можешь пожалуйста из инструкции [ http://ii.odii.ru/server.html ] -- убрать число 62220 (поменять на другое) ?

спасибо, заранее!

всё дело в том что для номера порта -- это плохое число.. так как оно *случайно* может совпасть с портом *исходящего* открытого сокета.

лучше выбирать какое-то число слущающего порта, которое больше чем 10000 но меньше чем 30000 .

всё дело в том что люди читают эту инструкцию и перенимают для-себя практику. а было бы здорово такую практику пресечь :-)

ребят.

не могу понять. вот например если сравнить с двачами.

в двачах есть тематичные разделы: /a , /aa , /b , /k, /m , /ma , /vn , ... и так далее..

например каждый тематичный раздел двачей -- можно сравнить с "эхой" (верно?)..

но разые двачи не являются распределёнными -- то есть они не синхронизируются между собой. будем считать что это основное отличие от ii .

но в двачах -- я создаю первоначальное сообщение, и затем в рамках него -- идёт общение.

то есть двухуровневая организация:

тематический_раздел -> стартовое_сообщение -> ответные_сообщения

а такое чувство что тут (в ii) на один уровень меньше:

тематическая_эха -> сообщения_и_ответные_сообщения

если я правильно понял -- объясните пожалуйста.. как же можно было бы (в ii) писать шокирующие новости и потом обсуждать их?

например предположим я мог бы засунуть в стеклянную баночку много спичек и клея -- затем потрясти и у меня получился бы кораблик (вероятность крайне маленькая, что получилося бы именно кораблик, а не говно ---- но всё же вероятность есть).

... :) и допустим что я проделал всё это с баночкой и *СЛУЧАЙНО* -- у меня всё-таки получился кораблик (а не говно) --- разумеется об этом сразу нужно написать в ii и обсудить это... но как? :-)

новость про баночку-и-спички -- я поидее бы должен буду написать в эху посвящённую рукаделию? (если такая есть)

но в этой эхе про рукаделия -- возможно в текущую секунду идёт бурное обсуждение друго-го "колдовства".. как же тогда сделать так чтобы ципочки сообщений -- не спутывались бы друг с другом?

то есть -- получается что ii ближе к чатам чем к форумам? такой своего рода замедленный чат?

> когда тематики сильно перемешиваются - эхи разделяются. когда трафика мало - объединяются. всё, как в фидо, только можно делать намного оперативнее. :)

если создать такую реализацию ноды -- которая бы синхронизировалась бы с остальными нодами (всё норм) -- но при всё своём обычном поведении -- делала бы следующую "магию":

все сообщения в эхе -- которые имеют одинаковую тему (игнорируя слово /^Re\:\s*/) автоматически отображались бы пользователям как дополнительный уровень иерархии?

(то есть в ней было бы: тематическая_эха -> тема_сообщения -> сообщения_касаемые_этой_темы )

это было бы сильным нарушением спецификации ii?

> попробуй реализовать это для клиента, если интересно. сообщения без repto - начало темы, а дальше - собирать repto и строить темы :)

да, именно это я и имею ввиду!

можно попробовать. да. не уверен что хватит моего уровня знаний для реализации.. но попытаться можно...

> кстати, в отличие от настоящих фидошников, которые сабжи не меняют, мы иногда меняем :)

изменение темы -- это даже хорошо! изменение темы автоматически создаст новую цепочку (в описываемой мною схеме).

ведь действительно бывает такое что обсуждать начали одно а в итоге всё это привело к другому. :-)

> самое сложное (лично для меня, который с 8 класса школу прогуливал злостно, и понятия не имеет о том, что такое синус, и очень-очень слабо представляет, что такое квадратное уравнение) - это построить всё дерево. то есть, отследить зависимости от msgid, потом зависимости от этих зависимостей, и так далее, по всей глубине. всё остальное - очень просто :)


я вижу (пока-что) самую сложность в том чтобы оптимально хранить базу данных всего этого.

не ввиде отдельных файлов на жётком диске, а именно базу-данных. (и именно -- оптимально, а не просто как получилось :))

таким образом чтобы все операции которые бы производились бы -- делались бы не более чем с логарифмической сложностью.. ну как-то примерно так :-) ..

и придумать что-нибудь такое -- чтобы поиск -- не сильно нагружал бы базу данных.. (а вообще такое возможно? или поиск всегда будет узким местом в производительности?)

ну и быть может надо подумать над тем чтобы была бы возможность распределённо хранить эту базу данных (shard database architecture? то есть postgree не подойдёт? нужно mongodb?)..

^^^
|
`----------------- вообщем -- вот в этом всем -- я вижу <нечто> такое, оторое мне говорят "быть может всё это сложнее чем кажется на первый взгляд".. :-)

> А как тут дело обстоит с защитой от неадекватных людей?

меня ж пустили.. так-что ответ ты уже понял :-)

класно!

> Не люблю Gnome 3, тормозит ужасно. Поставил и удалил. =(

зря удалил! если бы подаждал бы ещё чуть-чуть -- то он бы развис! :-)

точно.. GNOME 3 просто не хватает рекламы.. типа..

"будь мужиком, поставь GNOME!"

да. физика это полезно. вчем настоятельно читать^Wслушать..!

(однако звук плохой -- ни чего не слышно :))



я забыл разлогиниться когда проверял это https://www.linux.org.ru/news/opensource/10534550?cid=10544507

в результате наспамил.. (случайно)

не знаю как вы ребята -- но я серъёзно терпеть не могу курагу.. и изюм и прочие засохшие фрукты..

ну проидитесь поиском по базе, и удалите -- дел на 10 минут же?

у эхе "ii.dev.14" -- там про курагу пишет кто-то другой (не я) -- зайди и глянь... :-)

я это и имею ввиду что работает..

суть в том что кода web-движёк принимает POST-запрос -- то он обязан проверять CSRF-токен.

если CSRF-токен совпадает -- то POST-запрос должен проходить нормально, если не совпадает -- то POST-запрос должен *откланяться(!) ..

(для каждой web-сессии должен генерироваться свой CSRF-токен .. ну или не для каждой сессии а для каждого пользователя)

а на текущий момент -- web-движёк принимает все подрят запросы (не глядя на CSRF-токен) -- поэтому появляется возможность постить от чужёго имени (нужно лишь заманить чужака на свой хацкерский школосайт :))

вместо CSRF-окена -- можно передать hash-код (тот самый который пароль как бы)... но передавать его нужно обязательно НЕ через cookie, а именно как обычный POST-параметр

> P.S. bad message, соси хуй, пидораз!

откуда столько ненавести, ребят! яж для дела стараюсь! а резлогиниться РЕАЛЬНО забыл (не специально!! ещё раз повторяю)

будьте добрее! же! :-)

яж вот ни рдного матного слова не сказал.. а вы... эххх... стараешься тут для вас... :-(

ну тогда не страшно :-)

в исходниках 51t -- до конца так и не смог разобраться.. (хотя сайт про курагу -- я тоже делал на pybottle) -- так что просто по отклику web-баузера пришлось делать сайт про курагу..

исходный код сайта про курагу вот -- https://www.dropbox.com/s/vryr61d2ubv0kr2/51kuraga.tar.xz

но если ещё пол часа повтыкаю на исходники 51t -- то может сразу и патч сделаю... :-)

но мне бы хотелось бы чтоб разработчик сайта 51t -- понял бы суть всего этого инцедента (это было бы более полезно для мирового прогресса в целом!)

> я не верю в безопасность - я верю в добрых людей и открытые двери.

ну сделай ты чтобы "auth" передавался бы НЕ в cookie а в обычном POST-параметре.. во время отправки любого POST-запроса...

если уж не хочешь возиться с CSRF-токенами :-)..

пойми что я тут за 30 минут смастерил говно-на-палочке (сайт про курагу), а умные люди (умее меня, которые) -- наверно могли бы сделать что-то более умное :-) чем рекламу кураги :-) ..

мне бы вот например было бы неприятно если бы вдруг от моего имени якобы-я начал-бы писать матерные сообщение... и быть может я получил бы за это бан :-) .. так что могут и опасное что-нибудь сделать же

> я нифига не понял - если cookie просто вставить в hidden-форму, подставляя при отрисовке формы, и проверять только этот post-параметр - курс кураги резко сократится?

да-да-да!! hidden-параметр! да!

во время обработки POST-запроса -- нужно НЕ смотреть на куку , а смотреть только на обычные POST-параметры!

курага вообще после этого без шанса :-)

> А что за тема с курагой? Что там по ссылке? Мне просто спасибо говорит.

благодарность (спасибо) -- это за то что учавствуешь в эксперименте..

а вообще в эхе "ii.dev.14" некоторые уже отписали про курагу -- в момент когда им тоже говорили спасибо..

а что за web-браузер у тебя? какие настройки и т д?

> большое спасибо за аудит, за совет, и за курагу, конечно! :)

пажалуйста -- когда будешь протеводействовать кураге -- сделай заодно (добавь) и HTTP-хеадер на все странички:

"X-Frame-Options: DENY"

это не касается кураги (курага это CSRF .. а хеадер про который я написал -- это от ClickJacking)..

ну вобщем погугли там, если что будет не понятно... для ClickJacking-случаев -- нужно обладать более изошрённым умом чтобы заэксплуатировать это -- но всё равно не надо злоумышленникам давать и такого шанса тоже :-)

> Test message

новую курагу чтоль делаешь? :-)

> Фокс, noscript. Я уже посмотрел исходники кураги.

noscript он такой, да :-)

> Я уже посмотрел исходники кураги.

страшный кстати?

а ты смотрел через CTRL+U ли прям отсюда https://www.dropbox.com/s/vryr61d2ubv0kr2/51kuraga.tar.xz ?

я щитаю -- не хватает в потоколе -- отдельного поля для картинки..

можно было бы делать двач-подобные GUI !

http://store.artlebedev.ru/_i/catalog/qzy9tku3.jpg

какими ещё скриптами? :-) он же свой ключ в открытый доступ выложил ;-)

(на этом сайте, прямо... хотя потом его сразу затёрли)

http://51t.ru/QRjj17UAuQWcGyt24hQX

>> я щитаю -- не хватает в потоколе -- отдельного поля для картинки..

> вот только этого нам и не хватало :)

распреледённый двач -- это же мечта каждого! :-)

впрочем если сделать отдельный поинт\ноду (я так и не понял чем "нода" от "поинта" отличается) -- то можно было бы сделать для любителей двач-GUI -- двач-GUI-подобный GUI, а для не любителей -- всё как обычно, но ссылка а фотку отдельной строчкой :-)

> я тебя спутал с тем, кого я сам спутал

мой характерный подчерк -- что я пропускаю буквы в словах. :-)

> а вот как эту фигню указанную тобой закрыть - я так и не соображу с недосыпу...

дай ссылку (на битбукет) на файл который обрабатывает POST-запрос для сообщения, пожалуйста... я хот ьпогляжу как оно там :-)

нет же ни какого тут auth()

https://bitbucket.org/51t/ii/src/77516e15deb57078e5bdc4ca8c945526a45b4997/api/__init__.py?at=default

может я вообще не там копаюсь?

а всё. нащёл.. вот оно

https://bitbucket.org/51t/ii/src/77516e15deb57078e5bdc4ca8c945526a45b4997/iitpl/__init__.py?at=default

:-)

общем я намекаю на то что нужно вставить вот это:

if mo.get('auth') != local.r.auth:
raise blahlahblablah

сразу после этой строчки [ https://bitbucket.org/51t/ii/src/77516e15deb57078e5bdc4ca8c945526a45b4997/iitpl/__init__.py?at=default#cl-70 ]

нет. ты меня запутал :-)

не слушай меня про исходный код (и намёки что вставить)

что ещё за local.r.fz ? в документации к pybottle я такого не видал.. :)

прочитал def allstart() и кажется начинаю понимать :)

вобщем -- вставить нужно кудато -- (в msg_post(ea)) -- вот это:

if local.r.fz.get('auth') != local.r.auth:
raise blahblahblah

звания переменных мне чем-то напоминают футуристичные ассемблерские регистры :-)

> Судя по информации, которую удалось собрать за этот вечер, рискну предположить, что автор сего.

я буду звать тебя -- ультрадеанонимайзер! (не вслух конечно, а так тихонько шёпотом.. видя твой ник :))

надеюсь я снова очкарик? :)