Rok: 2016

Opublikowane w

Włamanie na serwery Minta

Jak donosi blog Minta, atakujący wykradli bazę danych (pełną – hash hasła, adres email, wiadomości prywatne) użytkowników forum, udało im się też podmienić linki na stronie kierując do wyposażonego w backdoora ISO.

Z racji zamykania Joggera trochę przeglądałem stare wpisy i widzę, że to nie pierwszy raz i nic nowego[1]. W roku 2008 doszło do włamania na serwery Fedory oraz Red Hata. Wtedy atakującym udało się nawet podpisać pakiety SSH w Red Hacie, co uważam za groźniejsze. Włamanie na serwery Linux Mint przypomina mi zatem póki co bardziej to, co spotkało choćby TAILS, czyli jedynie naruszenie dystrybucyjnego „frontendu”, bez dostępu do kluczowych elementów dystrybucji.

Warto przypomnieć o sprawdzaniu podpisów pobranych ISO[2]. I nie chodzi mi o sumy kontrolne typu MD5 czy SHA1, które są zamieszczane na stronach WWW, a o podpisy GPG, które dobrze opisuje strona TAILS. Suma kontrolna weryfikuje jedynie brak przekłamań przy pobieraniu i zapisie. Pobieranie przy pomocy protokołu torrent również nie jest gwarancją autentyczności ISO! Pojawiają się informacje, że ISO Linuksa Mint pobrane przez torrent były bezpieczne, ale stało się tak tylko dlatego, że przypadku atakujący po prostu nie pomyśleli o publikacji zainfekowanej wersji ISO przez torrent i podmianie plików torrent na stronie.

[1] Widzę też, że kiedyś pisałem o takich drobiazgach na blogu, teraz bym pominął, gdybym nie znalazł tamtego wpisu… Czasy się zmieniają, ludzie się zmieniają nawet nar^Wblogi się zmieniają.

[2] Na temat kontenerów różnej maści tym razem będę litościwie milczał.

Opublikowane w

Blog roku 2015

Logo Blog Roku 2015

Trochę za sprawą zamknięcia Joggera i uświadomienia sobie, że bloguję ponad 10 lat, bardziej za sprawą zachęty ze strony Blox, postanowiłem zgłosić tego bloga do konkursu Blog Roku 2015. Bez złudzeń[1]. 😉 Ale zawsze jest to szansa na dotarcie do paru nowych czytelników, a „kosztuje” tyle, co wypełnienie zgłoszenia, więc niech będzie.

Fun fact: grafika promująca z oficjalnej strony (602×452 px, PNG) waży 389 kB. Zmiana formatu na JPG (85%) powoduje spadek rozmiaru do 94 kB. Blogerzy, dbajmy o mobilki!

[1] Znaczy jak ktoś wyśle SMS, to bardzo mi miło, choć osobiście uważam, że są lepsze sposoby spożytkowania tych pieniędzy. Choćby WOŚP. Doczytałem, że środki uzyskane przez organizatora z głosowania SMS zostaną przekazane Fundacji Dziecięca Fantazja, więc głosując robicie dwa dobre uczynki w jednym. 😉

Chcesz zagłosować? Wyślij SMS o treści E11332 na numer 7124. Koszt SMS 1,23 zł (z VAT).

UPDATE Głosowanie zakończone, wynik nienajgorszy: etap SMS 1 głos.

Opublikowane w

Zamknięcie serwisu jogger.pl

Wczoraj przeczytałem ogłoszenie o planowanym zamknięciu serwisu jogger.pl. Mimo wszystko smutno. Było to miejsce, gdzie znalazłem wiele ciekawych blogów (czyt.: ludzi), a przede wszystkim miejsce, gdzie zacząłem przygodę z blogowaniem. Więc trochę wspomnień jest. Nawet myślałem o tym niedawno, bo nie dalej jak parę dni temu wpisałem w CV w zdolnościach komunikacyjnych ponad dziesięć lat pisania blogów… No i cała otoczka sieciowa, od składni HTML przez Markdown i jakiekolwiek pojęcie o standardach dotyczących stron WWW, zawdzięczam Joggerowi.

Tak czy inaczej, wiadomo było, że zamknięcie jogger.pl nastąpi. Żaden serwis nie może stać w miejscu – albo się rozwija, albo – prędzej czy później – umiera. Widać było, że czasu i chęci na rozwój i utrzymanie brakuje coraz bardziej, a autorzy mają opory przed opublikowaniem kodu as is. Była co prawda propozycja przepisania Joggera, czyli wersji 3.0, ale jak pisałem, i za późno, i nie tędy droga.

Dawno temu porównywałem Joggera i Blox, nawet dwa razy. Pod wieloma względami Jogger miał bardzo ciekawe rozwiązania. Integracja z jabberem, poziomy wpisów, możliwość dynamicznych feedów RSS, ciekawy, dający bardzo dużą kontrolę nad blogiem, system szablonów. Udało się też przyciągnąć ciekawie piszących ludzi. TBH nadal regularnie czytam parę osób z Joggera. W pewnym momencie coś nie wypaliło/coś się posypało. Tak pobieżnie patrząc, to stała pięta achillesowa Joggera, czyli kontrola nad komentarzami i spamem… IMHO ciekawy temat do analizy, swoją drogą.

Pisałem już o tym w komentarzu (podkreślam, nie negując w żaden sposób praw właścicieli do kodu i domeny), ale powtórzę, bo to nie jest IMO dobre zamknięcie. A komentarz stamtąd zaraz zniknie:

  1. Mało czasu na wyniesienie się. Pięć tygodni przy braku narzędzi i planu, to niewiele. Nie widać powodu, czemu akurat teraz i tak nagle. Oczywiście może być coś, o czym autorzy nie chcą/nie mogą pisać. Ale chyba można by ten czas wydłużyć.
  2. Można było rozważyć przejście do wersji archiwalnej – read only, bez możliwości komentowania. Przypuszczam, że całość obecnie dostępnej treści to raptem małe kilkaset GB. Zatem koszt utrzymania i nakład pracy są minimalne, podejrzewam, że aktualnie używający chętnie się zrzucą.
  3. Można w końcu uwolnić kod źródłowy – jest tam parę osób technicznych, może ktoś się skusi na kontynuację, może pohostuje innym…
  4. Można sprzedać serwis bez danych osobistych. Wystarczy nie eksportować/usunąć wpisy na poziomie 3 i wyższych.
  5. Nieszczęśnikom, którzy nie korzystali z własnych domen można udostępnić subdomeny na prawach domeny.
  6. No i w końcu: można było zapytać ludzi, jakie widzą rozwiązania.

Tak czy inaczej, kolejny serwis z którego korzystałem umiera (wcześniej zniknął blip.pl), i trochę żal. Szeroko rozumianej ekipie z Joggera dziękuję za wszystko.

UPDATE Administratorzy Joggera jednak nie planują po prostu trzasnąć drzwiami. Kwiecień nie jest datą ostateczną, po prostu kod jest stary, utrzymanie pracochłonne stąd pomysł wyłączenia serwisu w dotychczasowej formie. Prawdopodobnie zostanie zachowana jakaś forma statyczna strony, archiwum i zbiór linków do miejsc, w których autorzy będą utrzymywać swoje blogi. Niemniej zamknięcie jogger.pl jest faktem.

UPDATE2 Statyczny mirror bloga na Joggerze można zrobić przy pomocy opisywanego kiedyś sposobu na backup bloga przy pomocy wget. Efekt działania wersji statycznej można zobaczyć tutaj.