логин: 
<< предыдущая заметкаследующая заметка >>
08 февраля 2018
Однажды... десять лет назад... в далеком 2008 году... пришла жалоба аж блять с Украины...

Меня часто спрашивают, почему я в 2011 убрал печально известный раздел lleo.aha.ru/na и отдал весь архив со скриптами и страницами первому попавшемуся чуваку в другой стране, который создал домен http://natribu.org, где-то его хостит и заботится о нем? Да, я его отдал с радостью, от нового домена у меня никогда не было доступа, и нет никакого желания иметь отношение к этому сайту.

Блин, ребята, вы не представляете, сколько мне проблем доставляла эта простая, казалось бы, шуточная страничка. Вы просто не можете представить, какое немыслимое количество дебилов принимало содержимое страницы за личное оскорбление. А это еще были вегетарианские нулевые годы, когда суды не рассматривали всевозможные дела об «оскорблении чувств».

Мне постоянно приходили письма разгневанных школьников в духе «слыш ты зочем меня нахуй паслал ответиш за бозар!!!» Постоянно писали какие-то мудаки с игровых сайтов «слыш ты у меня две кольчуги одолжил и отдавать не хочеш» — соцсети были редкостью, в регистрационной карточке любого форума и портала обычно была графа «укажите ваш сайт», и школота считала шиком указать lleo.aha.ru/na, типа «я всех послал». Такой персонаж обычно и в дальнейшем поведении следовал своему образу, и вскоре остальные мудофилы портала лезли изучать карточку неприятеля, находили ссылку, по ссылке натыкалась на email и писали мне всевозможные претензии, не очень веря объяснениям, что я про такой портал сроду не слышал...

Да ладно, письма мне. Имбецилы слали жалобы моему хостеру Зенон, который терпел это стоически долгие годы. Самые обиженные заказывали DDoS-атаки на несчастную страничку. Либо, как вариант, — перенаправляли на нее свою атаку. В результате сервер в Zenon, где хостился мой lleo.aha.ru, время от времени оказывался под атакой и выпадал, страдали его соседи по серверу (например, Куваевский mult.ru).

А иногда обиженные доходили и до ментов. Один такой случай сохранился не только в памяти, но и в аудиозаписи. Дело было десять лет назад в далеком 2008 — примерно за неделю до рождения Стаськи. Я вел каждый день передачу в прямом эфире канала O2TV с разными гостями, ездил на эфир. В тот день у нас был сетевой писатель Фрумич. Жена была на 9 месяце, поэтому когда я, выйдя из метро, получил SMS о пропущенном звонке от жены, то похолодел и стал мысленно ловить тачку в роддом. Но оказалось, что роды не начались, а просто домой позвонили из милиции (тогда она называлась милицией) и просили передать мне, чтобы перезвонил как только смогу, потому что дело важное и касается интернета...

Тут у нас начался прямой эфир с Фрумичем. Поскольку формат того прекрасного телеканала позволял делать в эфире вообще всё, что угодно, а тема интернета живо интересовала зрителей, я честно объяснил Светке и Фрумичу, что мне велено как можно скорее сделать важный звонок в милицию и попросил у них разрешения сделать это прямо здесь. После чего открыл свою Нокию на громкую связь и... состоялся такой разговор... Поплачьте и вы:

Это было в прямом эфире. Вот честно: я так проникся участливостью работника милиции, что попросил канал, чтоб его не подставлять, по крайней мере в повтор передачу не пускать (прости, Фрумич). К сожалению, и запись самой передачи тоже не сохранилась. А вот Нокия у меня писала все разговоры. Теперь прошло 10 лет, и я уверен, что публикация этой записи не подставит моего собеседника, к тому же, сегодня ситуация поменялась, и за посылание нахуй претензий Украины дадут не выговор, а медаль.

PS:

Собственно вопрос теперь к вам. У меня есть несколько старинных стремных проектов, где автоматический скрипт показывает любую страницу интернета, заданную посетителем, в неком обработанном виде. Например, заменив все буквы на древнерусскую кириллицу или глаголицу. Или — расставив по тексту матерные обороты, что его несказанно оживляет. Недавно вот я сделал скрипт, который позволяет мышкой «разнести вдребезги» все картинки, блоки и абзацы любого сайта...

Проблем две. Первая (основная, техническая) состоит в том, что я не могу держать эти проекты на lleo.me Связано это с тем, что у меня в разных проектах и движках сайта (иногда довольно забытых) используются центральные куки домена, которые браузер отдаст любой странице сайта, даже поддомену mat.lleo.me То есть, злоумышленник может сформировать ссылку на свой сайт, где нарисует скрипт по краже кук и подсунуть ее каким-то образом мне. Например, разместить пиксель 1x1 на своей странице и каким-то письмом уговорить меня пройти по ссылке. После чего куки домена lleo.me будут угнаны и злоумышленник получит админский доступ. Технически эта проблема отсутствует, например, на Бинонике — там движок многопользовательский, куки строго разделены на две: общедоступная подвязана к IP, а в случае смены IP — автоматом самообновляется при помощи мастер-куки спецдомена x.binoniq.net, где только она и видна. На моем же lleo.me два движка из трех не многоюзерские, да еще за 22 года существования сайта накопилось такое количество проектов и проектиков.

То есть, теоретически, я бы мог наверно открыть эти проекты на Бинонике, но... Тут есть вторая проблема — юридическая. Состоящая в том, что мы живем в России. И кто знает, кому завтра придет в голову посмотреть какой сайт через материализатор, сделать скриншот и подшить к делу? А кто владелец Биноника? Я.

Поэтому вопрос к вам: нет ли у кого, живущего не в России, возможности дать мне для экспериментов какое-то доменное имя, пусть даже второго уровня? Ну, там pro.vasya.pupkin.org? Если конечно у вас на pupkin.org не используется авторизационных кук с видимостью на все подомены *.pupkin.org?

Ну и, конечно, главное, чтобы вы и ваш сайт были не в России. Тут разное бывает. Вот, например, прекрасная недавняя история, как мужику из Архангельска суд впаял штраф по экстремистской статье за публикацию фотки, известной всем нам со школы (в учебниках истории была) — ну, там, где в 1945 парад Победы на Красной площади, и бойцы советской армии с суровой брезгливостью швыряют на брусчатку трофеи — отобранные у врага на всех фронтах фашистские знамена с орлами и свастиками... Так вот, мужику впаяли конкретно за эту фотку статью «демонстрация нацистской символики»!

Кстати, недавно разбирал свои снимки с мобильника, нашел фотку ларька сувениров в зале вылета международного аэропорта города Екатеринбурга. Вот даже не знаю, меня тоже можно судить за эту фотку? Или ларек в аэропорту? Или древних славян, которые (по мнению некоторых современных ювелиров) только и делали, что гнули из подручных материалов самые разные свастики и придумывали им клоунские названия?

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Windows Firefox
 Екатеринбург
9
1
Пользователь с таким именем уже зарегистрирован: 1227765 3295049 (#7060926)
> Блин, ребята, вы не представляете, сколько мне проблем доставляла эта простая, казалось бы, шуточная страничка. Вы просто не можете представить, какое немыслимое количество дебилов принимало содержимое страницы за личное оскорбление.

Что значит не представляем? Думаю представляем прекрасно, ведь именно для этого страничка и была создана - троллить и доводить и без того разъяренных людей до крайней степени каления. А что эти люди потом будут писать в спортлото, в фсб и лично президенту россиейской федерации - весьма тривиальный вывод.
Так что работает как задумано.

Хотя я вот думаю, пользовался ли я этой ссылкой хоть раз по назначению за все 10-15 лет? Не вспоминается.

Эх. Упущенная возможность.
Windows Firefox
 Израиль
1
0
david rabinoivtch (robinbobin)
ну ты понял.
рядом с грибами можно
а жалобы мне пусть пишут на иврите или арамейском
Linux Firefox
 Германия
0
0
xm02 (#7128873)
lleo, дык можно бесплатно зарегать некоторые домены второго уровня
http://www.freenom.com/
Мне особенно интересным кажется домен .tk - можно подбирать слова, оканчивающиеся на -тик и обыгрывать их.
Linux Ubuntu Firefox
 Волжский
2
0
djatlov_опять что-то с логином (#6963015)
Поскольку сам я ленив и не займусь - дарю желающим идею зарегистрировать домен в Парагвае. Там, правда, всё строго, и кто попало может регаться только в поддомене com.py. Но если зарегистрировать, к примеру, 3anucu.com.py - можно дальше плодить разные русскоязычные адреса: xapakmepucmuka.pacnpocmepmoro.apxuenuckona.3anucu.com.py
monop.kpenok.3anucu.com.py
npukonamb.mpyn.u.3anucu.com.py

cekpemapuam.perucmpupyem.npocmumymok.3anucu.com.py

mpakmopucm.nponyckaem.nepekpecmok.3anucu.com.py

y.cynpyru.cmapuka.kpynckoro.nonka.kpenka.kak.opex.3anucu.com.py

nopaccnpocume.nany.3anucu.com.py

Домен для порносайта с гарантией анонимности:
oxoma cekcy.3anucu.com.py
opruu.3anucu.com.py

Наоборот:
ycmynumb.noxomu-rpex.3anucu.com.py


Слов много, знай комбинируй.

nopa pycb no kpoxe cmpoumb
muna, cmpayc, a xuxukaem kak rycb
makca npocmumymok: mpunnep - pynb, npocmamum - copok koneek


(большинство слов - из давнего конкурса. В фидо нашёл...)
Mac Safari Chrome
 Van Landeghemstraat
0
0
Igor
Украинский вариант странички отличный был :)
Windows Safari Chrome
 Швеция
0
0
TIL (#7149591)
Вау! Вы оказывается Ка́ганов, а не Кагано́в.
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Вообще-то ни то и ни другое. Но вы можете меня называть просто Мистер Ка.
Windows Firefox
 Германия
6
0
Ranma
Каа?
Windows Safari Chrome
 Москва
0
0
DarkSup
Интересно, все эти годы я произносил про себя фамилию "Каганов" с ударением на второй слог... хотя не помню, чтобы хоть раз услышал её за пределами текстовых полей. Выходит, я всё-таки был прав?
Linux Ubuntu Safari Chrome
 Киев
1
0
Morgenstern (sternhen)
О, хорошо, что на новом есть ссылка на гитхаб. А то мне локализация не очень понравилась, пришлю им pr с исправлениями.
Windows Safari Chrome
 Днепропетровск
1
0
ysername
>Вот даже не знаю, меня тоже можно судить за эту фотку?
Если вы будете участвовать в каком-нибудь "штабе Навального" и вас сделают целью, которую надо "утопить", то вполне.

>Поэтому вопрос к вам: нет ли у кого, живущего не в России, возможности дать мне для экспериментов какое-то доменное имя, пусть даже второго уровня?
Есть же например ваш старый пост http://lleo.me/blog/2012/12/29.html (правда в нём уже не все ссылки работают, но первая про dot.tk — да). Правда парой комментов выше уже тоже написали и про фрином, и про tk.
Linux Ubuntu Safari Chrome
 Воронеж
0
0
selivan
То, что на чистом javascript, можно унести на github pages. Если у тебя есть профиль, например github.com/user, то github позволяет сделать из одного из репозиториев статическую страницу user.github.io.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А что вы предлагаете унести? Скрипты тех проектов были, честно говоря, на PHP. На JS это переделать можно, но нет смысла, потому что политика access-control запрещает JS браузера тянуть страницы с посторонних сайтов, если там специально не установлен header('Access-Control-Allow-Origin: *'); Что по-умолчанию для всяких развлекающихся мудаков никто на своем сайте в своем уме не делает.
Linux Ubuntu Safari Chrome
 Воронеж
0
0
selivan
Если PHP, то не прокатит. Ну если проблема с хостингом решена и нужно только доменное имя, можно использовать какой-нибудь dynamic dns, мне например нравится бесплатный http://duckdns.org/ , ну и их ещё несколько похожих есть: https://alternativeto.net/software/duck-dns/?license=free
Windows Safari Chrome
 Домодедово
0
0
id
Как, увы, показывает иногда практика, "бесплатное" имеет свойство внезапно умирать, или становиться платным.

А у платного - куда больше возможности выжить. Поэтому - какой-нибудь NoIP, базовый аккаунт за $20 в год и целая уйма доменов (не помню, то ли 15, то ли 25 штук) в целой уйме (забавно звучащих) доменных зон.
Windows Safari Chrome
 Москва
0
0
Eugen
Извиняюсь, что пишу не по теме. Как-то давно (несоклько лет назад) читал тут пост о том, что на ситуацию в стране влияет не народ, а система, при которой не те люди выбиваются вверх. И даже был какой-то пример со страной, в которой именно система изменилась и с тем же народом ситуация кардинально поменялась. Искал как мог, но не припомню деталей, подходящих для поиска. Может, кто поможет откопать?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Чтоб мне найти этот пост, я бы погуглил "каганов демон максвелла" без кавычек.
Windows Safari Chrome
 Калуга
0
0
Eugen
Всем спасибо, нашел.
Windows Safari Chrome
 Москва
0
1
telepatus


Linux Safari Chrome
 Литва
0
0
Михаил Воронков (mv1)
Леонид, написал тебе в почту - предлагаю поддомены на моих литовских доменах.
Windows Safari Chrome
 Bet Sheva st. Lod
0
0
Пашка
какая ебанутая страна...
Firefox
 Ростов-на-Дону
0
0
priehali
> Проблем две. Первая (основная, техническая) состоит в том, что я не могу держать эти проекты на lleo.me Связано это с тем, что у меня в разных проектах и движках сайта (иногда довольно забытых) используются центральные куки домена, которые браузер отдаст любой странице сайта, даже поддомену mat.lleo.me То есть, злоумышленник может сформировать ссылку на свой сайт, где нарисует скрипт по краже кук и подсунуть ее каким-то образом мне. Например, разместить пиксель 1x1 на своей странице и каким-то письмом уговорить меня пройти по ссылке. После чего куки домена lleo.me будут угнаны и злоумышленник получит админский доступ.

Каким образом
>злоумышленник ... нарисует скрипт по краже кук
если у него нет доступа к ни к lleo.me, ни к любому из его поддоменов?

Есть, конечно вариант с CSRF, но даже в этом случае злоумышленник не может украсть куки, просто браузер посылает запрос с ними, а сервер не достаточно хорошо проверяет запрос.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Можно я не буду вести ликбез? Либо поверьте на слово, либо поучите матчасть.
Firefox
 Ростов-на-Дону
0
0
priehali
Вы меня прямо обидели. Но я всё равно не понимаю, в чём Вы увидели особую опасность «центральных кук» и как их можно стащить со стороннего ресурса (будем считать, что в остальном всё сделано правильно, заголовков CORS не установлено).

Посмотрел сейчас: у меня установлена кука на .passport.yandex.ru. Как lleo.me может её украсть?





Поэкспериментировал с XHR. Firefox пишет «Запрос из постороннего источника заблокирован: Политика одного источника запрещает чтение удаленного ресурса на

Вставил картинку из test1.local на test2.local через тег img. Картинка, разумеется, отобразилась, test1.local установил свои куки. Вот только test2.local не может их прочитать Навесил на картинку onload — ни в одном свойстве события заголовков ответа test1.local я не нашёл. ЧЯДНТ?

Леонид, если Вы действительно гуру программирования и у Вас есть свободная минутка – приведите, пожалуйста, пример, как можно угнать «центральные куки» со стороннего сайта (не поддомена). Напомню, что баги (разработчика сайта, браузера, сервера, провайдера), Access-Control-Allow-Origin и подобные штучки не считаются.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ох... Хорошо, объясню. Вы не так поняли, речь не о сторонних сайтах, а о моем. Мне важно, чтобы никто не угнал куки lleo.me - ваши, подзамочных друзей, а хуже всего, если мои.

Когда на сайте заработает система, показывающая страницы любого чужого сайта как будто они родные, это станет возможно сделать при помощи JS. Вырезать который из страниц гарантированно дочиста с учетом всех придуманных человечеством ухищрений и хаков (как сегодняшних, так и завтрашних) - нереальная задача.

Обеспечить отсутствие на lleo.me кук с глобальной зоной видимости *.lleo.me (как это сделано на многоюзерском binoniq.net) я тоже не могу с полной гарантией - это мне надо переписывать все два однопользовательских движка, да еще делать ревизию кода всех накопившихся за 20 лет проектов в поисках, где там еще могло что-то сохраниться. Тоже малореальная в общем-то задача.
Firefox
 Ростов-на-Дону
0
0
priehali
> Когда на сайте заработает система, показывающая страницы любого чужого сайта как будто они родные, это станет возможно сделать при помощи JS.

А вот это реально опасная штука. Здесь уже пахнет полноценной XSS-атакой. Но можно крутить чужие страницы на *.lleo-proxy.example, которые отображать в iframe на lleo.me. Так более-менее безопасно.
Windows Safari Chrome
 Кременчуг
1
0
ЖК
>Так вот, мужику впаяли конкретно за эту фотку статью «демонстрация нацистской символики»!
А я вот, рассмотрев чуть внимательнее акт осмотра интернета, с которого и раскрутилась эта недавняя история, засомневался, что впаяли штраф именно за эту фотку, а не за следующую, от 13 апреля 2016 года, упоминаемую в этом документе.
Mac Safari
 Арабские Эмираты
0
0
dubai (#7154363)
ЛЛео, я в Дубайке, могу подарить тебе под такие чудесные проекты хост, на русское зак-во мне класть.

Пиши мне на адрес, который я кинул в карточке, я буду рад помочь. На хосте будет жить CentOS (я знаю, ты поклонник фрибсд, но у меня под неё руки не заточены), и всё что тебе надо. Я тебе рута предоставлю, мне не жалко, ты человек уважаемый, я всё-таки вырос на твоих книжках.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Спасибо, но хостинг не нужен, о нем речи не было. Нужен был домен, вроде нашли.
Mac Safari
 Арабские Эмираты
0
0
dubai (#7154363)
Если вдруг понадобится домен - буду рад предоставить и его тоже, будет домен .hk, .cc, .ec, .ws или что будет свободно с этим именем из пуленепробиваемых. Буду запасным вариантом

всего комментариев: 32

<< предыдущая заметка следующая заметка >>