1. Куча / Говнокод #23619

    +6

    1. 1
    Говнокод.ру переезжает на новые сервера!

    Запостил: admin, 25 Декабря 2017

    Комментарии (149) RSS

    • Technical post. Servers fixed

      P.S. заодно можно было бы и кнопки твитора с фейсбуком ебнуть, ими все равно никто никогда не пользовался
      Ответить
      • Простите, к-к-какие к-к-кнопки???
        Ответить
      • А-а-а, вот вить оно что.
        Static filter ||twitter.com/i/jot 
        Static filter ||platform.twitter.com*/widgets/$third-party
        Static filter ||facebook.com*/plugins/like.php?$third-party
        Static filter /footer_twitter.
         found in:
            Fanboy’s Social Blocking List
        
        
        Static filter ||google-analytics.com^ 
        found in:
            Peter Lowe’s Ad and tracking server list
        Ответить
        • У меня полностью пропали когда фреймы запретил. Странно. Каким блокировщиком пользуешься?
          Ответить
    • показать все, что скрытоi am a very baaaad boy
      Ответить
      • Молодец, обидел хорошего человека. Чем он провинился, кроме того, что дал жизнь бесплатному сайту без рекламы и банов по пустякам?

        Видимо, надо было сделать платный вход по 100 рублей в день, карму, внутреннюю валюту, фильтр тем для разговора, бан за слово "хрен" и подсветку ника золотым за 50 долларов в час. Тогда все бы сказали, какой админ мужик, какой справедливый.
        Ответить
        • > платный вход по 100 рублей в день

          И платный выход за 200 рублей.
          Ответить
          • судя по реакциям гражданина, эту фичу уже ввели
            Ответить
        • > Чем он провинился

          Банил аккаунты, с которых я писал, и мой плюсатор постов.
          Ответить
        • > и банов по пустякам?
          И не по пустякам тоже.
          Ответить
        • >> бан за слово "хрен" и подсветку ника золотым за 50 долларов в час.
          Оказывоеца, я должен одмину за бан 50$ в час простоя в пермоменте
          Ответить
    • Спасибо за новогодний подарок! А с практической точки зрения что изменится?
      Ответить
      • Вижу, ГК обновили. window.$ убрали; школодосеров выкинули; текст комментариев в стоке не кэшируется.
        Ответить
    • Отличные новости! Как эт, я удачно заглянул.
      Ответить
    • показать все, что скрытоi am a very baaaad boy
      Ответить
    • Какие IP-адреса ожидаются? Надо что-нибудь внести в hosts, а то вдруг DNS упадёт, как уже было.

      P.S. На всякий пожарный часть истории тут:
      https://toolbar.netcraft.com/site_report?url=http://govnokod.ru#history_table
      Ответить
    • Переехали
      Ответить
      • Поздравляю с переездом!

        Кстати, что стало с отображением новых комментариев? Судя по сайту, все комментарии новые (у каждого говнокода стоит штука вида "Комментарии (N, +N)"), но уже прочитанные (при открытии говнокода все белые).

        P.S. SMTP Error: Could not connect to SMTP host. SMTP Error: Could not connect to SMTP host.
        Ответить
        • Багофичу с длинными пробельными комментариями оставили.
          Ответить
        • > hostmaster@govnokod.ru в SOA.
          > MX-запись отсутствует.

          Хорошая защита от спама по электронной почте!
          Ответить
        • Кстати, а ведь сейчас невозможно получить ссылку для активации учётки, потому что отправка писем не настроена.

          Зато, вероятно, можно зарегистрироваться через Openid.
          Ответить
          • Проверим.

            Яндекс закрыл openid-провайдер.
            Компания Mail.ru закрыла openid-провайдер.
            Google закрыл openid-провайдер.
            Livejournal.com закрыл openid-провайдер.
            Liveinternet.ru закрыл openid-провайдер.
            Wordpress.com закрыл openid-провайдер.
            myid.net, myopenid.com, oneid.ru, pip.verisignlabs.com закрыты.

            Loginza.ru: сломана регистрация, проверить невозможно.

            Yahoo: Openid есть, но на ГК войти нельзя, потому что Яху перешёл на OpenID 2.0 (библиотекой Janrain он поддерживается, так что можно допилить).
            Через Blogspot (гугловский сервис) войти на ГК нельзя по той же причине.

            Итого: мы почти в безопасности от нашествия новых ботов.
            Ответить
            • Это что получается - oauth победил?
              Ответить
              • Получается так.

                Из публичных openid-провайдеров в декабре 2017 мне удалось обнаружить только Яху и Блогспот. Может быть, я плохо искал, но больше ничего не обнаружил. А Википедия что-то скрывает: «As of March 2016, there are over 1 billion OpenID enabled accounts on the Internet (see below) and approximately 1,100,934 sites have integrated OpenID consumer support».

                Хотя странно. Во-первых, OAuth доставляет больше геморроя владельцам сайтов, ибо сайт нужно регистрировать у каждого OAuth-провайдера. Если пользователь не найдёт на сайте кнопки соцсети, в которой он зарегистрировался, то через OAuth он не войдёт на сайт. OpenID же отдельной кнопки для каждой сети не требовал, пользователь мог указывать хоть свой домашний сервер.

                Во-вторых, OAuth вообще-то придумали не для аутентификации, а для доступа к данным пользователя и для делегации полномочий. Если OpenID — это удостоверение личности, то OAuth — это ключ от квартиры, где деньги лежат. Пользователи же не читают манифест, да и отклонить отдельные пункты манифеста, не отклоняя всё сразу, они не могут.

                В общем, победила фигня, распиаренная Твиттором и Пейсбуком. Кстати, OAuth и OAuth2 — совершенно разные протоколы, хотя для пользователя они выглядят одинаково.
                Ответить
                • > OAuth — это ключ от квартиры

                  Точнее так: OAuth для пользователя — это дверь от квартиры, а ключ лежит у владельцев сайтов, на которые пользователь собирается заходить. Т. е. в случае OpenID пользователь ходил со своим удостоверением, а в случае OAuth пользователь ходит со своей дверью (а ключ владельцы сайтов должны получить заранее).
                  Ответить
                  • > в случае OpenID пользователь ходил со своим удостоверением...
                    ...которое мог напечатать сам себе в своём подвальчике. Т.е. один фиг какой-то white/black лист владельцам сайтов держать приходилось.

                    А со стороны OAuth провайдеров пользователи приходят более-менее отфильтрованные (по наличию сотика и т.п.). Плюс по OAuth, емнип, можно вытрясти инфу о юзере (ник, аватарку, мыло и т.п.), а если юзер невнимательный - то ещё и можно будет отсылать от его имени письма и т.п. Видимо поэтому OAuth и взлетел.
                    Ответить
                    • > ...которое мог напечатать сам себе в своём подвальчике.

                      Можно было создать себе 100500 логинов, но адрес подвальчика имя сервера подделать было нельзя. При подозрительной активности владелец сайта мог чей-то домашний сервер внести в чёрный список.

                      > по OAuth, емнип, можно вытрясти инфу о юзере

                      По OpenID тоже можно было кое-что вытрясти.

                      google: openid attribute exchange

                      http://openid.net/specs/openid-attribute-exchange-1_0.html

                      И устаревшее расширение — simple registration extension:

                      http://openid.net/specs/openid-simple-registration-extension-1_0.html

                      Из последнего можно вытрясти nickname, email, fullname, dob (date of birth), gender, postcode, country, language, timezone.

                      А из attribute exchange — чуть побольше.

                      Поскольку опенайдишник — это обычно адрес веб-страницы, то из неё можно вытащить и аватарку (через Pavatar, микроформаты, микроданные, RDFa, Opengraph). Оттуда же можно вытащить и ещё кое-что, если микроформатами/микроданными закодирована визитка (vcard).

                      На худой конец аватарку можно вытащить через Gravatar, если удалось вытащить е-мейл.

                      > а если юзер невнимательный - то ещё и можно будет отсылать от его имени письма

                      А вот это как раз то, на что я намекал: OAuth — это не удостоверение (в отличие от OpenID), а дверь, которую юзер таскает с собой и к которой у сайтов есть ключ.
                      Ответить
        • пока что счетчик учета новых комментариев отключен, фикс будет в ближайшее время
          Ответить
        • Сейчас уведомления работают?
          Ответить
      • показать все, что скрытоi am a very baaaad boy
        Ответить
        • Въебал минус, проверь. Буду въёбывать минусы всем комментариям с хуями.

          P.S. И своему комментарию тоже въебал, потому что он с матом.
          Ответить
          • Я специально тут написал, прям под твоим комментом
            Ответить
            • В неловкое положение ты меня поставил. Я думал о тексте комментария, а о юзернейме даже не подумал... Будем считать, что тебя зовут Три-Оджиотоу-Ксью или Три-Ойиотоу-Ксиу.
              Ответить
          • Сейчас проверим...
            xуй
            Ответить
      • i am a very baaaad boy
        Ответить
      • Предлагаю принимать голоса за комментарии и говнокоды только методом POST. Это сократит количество случайных голосов. В идеале, конечно, ещё добавить токен для анти-CSRF.
        Ответить
        • И только при личном визите с паспортом.
          Ответить
        • Предлагаю выложить ГК на github, чтобы инканус грей мог не предлагать, а пулл-реквестить по делу.
          Ответить
          • Предлагаю на странице http://govnokod.ru/page/feedback опубликовать ссылку на хранилище исходников текущей версии движка (да, той, которая сейчас используется на сервере), а не на Гуглокод, который готовится отойти в мемориальное кладбище Гугла, чтобы потенциальным пулл-реквесторам не приходилось проходить квест.
            Ответить
      • Есть идея. Допилить поддержку OpenID, чтобы можно было логиниться через Яху или Блогспот. Библиотеку можно взять тут:
        https://www.janrain.com/openid-enabled

        Или вообще убрать поддержку OpenID, потому что текущая практически бесполезна.
        Ответить
      • Кого?
        Ответить
    • когда уже https прикрутите?
      Ответить
      • А смысл? Лички тут нет, приватных профилей тоже.
        Ответить
        • Вход по паролю таки есть.
          Ответить
        • >Лички тут нет,
          Есть. Но только для премиум-аккаунтов. В смысле была до того как SMTP сломали.
          Выслал тебе в личку, проверь.
          Ответить
      • https://govnokod.ru
        Ответить
        • Части страницы не защищены
          Ответить
          • Ненужные части вроде виджетов Твиттора и Фейсбука.
            Ответить
            • > виджетов Твиттора и Фейсбука.
              Нет, у меня они выпилены.

              Пишет images.
              Думаю gravatar.
              Ответить
              • +1, у меня хром так и написал "граватар капут"
                Ответить
              • Чем они у тебя выпилены? У меня прыщелис матерится, даже если http ссылки выпилены ublock. С адблоком было все по-другому.
                Ответить
        • а можно его еще и дефолтным хостом сделать?
          ну и ссылки на свитор и фейсбук сделать через //
          Ответить
          • > ну и ссылки на свитор и фейсбук...
            ... выпилить к хуям, чтобы загрузку не тормозили.
            Ответить
            • При необходимости их можно оформить тупо ссылками:
              https://www.facebook.com/sharer.php?u=
              https://twitter.com/share?url=

              А картинки для кнопок держать у себя. От этого потеряем только счётчик.
              Ответить
              • или сделать их async
                Ответить
                • Можно сделать и async, и defer (чтобы поддержать все браузеры), и для надёжности добавлять чужой скрипт на лету с помощью document.createElement + insertBefore (по событию window.onload).

                  А можно вообще ничего не грузить с посторонних сайтов.
                  Ответить
        • В браузере зачеркнутый замочек сменился на замочек с желтым восклицательным знаком. Уже лучше.
          Ответить
      • Не знаю, думаю https не особо нужен, для определённого разряда сайтов.

        И вообще вреден, т.к. создаёт ложную иллюзию безопасности.
        Ответить
        • > И вообще вреден
          Да ну, хотя бы провайдер не сможет писать всякую хуйню от моего имени. Да и сервер подменить немного сложнее.
          Ответить
          • Зато РКН не сможет забанить отдельную страницу и при необходимости забанит ГК целиком.
            Ответить
            • И это хорошо.
              Ответить
              • Почему?
                Ответить
                • А что хорошего в том, что странички будут банить по одной и многие это даже не заметят?
                  Ответить
              • Действительно хорошо. Надо русню отсюда забанить.
                Ответить
                • Ага, включая админа.

                  И кто останется?
                  Ответить
                • В/на тоже блочат, вроде.
                  Ответить
                  • Только несколько сайтов (соцсети)
                    Ответить
                    • А что ты вообще делаешь на руснявом сайте? Вали в свои интернеты, чурка ебаная.
                      Ответить
                      • Как пидорашечке бомбануло :) Гавно с цензурой должно страдать.
                        И сайт русскоязычный, а не совсем руснявый.
                        Ответить
                        • Какого тогда чёрта на русскоязычном сайте основную русскоязычную аудиторию смеют принижать какие-то иностранные нацисты?
                          Ответить
                          • Ее не только принижать можно, но и забанить нахуй с сайта. И что ты сделаешь? А за нациста обоснуй.
                            Ответить
                            • > А за нациста обоснуй.
                              А что тут обосновывать, какие-то люди приходят и всячески оскорбляют русских чисто из-за национальности. Нацисты, расисты и прочие мутные личности.

                              > но и забанить
                              Забанить на ГК? Если то Страйкер, то пусть банит кого пожелает, он ничего никому не должен.
                              Ответить
                              • Так я не считаю, что моя нация самая правильная. Я считаю, что русня - говно. Это другое :)

                                Заблокировать русне сайт могут, если роскомпозору тут что-то не понравится.
                                Ответить
                                • Не так важно, что там со своей нацией, главное - чужую не надо оскорблять.
                                  Ответить
                                  • Это почему над убогими нельзя стебаться?
                                    Ответить
                                    • Целые народы убогие?
                                      Ответить
                                      • Сёма, видимо, не может найти ничего хорошего в самом себе, и ему остаётся только сквончить на наследие предков.
                                        Ответить
                                        • Каких предков? Крепостные - не мои предки.
                                          Ответить
                      • Ты такой же дебил, как и хохлы, решившие забанить все ru сайты в образовательных учереждениях. Вашей дорогой идут мудаки.
                        Ответить
                        • Если будет плохо, люди выйдут и выскажут своё мнение как делали раньше.
                          С другой стороны, русские сайты они и дома почитать могут, а в школе пусть проникаются родной культурой. У нас почти никто украинского не знает, а на Украине с детства по-русски понимают, когда свой язык ничуть не хуже.
                          Ответить
                          • ты это про украину? что за хуйню ты написал. Та же самая срань что у вас идет, только медленнее - главное создать механизм блокировок, подготовить морально население, а дальше пойдет-поедет. Только медленнее чем у вас.
                            Как человек всю жизнь там практически не выезжавший из Харькова заявляю, что в гробу я тогда видел мову и культуру, ибо кроме школы и телека с ней нигде не сталкивался. Помню как учил стихотворение на мове и боялся что завалю. Училка была западенка какая-то. Не думаю что с тех пор там принципиально что-то изменилось. Кроме того, не уверен что у всего русскоязычного контента есть украиноязычные аналоги.
                            Ответить
                            • Про Украину. Ну а что, если это не какая-нибудь пропагандистская питушня о том, что первый украинец появился три миллиарда лет назад и дал начало высшей расе, то изучать свои корни - полезное дело. Сливать годные языки - тоже не дело. Как минимум потому, что язык влияет на мышление. К некоторым проблемам нужно подходить с определённой стороны.
                              И да, в школе должны быть учителя и учебники. В младших классах надо получать какое-то воспитание, учиться понимать, что хорошо, что плохо - должны быть только учителя и адекватные учебники, а не информационный шум интернетов. В старших классах полезнее учиться читать по-английски.
                              Хотя, банить полезные сайты - дело нехорошее, да.
                              Ответить
                              • русня не может не оправдывать цензуру
                                Ответить
                                • ко-ко-ко, русофоб

                                  >> банить полезные сайты - дело нехорошее, да.
                                  Ответить
                                  • Неправильно. Банить по TLD - гавно и путь в рашку.
                                    Ответить
                      • >чурка ебаная.
                        Вспомнился анекдот про двух чукчей которые договорились: кто реку переплывёт — тот станет русским.
                        Ответить
        • > иллюзию безопасности
          Иллюзию того, что мой браузер общается с настоящим сервером одним из серверов, который на данный момент владеет закрытым ключом, для получения которого ему или кому-то ещё пришлось доказать владение доменом одному из ЦА, которые добавлены в список доверенных разрабами браузера, операционки или кем-то ещё (при условии, что нет багов в протоколе и реализации).
          Ответить
          • Ну да. Это понимают единицы.
            Большинство пребывая в сладостном неведении завидев зелёный замочек думают что всё защищено.

            Вот сколько людей проверяет корневые серты, которые им поставились с ОС и браузером? Примерно ноль.
            Здесь спешу напомнить что у многих стоят гавносборки виндов Vasya Edition и всякие хуяндекс-браузеры.

            Или есть уверенность что кто-то втихаря не юзает очередной heartbleed, коих в openssl 100500 штук.
            Ответить
            • Просто оставлю эту картинку здесь. Как обычные пользователи видят предупреждения системы безопасности:
              https://pbs.twimg.com/media/DLJq4JIXoAAJMal.jpg

              А ещё некоторые верят, что сайт с адресом типа vk2018.com — это специальная новогодняя версия Вконтакте, и вводят туда свои реальные логин и пароль от Вконтакта. А если ещё будет зелёный замочек, то уверенность, что они всё делают правильно, будет ещё больше.
              Ответить
              • Всё еще хуже:
                Государственный провайдер Казахтелеком, в связи с нововведениями закона Республики Казахстан «О связи», намерен с 1 января 2016 года прослушивать весь зашифрованный TLS-трафик, подменяя сертификаты сайтов национальным сертификатом безопасности, выпущенным Комитетом связи, информатизации и информации Министерства по инвестициям и развитию Республики Казахстан.

                Достаточно пропихнуть свой серт в поставку жопулярного браузера или за много бабла подписаться чьим-то корнем, и с автоапдейтом миллионы юзеров получат зелёные замочки.

                https://www.reddit.com/r/sysadmin/comments/401imx/kazakhstan_submits_a_root_certificate_to _mozilla/

                https://bugzilla.mozilla.org/show_bug.cgi?id=1232689
                Ответить
                • Кстати, там где-то интересная мысль попалась - раз казахстан перехватывает весь трафик, то он может доказать владение любым доменом, а следовательно имеет законное право выдать себе сертификат для этого домена :3
                  Ответить
                • А знаете, из-за чего появились списки отзыва сертификатов (CRL)? Какая-то компания получила сертификат на имя компании, созвучной с Microsoft (только вместо Corporation там было другое слово). Этим сертификатом потом подписали поддельные драйвера для Windows, содержащие зловредный код.
                  Ответить
                  • >на имя компании, созвучной с Microsoft
                    А это запрещено?
                    Ответить
              • >А ещё некоторые верят, что сайт с адресом типа vk2018.com — это специальная новогодняя версия Вконтакте, и вводят туда свои реальные логин и пароль от Вконтакта.
                SRP
                Ответить
            • > проверяет корневые серты
              А как их проверишь то...

              Сходить на сайт каждого УЦ, сверить по телефону фингерпринты... Но откуда я знаю, каким корневым центрам стоит доверять, а каким нет?
              Сравнить с другими списками... Но почему я должен доверять этим спискам?
              Ответить
              • >А как их проверишь то...
                grep -iv Kazakhstan

                >Но откуда я знаю, каким корневым центрам стоит доверять, а каким нет?

                Вот-вот. Это и страшно, там вбито пару десятков каких-то непонятных контор, которым я почему-то должен доверять.

                А самое плохое что новые серты могут приезжать с автоапдейтом (если он вкл), и ставиться без моего ведома.
                Ответить
                • > непонятных контор, которым я почему-то должен доверять
                  Ты, по определению, уже доверяешь вендору браузера и операционки (иначе ты бы не стал их использовать).
                  Ответить
                  • >иначе ты бы не стал их использовать

                    Так гос-во может пойти дальше, обязав провайдера поставлять какой-нибудь РосХромНадзор или KazakhFirefox.
                    А при попытке скачивания нормальных версий чтоб шёл редирект на правильную ссылку.

                    Национальный браузер, как ответ Керзону.

                    Проблемы от нашего файрволла? Поставь себе браузер с нормальными сертификатами и у тебя не будет никаких красных сообщений! Для обхода блокировок и доступа к запрещённым сайтам! Только у нас. Налетай!
                    Ответить
                    • На десктопе-то серт добавить особых проблем нет, а как с мобильными устройствами? Кстати, кто знает, чем история с казахстаном кончилась?
                      Ответить
    • О, говнокод. А я думал вы сдохли)
      Че кого, ребятушки?
      Ответить
      • На этой элитной свалке кода ещё живут Снаутфон и Бормонда.
        Ответить
        • Вспоминается вывеска «London Royal Garbage» из какой-то телепередачи.
          Ответить
    • Тем временем меня заработало
      Я уж думал, это не произойдет
      Ответить
    • test
      Ответить
    • > сервера
      Один сервер уже не тянет такое количество юзеров?
      Ответить
    • Ну нихуя себе! Не было меня 2 месяца. Как тут же одмин проснулся.
      Ответить
      • Ну нихуя себе 2! 3.1415 вернулся. Может это один и тот же человек?
        Ответить

    Добавить комментарий