hup.hu only via HTTPS

 ( m.informatikus | 2016. november 19., szombat - 21:36 )

"Politikai" indok miatt nincs egy https://letsencrypt.org/ -es cert a hup.hu-ra?

Közhely, de a Google hátrébb sorolja a non-HTTPS oldalakat: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

Az elmúlt pár évben egyre inkább HTTPS a trend: https://www.google.com/transparencyreport/https/metrics/

A felelőtlen CA-k, BGP alapú támadások, risk (impact x probability) szempontból még mindig kevésbé bajosak, mint hogy 2016-ban plaintextben menjen a kommunikáció.

Érdekességből próbálok szavazást indítani, hátha kikerül.

Szép napot!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

100x ki lett vesezve:
Majd egyszer ha bra raer akkor lesz oszoljanak kerem nincs itt semmi latnivalo...

Ezt a foscunamit, amit ide öntöttetek, atya ég...
Úgy érzem annyit el kell mondanom, hogy rég megállapodtunk (a tulajdonos magánszemélyekkel :), hogy az oldal elkerül tőlem, mivel nekem sem időm, sem energiám nincs már ehhez a hobbihoz. Tizenvalahány éve, amikor még fiatal voltam, nem volt családom, teljesen rendben volt, de vén faszként, mindennapi problémákkal, családdal, akikről gondoskodni kell, és egy átdolgozott éjszaka után nem egész nap aludni, vagy hullafáradtan, zombiként bolyongani az állatkertben, szóval így már sok ez.

Ennek ellenére az oldal még itt van, amihez -mint arról nyilván értesültetek (a kontextusba helyezéshez érdemes megnézni a videó dátumát, nem tegnap alakult ki ez a helyzet)- néha vasárnap hajnalban járkálok, ha gond van, tisztán úri passzióból, saját költségre.

A "hőskorban" megfelelt ez a konstrukció, de már rég le kellett volna váltani, amire én is csak várni tudok, más feladatom (már) nincs a dologban.

Ettől függetlenül, csak hogy újabb problémákat találhassatok, beállítottam a https-t, abban a reményben, hogy ez volt az utolsó, amit itt tennem kellett... :)

https://hup.hu/

Felreertesek elkerulese vegett en nem teged basztatlak meg aztan nekem hotmindegy hogy van e https vagy sem.
Ha ez mashogy jott le akkor elnezesed kerem.

Masokkal ellentetben en tisztaban vagyok vele hogy neked rengeteg munkad van a hupban illetve egyeb opensource tamogatasban. Peldaul hanyni tudtam volna az fsn megallt topicban az emberek hozzaallasatol hogy hat megallt az a szar es hogy kb hulye aki azt hasznalja mirrorkent...

A hozzaszolasom inkabb arra iranyult hogy ha valakinek baja van akkor lehet segitseget felajanlani.

Elenyésző összegért cserébe én vállalom az adminolást.

A nulla forint (plusz minden felmerülő költségedet te állod) kellően elenyésző? Cserébe ha valamit elbaszol, vagy nem megy hétvégén egy órát, akkor a fél internet rajtad röhög.
Deal? :)

Természetesen a Profession bevételeihez képest elenyészőről van szó, nem mindenki hagyja magát kizsákmányolni. A fél internet röhögését meg ugyanúgy a helyén kezelem mint ti.

Deal! A mailcímem tudjátok :)

Még a hardvert is állom, to sweeten the deal.

Day 1 Executive Actions

  • comments_per_page limit és default érték megnövelése
  • Részemről nincs harag (rád meg főleg :), azzal szemben sem, aki fikáz. Ez az internet, a cicás pornó hazája, vagy mi. :)
    Amikor ezt az egészet kezdtük, még teljesen más volt a világ, aztán ez így maradt...

    Most nezem csak a graveyard mar a t-online domaint hasznalja. Oreg vagyok baszki :D

    És a https örömére ki is törölted magad az elérhetőségek menüpont alól?
    https://web.archive.org/web/20160505004930/http://hup.hu/elerhetosegek

    Igen, megkértem rá Treyt. Nem a https, hanem az itt leírtak örömére. Az egyezségünk szerint mostanra már rég semmi közöm az oldal működtetéséhez.

    +1

    Új lehetsz errefele... :)
    --
    "Sose a gép a hülye."

    Ennyi ideje regisztrált felhasználó
    49 hét 5 nap

    :)

    ez a komment telitalalat :))))

    M mint Megmondó.?
    --
    God bless you, Captain Hindsight..

    Szerintem nincs gond avval, hogy plain textet plain textben kommunikálunk.
    A login legyen https, esetleg minden POST request. De a többire csak felesleges CPU terhelés. Illetve emelei a browser barrier-of-entry-t.

    ### ()__))____________)~~~ ########################
    # "Do what you want, but do it right" # X220/Arch

    Gratulalok.

    Nos ez, így, ebben a formában... Ordenáré nagy fasság (sic!), ahogy egy ex kollégám mondaná... Gondold végig, hogy miért. (Segítek: authentikáció, session, eltérítés...)

    Nem.
    Session hijack-hez elobb meg kell tudnod figyelni a forgalmat. Nem egyertelmu, es nem egyszeru.
    Masreszt azt is figyelni kell, hogy mit nyersz vele. A HUP-on sikerul valaki neveben forumozgatni, hat nagyszeru, ez tenyleg mindent meger (BTW: 2 ev bortont, csak FYI).

    Routeren atirod a dns szervert olyanra, ami pl. http://www.google-analytics.com valodi ip-je helyett egy masik gep ip-jet adja meg, aki a kiszolgalt js fajlba belerak egy ilyen kodot (vagy csak siman hozzafuzod minden atmeno http oldal tartalmahoz):

    https://www.youtube.com/watch?v=EO4a_a8hN6g
    vagy egy ilyet:
    https://www.youtube.com/watch?v=zcVsyA4Imys
    vagy csak minden beirt jelszot elkuldi egy szervernek.

    (par hete talalkoztam ismerosnel egy routerrel amin pont ez tortent, szoval valoszinu letezik ra malware)

    "Routeren atirod a dns szervert olyanra"

    Eloszor hozzaferest kell szerezned a router-en. Hacsak nem valami luzer helyen vagy, ez nem fog menni 'csak ugy'.

    Masodszor, tovabbra is 2 ev bortonnel jutalmazzak ezt, ha barki is veszi a faradtsagot, hogy tegyen egy feljelentest a rendorsegen. Szerinted barkinek is meger ez a moka ennyit?

    Luzer hely = Gykorlatilag barhol, ahol nem bizol 100%-ban a routerben es annak beallitasaiban es hogy a firmware nem tartalmaz hibat/backdoort.

    Szerintem ezt sehol nem teheted meg, par pelda:
    - CVE-2016-1287 - A vulnerability in the Internet Key Exchange (IKE) version 1 (v1) and IKE version 2 (v2) code of Cisco ASA Software could allow an unauthenticated, remote attacker to cause a reload of the affected system or to remotely execute code.
    - Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...)
    - Hazai UPC modemek biztonsagi vizsgalata

    Megneznem, hogy a rendorseg mit tudna kezdeni azzal a feljelentessel, hogy egy kinai malware atirta a routered bellitasait, majd egy bongeszo hibat kihasznalva egy ransomware-t telepitett a gepedre es most 1000 USD-t ker az unlockert.

    Ha ennyire bizol a feljelentes erejeben, akkor nyugodt szivvel publikalhatod az osszes jelszavad, hiszen 2 ev borton fejeben kinek erne meg azokat hasznalni?

    https://www.youtube.com/watch?v=XlgHZIjz5eQ

    akinek 0day browser sebezhetosege van, az vagy eladja milliokert, vagy komolyabb dolgokra hasznalja.
    hupperek feltoresere, komolyan?

    A dlink meg a standard-issue upc modemeket aki alapbeallitasokon hagyja es/vagy nem tesz ele/moge egy masik routert, az mar kezdodo luzer kategoria, igen.

    Ha valakinek sikerul mondjuk parezer routert megfertoznie egy malware-el, ami kepes barmit beinjetalni a http forgalomba, akkor szerintem jobban megerheti neki egy ransomwaret feltelepiteni sokezer gepre, mint bejelnteni a google-nak. (+ igy a radar alatt maradhat es a fekete piacon ugyanugy eladhatja)

    PC-n eleg jol mukodik az automatikus bongeszo frissites, de pl. 80%-a az Android usereknek nem kapja meg a biztonsagi frissiteseket, igy van mibol csemegezni (csak iden 43 tavoli kodfuttatasi hibat javitottak)

    De igazabol nem is kell 0day az atlagos user atveresehez: A kedvenc videomegosztoja oldalara berak egy "a flash player elavult" uzenetet, linkkel az adobe.com -ra (amit persze a sajat szervererol szolgal ki), ahol egy, az igazival megegyezo oldalrol letoltik a lockyval fertozott setup.exe -t.

    Allitgathatod a routered, ha a 39889 portra kuldott "HELODBG" uzenet utan barkinek nyit egy rootshellt. Ha a sajatod, akkor persze telepithetsz ra openwrt-t, de a szolgaltato altal adott kabelmodemhez nem sok hozzaferesed van.

    napi wtf:

    $ wget https://indavideo.hu
    --2016-11-22 22:31:16-- https://indavideo.hu/
    Resolving indavideo.hu (indavideo.hu)... 217.20.131.245
    Connecting to indavideo.hu (indavideo.hu)|217.20.131.245|:443... connected.
    HTTP request sent, awaiting response... 301 Moved Permanently
    Location: http://indavideo.hu/ [following]
    --2016-11-22 22:31:16-- http://indavideo.hu/
    Connecting to indavideo.hu (indavideo.hu)|217.20.131.245|:80... connected.

    Legnagyobb félelmem, hogy majd valaki jól elkezd kommenteket írni a hupra a nevemben!!!4444

    ----------------
    Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

    Vagy spamet terjeszteni

    Valaki máris hülyeségeket ír a nevedben.

    Lehet ez már nem ő..

    Ez igazabol http/2 vs http/1 es semmi koze a https-hez. (a http/2 megy https nelkul is)

    Igen és nem. Maga a HTTP/2 szabvány valóban nem ír elő titkosítást, viszont a leginkább releváns implementációk (Firefox, Chrome, Safari, Opera, IE, Edge) csak TLS felett hajlandóak HTTP/2 kliens funkcionalitást aktiválni, így de facto nem "megy https nélkül".

    Az authentikációs adatot kell védeni (session), nem csak a jelszót...

    Ezen már rég túl van a világ.
    Mióta van Letsencrypt, igazából nincs többé jogos excuse.

    Már rég van az oldalnak SSL tanúsítványa, de ebben a formában, ahogy van, értelmetlen bekapcsolni az ismerten sebezhető verziójú SSL-t. Ugyanis olyan régi az operációs rendszer és az összes rajta levő port, hogy simán többet ártunk vele, mint használunk. Az SSL csomagok évekkel ezelőttiek, tele sebezhetőségekkel.

    Kérdezhetnénk, hogy miért nincs akkor az OS és a többi komponens frissítve? Sajnos a mostani Drupal verzió nem fut rendesen újabb PHP és egyéb csomagokkal. De, akkor miért nincs a Drupal frissítve? Mert ígéretet kaptam arra (évekkel ezelőtt), hogy valaki(k) megcsinálják.

    Legutóbb éppen arról volt szó, hogy az oldal az ősrégi vasról egy modern (virtuális) hosting környezetbe költözik, majd utána lesz rendbe szedve a többi része.

    Úgyhogy nem olyan egyszerű az egész.

    --
    trey @ gépház

    Hát igen, getty nehéz egy libresslhez linkelni az nginx/apacsissl-t, arra nincs áptget páráncs ;o(

    Meg hát zárt forrású.

    Nem én vagyok a rendszergazda, a nevében nem nyilatkoznék erről. Én az érvényes SSL tanúsítványt több mint egy évvel ezelőtt megcsináltam és átküldtem neki.

    --
    trey @ gépház

    Mi oka lehetett annak, hogy nem tartott téged alkalmasnak egy root account birtoklására?

    Root account-om van, viszont nem én vagyok a rendszergazda. A rendszergazda feladata technikai döntéseket hozni, ő pedig úgy döntött, hogy nem lesz bekapcsolva az SSL addig, amíg nem lehet OS-t frissíteni. Mivel nem az én dolgom a rendszer terelgetése, én ezt a döntést elfogadtam.

    --
    trey @ gépház

    Tehát a "politikai indok miatt nincs" kérdésre "igen" a válasz.

    Ha te mondod... én a politikához sem/nem értek.

    --
    trey @ gépház

    Technikai: "figyelj statikusan linkelnék httpd-t libressl-hez."

    Politikai: "van kedved upgradelni? a te feladatod lenne... nincs? kthxbiy nincs felelősségem:-)"

    Én számtalanszor kérdeztem rá arra az elmúlt években, hogy mi lesz a frissítéssel. Számtalanszor írtam le, hogy milyen rizikója van annak, hogy nincs frissítve a CMS, az AMP stack, az OS.

    Számtalanszor kaptam dátumokat, határidőket, hogy mikor mi lesz.

    Többször untam meg a várakozást, gondoltam elébe megyek a dolognak. Többször csináltam tesztrendszert naprakész OS-sel, naprakész Drupal-lal, naprakész virtualizációs platformra átrakva, megcsináltam a migrációt, majd a végén az eredményt bemutattam. Egyetlen skin-t kellett volna ráhúzni és készen lett volna. Ebben kellett volna megegyezni. Az ígéretek szerint már régen új vason (virtuális vagy fizikai tökmindegy) kéne futnia az egésznek, új OS-sel, Drupal 8-cal (de minimum 7-tel) és új layout-tal, kinézettel.

    Sajnos az ügy ennél tovább nem jutott és nem én voltam az oka. Többször volt időpont megbeszélve találkozókra (személyesre is), ami aztán nem vezetett eredményre. Emiatt felautóztam Bp-re, voltak ígéretek, de ennél többet én nem tudok és megmondom őszintén, nem is akarok tenni.

    Úgyhogy most én is várok. Politikailag.

    --
    trey @ gépház

    Ezek után hogyhogy nem cserélted még le a rendszergazdát?

    Zahy nem akar felcsapolni garázdának? :)

    Ha tenyleg csak a template-en mulik, akkor keress meg es talalunk ra megoldast


    // Happy debugging, suckers
    #define true (rand() > 10)

    Ahhoz kellett volna csak egy skin, hogy a döntés megszülessen a projekt indítására. Ha valaki lusta, pár 10 dollárért nem nagy dolog venni egy fizetőst.

    --
    trey @ gépház

    Azért az kicsit furcsa, hogy kis hazánk talán egyik leglátogatottabb IT/UNIX/LINUX/szakmai stb portáljának tulajdonképpen nincsen (rendszer)gazdája.

    Legközelebb tedd CentOS-re az legalább 10 évig supportált, és nem kell elavult libekkel szarakodni. 10 évente egy upgrade/reinstall meg csak belefér :D

    Fedora 24, Thinkpad x220

    +1

    "Azért az kicsit furcsa, hogy kis hazánk talán egyik leglátogatottabb IT/UNIX/LINUX/szakmai stb portáljának tulajdonképpen nincsen (rendszer)gazdája."

    Nekem is valami ilyesmi jött le a szál olvasása során.
    És ez azért durva..... na.

    ---------------------------------------------------------------
    Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

    Van az úgy, hogy az embereknek, akik belekezdenek egy-egy ilyen projektbe fiatalon, egy idő (jó sok idő) után más dolgok lesznek fontosabbak az életükben. Pl. munka, család stb. Főleg akkor, ha gyakorlatilag fizetés nélkül csinálják a dolgot.

    És ez teljes mértékben érthető.

    --
    trey @ gépház

    Ha az a lehetőség áll fenn, hogy vagy marad így az irányítás vagy átveszi egy IT cég és akkor lesz pénz naprakészen tartani esetleg modernizálni is, akkor nem olyan sürgős szerintem az a frissítés, mert ez is kiszolgálja az igényeinket. Nem hiányozna egy akármennyire is IT, de külsős irányítás.
    Jelenleg is tudunk egymásnak segíteni, segítséget kérni, blogolni, aktuális híreket kapni, híreket és cikket beküldeni, stb. Szóval a portál működik. Az hogy a "főszerkesztő" idejétől és elfoglaltságától függ a hírek pörgése, nem okoz olyan fene nagy kellemetlenséget szerintem.

    [szerkesztve]
    Persze egy alapítvány is megoldaná a problémát, de túl "sokba kerülne". Nem csak pénzügyileg, mert kellene egy csomó önkéntes aki működteti, no meg kellenének támogatók is akik a bevételt biztosítanák.
    Vagy pályázatokból előteremteni időnként a felmerülő költségeket, de ebben végképp nem vagyok járatos.
    --
    Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

    Itt most csak a szerver, az OS, a szoftverstack üzemeltetéséről van szó. A tartalom más lapra tartozik. Az utóbbi kézben van tartva. Az előbbiek lötyögnek.

    Egyébként is van roadmap és terv a probléma megoldására. Csak lassabban haladnak a dolgok, mint azt én szeretném.

    --
    trey @ gépház

    Ez világos. Én a kiszolgáló üzemeltetésének pénzügyi nehézségeinek megoldására gondoltam, mint ahogy te is arra utaltál azzal, hogy ezt mindenki önkéntes alapon fizetség nélkül csinálja. Professzionális (pénzért dolgozik rajta) segítség is jól jöhetne olykor vagy folyamatosan, periodikusan a háttérben.
    --
    Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

    >Nem hiányozna egy akármennyire is IT, de külsős irányítás.

    Új lehetsz errefelé

    Nincs külső irányítás. Együttműködés van a HWSW-vel és van némi reklám az oldalon, de ez nem zavar.
    A HWSW-s linkek és hírek meg kifejezetten jók, mert azt az oldalt ritkábban látogatom, de az érdekesebb dolgokról így itt is értesítést kapok. :)
    --
    Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

    keklol

    A magyarokkal bármit meg lehet etetni. ^

    --
    ez a komment a hupu-hwsw-poorfessian szabadoskártyával került kihelyezésre eme üzleti felületen

    Ha te senkiben sem bízol úgy elég szar lehet!
    --
    Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

    http://www.hwsw.hu//mediaajanlat/HWSW_mediaajanlat.pdf

    "A HUP.hu-t a HWSW kiadó 5 éve vásárolta fel, hogy jelentősen növelje elérését az IT szakmában dolgozók célcsoportjában. "

    Erről ennyit.

    Ez így ebben a formában nem igaz. Nyugodtan lehet rám hivatkozni.

    --
    trey @ gépház

    Akkor meg hazug emberekkel bizniszelsz.

    Megismétlem, hogy a HUP 3 magánszemély "tulajdona".

    --
    trey @ gépház

    Megismétlem: üzleti partnereid hazudnak rólatok.

    Nem tudom kikre gondolsz a "partnereim" alatt. Azt sem tudom, hogy az általad hivatkozott dokumentumot ki írta és hogy aki írta, a szándékosan írt-e valótlant vagy tévedésből. Szóval én nem ítélkezem. Te azt csinálsz, amit akarsz. Terjeszthetsz valótlan infókat is, vagy elfogadod azt, amit én mondok.

    --
    trey @ gépház

    Én csak a HWSW mint üzleti partnered médiaajánlatát linkeltem. Ők allitjak, hogy megvettek a HUP-ot, nem en. Ezt a valótlan infót ők terjesztik, mindenkinek. Lehet, hogy ez neked így jó, ez a te dolgod.

    <hwsw> BOUGHT4CASH&BLACKED
    <gmicsko> um... A HUP szorosabbra fonja együttműködését a HWSW oldallal. :-)

    Eltérő nézőpontok.

    De komolyan, akkor ez téged nem is zavar annyira, hogy korrigálást kérj?

    De, de! Fel is írtam a nagyon fontos teendőim közé!!

    --
    trey @ gépház

    >Azt sem tudom, hogy az általad hivatkozott dokumentumot ki írta

    Oda van írva, HTH :)

    http://hup.hu/comment/reply/124787/1610872

    Itt most nekem sem vilagos.
    A HWSW tulajdona mar az oldal es forprofit, nem?

    Vagy ilyen keretek kozott csinaljatok az oldalt es/vagy a szervert puszira hwsw-nek bra es te?

    Az oldal nem a HWSW tulajdona. Ha pontosak akarunk lenni, akkor az oldal három magánszemély tulajdona. A tulajdonosok pedig a részesedésük arányában részesülnek a "bevételből". Nyilvánvaló, hogy a részesedés aránya nagyjából arányban van a beletett munkával és egyéb más dolgokkal. Hogy azért tiszta legyen... Sok rendszergazdai munka nem kell ide, így a rá eső lóvé is inkább a vicc kategória hosszú évekre lebontva. Ha pedig így van, akkor nyilván nem ez az ember életében az első...

    --
    trey @ gépház

    Es most kin mulik a dolog? A rendszergazdan v. a harmadik emberen?
    Nem a https, hanem az uj Drupal (amit ha jol ertem, te valojaban osszeraktal).

    En vallalom a vicc kategoriaju penzmagert, csak ne kelljen havonta szembekapnom egy ilyen topicot:)

    Én a saját hosting rendszerünkön raktam össze, de nem akarok a munkahelyemtől függeni. Van már lebeszélt hely Bp-en, ahova az oldal költözhetne. Hogy mikor, milyen paraméterekkel, azt nem én beszéltem le. Elvileg - ha jól emlékszem - szeptember lett volna (a sokadik) határidő, hogy elköltözik az oldal. A rendszergazda és a harmadik személy ez ügyben (is) találkoztak, hogy megbeszéljék, hogy hogyan megtörténjen meg az átadás / átvétel stb.

    Hogy hol áll a dolog, arról nincs infóm. Én nem kellek ehhez a részhez.

    Én a tartalommal és a vele kapcsolatos dolgokkal foglalkozom, az nap mint nap frissül.

    Ennyit tudok.

    --
    trey @ gépház

    OK, plz ha esetleg beszeltek akar informalisan plz add at a felajanlasom:)
    Gondolom kaptal maganban 10 masikat is...legalabbis a kommentekbol itelve.

    Akkor miért állítja a HWSW médiaajánlata, hogy megvette a HUP-ot, és te mint az oldal egyik résztulajdonosa miért nem telinted ezt úgy, hogy a HUP üzleti partnere hazudik?

    Miért nekem teszed fel ezeket a kérdéseket? Ott a HWSW elérhetősége, kérdezd meg ott, hogy miért állítanak olyat, ami nem igaz. Nem érzem azt, hogy nekem mindent cáfolnom kéne, ami az interneten megjelenik.

    Egyébként látom, hogy ez évek óta foglalkoztat téged, csak azt nem értem, hogy ha neked ez ennyire PITA, akkor miért nem jársz utána, illetve az sem tiszta, hogy neked ehhez mi közöd van.

    Félre ne értsd, szabadidőmben eldiskurálok veled erről ha nincs jobb dolgom, de egy idő után már unalmas.

    Az sem tiszta, hogy ez a diskurzus mennyiben mozdítja elő a $subject ügyet.

    --
    trey @ gépház

    Azért neked, mert te vagy az, aki feléjük bizonyítani tudja, hogy amit állítanak, az nem igaz. Nekem nem dolgom (mint ahogy semmilyen más hirdetőnek sem, aki megnézi a médiaajánlatot) feltételezni, hogy valótlant állítanak. Mivel veled szemben állítanak valótlant, a te dolgod helyreigazítást kérni, és nem nekem.
    Ha meg nem cáfolod, akkor elfogadod, hogy így van, amit leírnak az üzleti partnereid a HUP-ról, az helytálló.

    "Ha meg nem cáfolod, akkor elfogadod, hogy így van, amit leírnak az üzleti partnereid a HUP-ról, az helytálló."

    Ezt te sem gondolod komolyan... Eddig azt sem tudtam, hogy létezik ez a médiaajánlat, azt sem, hogy mi áll benne. De most hogy tudom, sem izgat különösebben.

    Csak azért tettem itt helyre a dolgot, mert hátha valakit érdekel az igazság. Ha nem, nem.

    --
    trey @ gépház

    Tehat neked okes, hogy mas a te tulajdonodat a sajatjakent hirdeti?

    Ez sok mindentől függ. Ha az én érdekeimmel ez egybeesik, akkor semmi problémám sincs vele. Pl. ha a hirdetések szervezése miatt egyszerűbb ezt így feltüntetni, mint hosszasan regélni arról egy ajánlatban, hogy "Volt egyszer három ember, akik megegyeztek abban, hogy X-nek ez a feladata, Y-nak az, Z-nek pedig amaz és hogy a weboldal bla, bla, bla".

    --
    trey @ gépház

    Ejha.

    Üdv,
    Marci

    Természetesen a képlet nem ennyire egyszerű, de nem hiszem, hogy a részletek az érintetteken kívül másra is tartoznának. Ha valaki úgy érzi, hogy márpedig neki köze van a részletekhez, az forduljon hozzám privátban és útbaigazítom.

    --
    trey @ gépház

    Egyáltalán nem kapcsolódik: hogyan definiálnád az elvtelenség fogalmát?

    Szerintem Trey úgy járt, mint Milton. Elfelejtettek szólni neki, hogy már nem dolgozik a cégnél :)
    https://www.youtube.com/watch?v=Vsayg_S4pJg

    Közben a hwsw médiaajánlata és a wikipedia szerint is megvették alóla a hupot :)

    A Wikipédia is EZT ÍRJA?!?!?

    Uram-atyám! Akkor ennek fele sem tréfa :D

    --
    trey @ gépház

    Meg a Nemzeti Média- és Hirközlő Hatóság nyilvántartása is ;)

    Sajtótermék neve: HUP Online Informatikai Hírmagazin
    Sajtótermék fajtája: Internetes
    Internetes elérhetőség: www.hup.hu
    Kiadó neve: HW SW Számítástechnikai Szolgáltató és Kereskedelmi Bt.
    Alapító(k) neve: HW SW Számítástechnikai Szolgáltató és Kereskedelmi Bt.

    Élő nyilvántartás: http://webext.nmhh.hu/sajto_kozzetetel/app/index.jsp
    Egy régebbi pdf lista: http://nmhh.hu/dokumentum/154088/internetes_sajtonyilv_81_mentes_20121005.pdf

    Téged átszabtak.

    Ez hol nyilatkozik a háttérben levő tulajdonviszonyokról?

    --
    trey @ gépház

    Arról nem nyilatkozik, csak azt mondja hogy a HWSW az alapító, viszont akkor elmondhatod mikor került a ti hármótok tulajdonába :>

    Vagy tietek a HWSW ?

    Fedora 24, Thinkpad x220

    "Arról nem nyilatkozik"

    Tehát internet népe megint szakért. Oké.

    > Vagy tietek a HWSW ?

    Miénk a világ!

    --
    trey @ gépház

    #rekt

    Mindenki hazudik, itt csak egyvalaki mond igazat.

    "Alapító(k) neve: HW SW Számítástechnikai Szolgáltató és Kereskedelmi Bt."

    Seems legit. :D

    --
    trey @ gépház

    pl te+2 számlád helyett a hwswnek utalják azt az 50 guriga dolcsevítát, amit a nemzetközi openszósz közösség megítél a a hup nyílt és tiszta tekintetéért :)
    meg azért a potenciálért amit összehozott ez az oldal.

    trey, tényleg van ez így, tanúsítom .. Csak ha valaki üzemeltet egy ilyen portált, vagy legalábbis a nevét adja hozzá, akkor ne kezdjünk el itt a családról meg egyebekről beszélgetni .. Nagyon kihangsúlyozod ezt a fizetés nélkül dolgot, valóban, fizetés nélküli dolog ez az egész hup és? A linuxforum is az volt anno és most is az, fizetés nélküli dolog, hogy a két portál hol tart az most mellékes. Hogy a két "ember" aki "mögötte" áll (egy egy oldalnak) az már annyira nem mellékes. Az egyik mondja, hogy a család és hogy "mennyi enerigát fektettem én ebbe az egészbe" a másik meg mondja hogy "hát itt van tessék használni.".

    Érezzük a különbséget.... LF manapság kuka, de anno régen együtt futott a HUPpal.

    Én nem magamról beszéltem... A rendszergazdáról.

    --
    trey @ gépház

    "egy modern (virtuális) hosting környezetbe költözik"
    Ez nem biztos hogy előny. :)
    --
    "Sose a gép a hülye."

    Attól függ, ki a szolgáltató. Sőt ha nem kell IaaS, csak PaaS vagy akár SaaS, akkor még olyan sokba sem kerül egy normális szolgáltató mellett sem.

    Frontend (ami lehet WAF, akármi is) és azon terminalni az SSL-t? Esetleg ad-absurdum Cloudflare?

    Milyen PHP verzió kell ennek a drupalnak?

    5.2.x lenne jó

    https://api.drupal.org/api/drupal/INSTALL.txt/5.x

    "Drupal requires a web server, PHP4 (4.3.5 or greater) or PHP5 (through 5.2.x
    only; 5.3.x and later versions are not supported) (http://php.net/) and either
    MySQL (http://www.mysql.com/) or PostgreSQL (http://www.postgresql.org/). The
    Apache web server and MySQL database are recommended; other web server and
    database combinations such as IIS and PostgreSQL have been tested to a lesser
    extent. When using MySQL, version 4.1 or greater is recommended to assure you
    can safely transfer the database."

    --
    trey @ gépház

    Hát, CentOS-hoz vehető patchelt php support: https://www.cloudlinux.com/hardenedphp

    bár gondolom akkor nem ilyesmi OS van itt.

    Fantasztikus.

    Szakmai portalon azon megy mar a tanacskodas, hogy hogyan lehet a szakmai portal alatt tovabbganyolni a dolgokat:D

    Nem ezen megy, mert ez az út el lett vetve. Ezért is lett lefektetve, hogy migrálni kell mindent.

    Ettől még szívesen válaszolok arra a kérdésre, hogy az 5.x Drupal-nak milyen PHP verzió lenne jó.

    --
    trey @ gépház

    Te is tudod hogy sepercig nem tartana eledobni egy haproxyt ami terminalja az ssl-t, de teny hogy annyira nem kritikus ha http-n nezzuk, elvegre gondolom meg mindig nem a hup.hu-bol eltek joletben es bosegben :)))

    Számtalan módon lehet tákolgatni, de én inkább a komplett felújítás híve vagyok.

    --
    trey @ gépház

    ... és így kell az inkompetenciát egy jól hangzó maszlagba burkolni.

    Természetesen én ehhez sem értek. Ebből is jól látszik, hogy ezt a feladatot nem nekem kell elvégezni :D Pontosan ezt mondtam én is, amikor azt mondtam, hogy keressünk erre embert. Azóta is várom, hogy valaki megcsinálja...

    ;)

    --
    trey @ gépház

    Hát nem tudom, nekem úgy tűnik a google nem rangsorol HTTPS szerint előre:
    http://blog.searchmetrics.com/us/2014/08/29/https-vs-http-analysis-do-secure-sites-get-higher-rankings/

    Ettől függetlenül nem lenne rossz bekapcsolni.

    --
    trey @ gépház

    Igen a HTTPS a biztonságot is növelné.

    Nyilván az oldalt védik ddos ellen ís van ips is, vagy esetleg waf. Utóbbi el is intézné az ssl offloadot, negyed/fél évi penteszt, ésatöbbi, ésatöbbi.
    Lovagolhatunk a biztonság fogalmán.

    Dupla

    Egy oldalon, ahol nagyjából minden nyilvános, kivéve az emailed és a jelszavad, tulajdonképp mi értelme a HTTPS-nek?

    ----------------
    Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

    MITM:Pár hete találkoztam egy ismerősnél olyan routerrel ahol "valahogy" átíródott a dns szerver címe és kínai szerverekről töltött be .js fájlokat. (ugye milyen jó ötlet, hogy egy központi CDN domainről töltjük be azokat)
    Ilyen esetekben feltételezhető, hogy a malware teljes hozzáférést kapott a routerhez, szóval sima html injection se lehet probléma.

    Tehát még ha ügyelsz a biztonságodra és nem látogatsz ismeretlen oldalakat akkor is megeshet, hogy pl. valami 0dayt sebezhetőséget kihasználva megfertőződjön a géped.

    Publikus wifiről nem is beszélve, ahol ennek a veszélye méginkább fenáll.

    Nem kell túlragozni. Nekem egy Tesco-s lépésszámlálós ora androidos appja tette ezt meg.
    Felraktad a telefonra, az eulához nyitott egy böngészőt, valahogy kikavarta belőle a router jelszót, és hajrá.
    Más nem lehetett. Rekonstruálható volt az eset.
    - - - - - - - - - - -
    "A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

    ??? Remelem komolyan gondolod, mert viccnek nagyon durva.

    A Google valós célja a https-el feltehetőleg az, hogy csak ő lássa a google analitika (google fontok,...) segítségével (nagyon sokan használják) a honlapok részletes forgalmát, és kizárja az internetszolgáltatókat a részletes forgalom elemzésből.
    A biztonsági problémákat viszont összefoglalhatnád, nem mindenki jártas a témában.

    Internetszolgáltatóknál egyébként sincs meg a szükséges kompetencia. De ha lenne is, a https sem lenne akadály.

    Miért is ne lenne?

    Már a dns lekérések is az isp szerveréről mennek. Pontosan tudható melyik ügyfél mikor milyen oldalakat látogat, milyen gyakorisággal. De az internetszolgáltatók számára már az adatok értelmezése is meghaladja a képességeiket.

    Nem ők fogják értelmezni az adatokat:
    "Öltönyös urak érkeztek, és kértek egy transzparens portot a BIX, illetve a nemzetközi vonal felé. Ezekre olyan számítógépeket csatlakoztattak, amikhez mi hozzá sem nyúlhatunk" - állítja egy budapesti internetszolgáltató rendszergazdája. Mindez néhány hete történt, de egy másik, névtelenséget kérő informátorunk szerint a berendezések telepítése nem mostanában kezdődött: a Nemzetbiztonsági Hivatal minden internetszolgáltatóval szerződést köt a műszaki hozzáférésről, a lehallgatóberendezéseket pedig a Nemzetbiztonsági Szakszolgálat telepíti. "
    - 2002

    Ez hogyan jött ide?
    És miben akadályozza az internetszolgáltatókat abban, hogy maguk is értelmezzék a rajtuk átfolyó adatforgalmat?

    "az internetszolgáltatók számára már az adatok értelmezése is meghaladja a képességeiket."
    Erre írtam, hogy nem az internet szolgáltatók fogják értelmezni az adatokat, hanem harmadik személyek. Természetesen elvben az isp-k is megtehetik ezt.

    Az messze nem "részletes forgalomelemzes", hogy néha (lásd helyi DNS cache) milyen domaint old fel a DNS.

    Mert egy felhasználói végpontról jövő DNS kérések halmaza nem versenyképes a google-nél levő adatok "minősége" mellett.

    -

    Egy nem szokványos kérdést is felvetek: ha erőltetjük a teljes interneten arra is a https-t, amire elég a plain text, nem okozunk ezzel feleslegesen jelentős környezetszennyezést, a több CO2 kibocsátást?

    Bőven elég lenne csak a bejelentkezési adatokat tolni a https-en!
    (ezt már páran leírták!)

    És azt is leírták páran, hogy miért nem elég mégsem. :)

    Valahogy így gondolod?
    -https-en bejelentkezés, session azonosító letöltése.
    -http-n post, azonosításra a session azonosítót használja.

    Üdv,
    Marci

    Akár így is lehetne, de a használat során több erőforrást igényel, és áramot..
    amire inkább gondoltam, hogy annak, aki nem lép be, csak (külsősként) böngészi az oldalt, elég a http, neki nem kell kötelezően https.

    Ez így azért más, mint fent írtad...
    Amúgy a https többlet erőforrás-igénye nem nagy. Emlékeim szerint a Google kb. 1%-ot mért szerver oldalon, amikor bevezette...

    Üdv,
    Marci

    Azaz aki nem lép be, az bármit kaphat a képébe, mintha az az adott oldalról érkezne?

    Az sokkal nagyobb szívás, hogy egy csomó protokoll plain text, és nem bináris adat, így szöveget is kell parzolnia a gépnek (ami egy csomó if meg table lookup), ami sokkal nagyobb szívás, mint a matematikai művelet.

    De, sot tovabb megyek, pliz tegy jot a vilaggal es kapcsold ki a geped.

    Hogyan lehet költséghatékonyan bevezetni a HTTPS-t?
    Mennyivel fognak drágulni a tárhelyek?
    A tanúsítvány árakat nézve, nem lesz olcsó, főleg ha plusz IP címek is fognak kelleni.

    Let's Encrypt...

    Az egyik oldalon az SSL, a másikon a család, élet...

    3 felvásárolt magánszemély döntést hozott.

    :D

    De ugye az megvan, hogy régen (10+ éve) volt itt SSL?

    https://web-beta.archive.org/web/20020524135355/https://portal.fsn.hu

    Én magam telepítettem, anélkül, hogy itt elmesélték volna nekem, hogy

    a) mi az SSL
    b) mi értelme van
    c) szakik elkezdték volna taglalni, hogy azt hogyan kell telepíteni

    Csak akkor meg azért ment a hiszti, hogy miért nincs kikényszerítve, hogy csak az legyen? Most, amikor újra szóba került, akkor felmerült, hogy csak https://hup.hu legyen.

    Erre elkezdődött a cimmogás, hogy "jáááéj, ászt nálunk tilcsa a rendszergázdá"

    A faszom se tud nektek jót csinálni.

    --
    trey @ gépház

    Igazán Köszönjük, király!

    SSL tesztoldalak nem jeleznek hibát.

    Jelszót le is cseréltem, HTTP Nowhere enabled.

    Egészségedre.
    BTW, kérlek ne hívj királynak, az egy másik user. :)

    cimmogas.... sirok a rohogestol, made my day :DDDDDD

    király, köszi!

    http://www.google-analytics.com/urchin.js" type="text/javascript"
    ezt még a headerben át tudnád írni "http://www -ről "//www. -re? és akkor valid is lenne az egész (zöld lakat).

    Az még gond hogy a belépés vissza dob sima http-re. Ott is le kéne venni a http előtagot.

    Előre is köszönjük ha megoldható.

    Szerk.: Még egy probléma van, a Hupper Firefox kiterjesztés megzavarodik, és https használatakor a bejegyzés címek elé rakja a "first, next, [new]" gombokat, nem pedig utána. Ajnásznak kell jelezni.

    Egy patch formátumnak jobban örülnék. Tudományosabb. Meg tudnád adni úgy is, hogy mit szeretnél?

    --
    trey @ gépház

    Szerintem megoldhatta bra, mert már zöld a lakat.

    Én nem látok változást a szóban forgó fájlon.

    --
    trey @ gépház

    Igazad van.

    Javítottam.

    --
    trey @ gépház

    Szia!

    Még mixed contentet jelez az egyedi google keresőre (http://www.google.com/cse) - ennek https-re való javításával orvosolható a probléma

    Illetve a http://www.feedburner.com/fb/a/emailverify -vel van baja. Ez hasonlóképpen megoldható, mivel van https elérése az oldalnak.

    Analytics ugyancsak...

    Üdv.

    Tök cuki hogy ilyen malware domainekről letöltesz a kompjútereddel

    Ja, látom. A Chrome rinyált rá. Javítottam.

    --
    trey @ gépház

    Nagyon jó :)
    Mostmár ha jól látom nincs akadálya a redirectnek. :)

    .htaccessbe:

    RewriteEngine On
    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    Üdv.

    Ahogy máshol többen leírták, nem biztos hogy jó ötlet alapértelmezettnek vagy kizárólagos lehetőségnek beállítani a https verziót, mert lehet olyan cég ahol nem engedik a https-t vagy egyéb ok miatt felmerül a hima http verzió igénye.

    Az hogy van, innétől kezdve mindenki eldöntheti mit használ. Nem látok benne további problémát személy szerint.

    Nem tudom elképzelni hogy 2016-ban valahol - a http engedélyezése mellett - tiltanák a httpst. Gyakorlatilag letiltod vele a böngészést, iparági best-practise átirányítani httpsre. A HSTS preload list - a teljesség igénye nélkül - egy remek lista mi mindent esélyed sincs elérni https nélkül.

    A http elérés lehetőségét meghagyni pedig számos veszéllyel jár, ennek elég nagy irodalma van, a HSTS és a downgrade attack kulcsszavakra érdemes keresni. (Ettől függetlenül felőlem maradhat a http, mert egy HTTPS Everywhere böngészőpluginnel elég jól "workaroundolható" a dolog.)

    A https mindenképpen üdvözlendő, végre nem muszáj VPN-eznem ha HUP-ot akarok olvasni. :-)

    rövid leszek: omg

    >Nem tudom elképzelni

    hupu

    Van a szavazás erről.

    1 embere arra szavazott, hogy náluk tiltják.

    Javítanod kellene a képzelőerődön :-)

    Segítek a képzelőerődön: például banki szektorban több helyen is tapasztaltam, hogy a https oldalak whitelist-elve vannak. Ezen felül a saját CA-juk által kibocsájtott tanúsítványokkal ellátott oldalak látogathatóak.

    Én úgy tapasztaltam hogy ilyenkor
    a) ami nincs whitelisten az saját CA-val MITM proxyzva van
    b) ami nincs a whitelisten az tiltva van http-n és https-en egyaránt.

    Egyik esetben sem jelent előnyt ha egy weboldal http-n (is) elérhető. Gyakorlatilag iparági best-practise a https kényszerítése.

    Persze én is tudok direkt szar hálózatot kiépíteni, elég ha szimplán blokkolom a 443-as portot.

    Arra tudtommal harap a gugli ha http-n és https-en is elérhető a tartalom (duplicate content).

    Üdv.

    nope, csak ha külön domainen van (a www sem számít)


    // Happy debugging, suckers
    #define true (rand() > 10)

    és mit csinál lerágja a seggünket? :))

    Akár, bár arra talán pár évet még várni kell. :D

    Üdv.

    Koszonjuk :)

    Nálatok nem néz ki szarul a boxok fejléce? Meg a komment dobozok is olyan furcsák.
    http://wstaw.org/m/2016/11/25/plasma-desktopqN3483.png
    http://wstaw.org/m/2016/11/25/plasma-desktopHJ3483.png
    --
    "Sose a gép a hülye."

    hupper

    per-site malware
    best malware

    Híres lettem! \o/

    Üdv.

    +1

    Nagyon jó ez a Let's Encrypt. Most használtam egy sima osztott cpaneles tárhelynél, akik támogatják alapból. Annyi az egész, hogy belépek a cpanelbe, kiválasztam a domaint, issue Let's Encrypt SSL, és kész. 3 hónapig jó csak a tanúsítvány, de utána elvileg automatikusan hosszabbítja a tárhely. Tényleg pár kattintás és 1 perc az egész, ha alapból támogatja a tárhelyszolgáltató, már itthon is van ilyen tárhely, külföldi tárhelyek közül meg már a legtöbb támogatja.

    Én a VPS szerveremen két site-ra is ezt használom. Van hozzá kulturált cron script.

    "Az atombombát és a C vitamint is a Magyarok találták fel...
    Mindkettőből elég, napi 500 mg. - by Bödőcs Tibor"

    Bugreport: A login es a logout is visszaküld HTTP-re. Sőt, ahogy látom a comment elküldése is.
    --
    HUP Firefox extension