molti sono i programmatori della domenica che fanno cose a c****) e gli indirizzi, in particolare quelli con querystring come questo:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam&searchdate=all&childforums=1
si prestano ad essere iniettati, con più facilità (per i bimbominchia), con degli exploits (codice malevole) da copiare e incollare. Per esempio al posto di pradelafam potrei scrivere:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam' UNION SELECT 1, username, password FROM users WHERE 'x'='x&searchdate=all&childforums=1
L'esempio appena fatto non crea nessun problema in quanto è un attacco diretto a Joomla il quale di per se è ben protetto, ma supponi che l'attacco invece che al core di Joomla (il quale può avere delle vulnerabilità, tanto è vero che ad ogni aggiornamento non si introducono solo migliorie ma anche la risoluzione a eventuali vulnerabilità) venga fatto ad un componente (non aggiornato e bucabile)?
Quello che succede è che si potrebbe distruggere o alterare il database (di solito si punta ad alterare i records inserendo degli script javascript (nelle varie pagine, cioè in più records) che possano creare problemi ai visitatori (con sistemi e browser non aggiornati, non sono pochi) sfruttando le potenzialità del browser persino per fini di cryptominer o per rubare sessioni e credenziali eccetera eccetera
Ecco perchè ti ho detto: visto che quel componente non è aggiornato e potrebbe essere vulnerabile, se lo usi cerca di metterlo su un database separato (intendo fisicamente anche come macchina, ma va bene anche su macchina virtuale differente) da quello del sito, di modo che il sito non venga compromesso.
In conclusione: è meglio sempre affidarsi a soluzioni aggiornate con continuità, magari non sfavillanti, piuttosto che quelle sfavillanti e non aggiornate. Io ritengo che al giorno d'oggi un software debba essere aggiornato con una certa frequenza.
Esempio ti fidi di più di un produttore che ha una storia nella costruzione di tavole da windsurf e che ogni anno rilascia nuovi modelli o ti fidi di più della nuovissima startup che fa delle tavole con un design fuor di testa, con una grafica mai vista e che è solo da un anno che fa tavole da windsurf il cui corebusiness precedente erano le tavole e le sedie da salotto?
PS: ci sono tantissimi modi per bucare un sito, non solo passando dal database, ma anche per esempio caricando una foto (ma che una foto magari non è) eccetera eccetera
Ultima Modifica 17/10/2020 15:33 da Daniele.
Si prega Accesso o Crea un account a partecipare alla conversazione.
- ita4012
- Autore della discussione
- Offline
- Moderatore
-
Less Di più
- Messaggi: 6958
- Ringraziamenti ricevuti 965
17/10/2020 13:30 #11408 da ita4012
Azz, ne sai molto più di me. Che vuol dire?
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Risposta da ita4012 al topic Chat in tempo reale di Waterwind
Daniele ha scritto: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose
Azz, ne sai molto più di me. Che vuol dire?
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Si prega Accesso o Crea un account a partecipare alla conversazione.
- Daniele
-
- Visitatori
-
17/10/2020 12:51 #11407 da Daniele
Risposta da Daniele al topic Chat in tempo reale di Waterwind
Comunque ho trovato una soluzione (scorrendo l'HTML di pagina), spartana, per skippare il disclaimer e avere a video subito la chat box, basta salvare la pagina sul cellulare con il fragment #jjshoutboxform, così:
www.waterwind.it/new/it/forum/waterwind-....html#jjshoutboxform
www.waterwind.it/new/it/forum/waterwind-....html#jjshoutboxform
Si prega Accesso o Crea un account a partecipare alla conversazione.
- Daniele
-
- Visitatori
-
16/10/2020 21:32 #11405 da Daniele
Si potresti sintetizzarlo e potresti ribadire il divieto nella textbox sostituendo il placeholder da così:
"please enter a message"
a in italiano (visto che la usano in prevalenza gli italiani) un qualcosa del tipo:
"inserisci solo informazioni vento/onde/meteo del tuo spot"[/post]
Risposta da Daniele al topic Chat in tempo reale di Waterwind
ita4012 ha scritto: Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.
Si potresti sintetizzarlo e potresti ribadire il divieto nella textbox sostituendo il placeholder da così:
"please enter a message"
a in italiano (visto che la usano in prevalenza gli italiani) un qualcosa del tipo:
"inserisci solo informazioni vento/onde/meteo del tuo spot"[/post]
Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste coseita4012 ha scritto: Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat
Si prega Accesso o Crea un account a partecipare alla conversazione.
- ita4012
- Autore della discussione
- Offline
- Moderatore
-
Less Di più
- Messaggi: 6958
- Ringraziamenti ricevuti 965
16/10/2020 16:19 - 16/10/2020 16:32 #11402 da ita4012
Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.
Le considerazioni di cui al punto 3) sono molto utili, ed unite anche a quelle di Alessandro, mi convincono a non utilizzare Disqus. Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat
Ciao. Fabio
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Risposta da ita4012 al topic Chat in tempo reale di Waterwind
Daniele ha scritto:
1) si certo, è ugualmente salvabile, intendevo dire che senza il disclaimer da l'idea, parlo di percezione, di una SPA (single page application)
2) si il disagio è contenuto, inoltre ho notato anch'io, nonostante il disclaimer, che chiedono consigli ...
3) shoutbox anche se tecnicamente molto inferiore a Disqus, per il fatto che 1) non richiede registrazione o account social 2) vedo non ha contenuti traccianti come Disqus 3) shoutbox se è onsite (credo di si ma non lo so) non soffrirebbe di eventuali down o latenza di servizi esterni nonostante asincroni
Ciao!
Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.
Le considerazioni di cui al punto 3) sono molto utili, ed unite anche a quelle di Alessandro, mi convincono a non utilizzare Disqus. Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat
Ciao. Fabio
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Ultima Modifica 16/10/2020 16:32 da ita4012.
Si prega Accesso o Crea un account a partecipare alla conversazione.
Tempo creazione pagina: 0.825 secondi