{imgicourl}{zamok}
<< предыдущая заметкаследующая заметка >>
12 февраля 2019
Посторонние домены на binoniq.net

Допилил фичу доменных имен в многопользовательской версии движка.

Допустим, вы ведете на Бинонике аккаунт vasya. Но вам не нравится ходить на http://vаsyа.binоniq.net, у вас куплено собственное доменное имя saitik.ru Но при этом у вас нет никакого желания бегать покупать ещё хостинг, ставить там вордпресс (или мой движок) и прочим образом суетиться — и всё это ради такой ерунды как несложный сайтик со страничками, дневниковыми заметками, фотками и прочим контентом, который не требует серверного программирования и не ожидает многих сотен посетителей в минуту.

Тогда просто перенаправляете свой домен на 195.2.82.97 и пишете мне письмо, я в таблице аккаунтов прописываю доменное имя saitik.ru к учетке vasya, и отныне по этому адресу показывается ваш аккаунт. Если нарисуете собственный дизайн страниц (редактируя темплейты) — то вообще никто не догадается, что это физически лежит на Бинонике.

PS: А вот https в этом случае работать не будет.

PPS: ЖЖ — дебилы. Вы полюбуйтесь, на что у них реагирует «спам-фильтр» при автопостинге заметки. Исправил на https без двоеточия — и всё, проблем нет. А воплей-то было:

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Mac Safari
 Москва
0
0
AlexeyX (#7593479)
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А если let’s encrypt прикрутить?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
На уровне PHP его не прикрутить, надо лезть в сервер, а это за гранью концепции движка, и не везде можно, и не везде уместно. В любом случае необходимости пока нет. Возникнет - будем думать, спасибо за наводку, пока не разбирался, но запомню.
Windows Safari Chrome
 Санкт-Петербург
0
0
Шура
C этим могу подсобить, у нас все это стоит и работает :) правда, не я сам делал, а наш админ, но это все решаемо. Lets прикручивать надо для каждого доменного имени, но это один раз делается, а дальше оно само обновляется - ну, если в кроне прописать :) насколько я помню. Короче, полная автоматизация доступна. Но в описании сайта в конфиге сервера (у нас апач) надо соотв. записи прописывать.
...но, конечно, для админа, т.е. тебя, будет гемор.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Слушай, там вообще FreeBSD на Бинонике. Я туда не полезу.
Windows Safari Chrome
 Санкт-Петербург
0
0
Шура
ну это хуже. Я не знаю, насколько Олегыч в нем силен :)
С другой стороны, конфиг он и в bsd конфиг, это раз.
Аналог крона там тоже есть, это два. Ну и всех дел.
запрос послал, ответ обработал.
С третьей, ты прав, я бы тоже не стал без нужды заморачиваться :)
Windows Firefox
 Санкт-Петербург
0
0
Дмитрий (lord-raven-spb)
А была бы виртуализация - заснэпшотил и смело в бой :) Если что откатываемся и по новой и так пока не победим. Или не надоест :D
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
А кого побеждать-то? Пока ни одного домена нет. А в аккаунтах и так https работает от CloudFlare.
Windows Safari Chrome
 Санкт-Петербург
0
1
Михайлов
для всех своих проектов сделать серт с именем *.binoniq.net и забыть проблемы с ним как сон.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Так на binoniq.net и так https работает. Речь была не о нем, а о жужих доменах. Но нам-то с вами зачем про чужие домены волноваться, верно?
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Если чужие домены под твоим, и им зачем-то нужно защищаться от просмотра трафика (мода такая, что поделаешь), то защищать их приватность есть два варианта - вайлдкард-сертификат на домен типа *.my-domain.com, которым ты, по сути, "делишься", либо возможность каждому из них вкорячить сертификат в движок своего "именного" домена (к примеру) uasya.my-domain.com, который начнет работу после редиректа с основного домена проекта либо по прямому запросу.
Первый вариант изящнее, но вайлдкард-сертификат от внешнего удостоверяющего центра стОит много бакинских и на короткий срок, поэтому издать бинонику самоподписной вайлдкард-сертификат, который желающие могут поставить себе локально и после этого получать технически защищенный доступ к любому поддомену даже без оповещения браузеров про "плохой сайт".
Второй вариант технически реализуем ещё сложнее, и хранить чужие сертификаты уж точно никому не сдалось.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Не пойму, о чем мы говорим? Что значит "делишься" и "чужие домены под твоим"? Есть у Васи Пупкина сайт saitik.ru, к домену binoniq.net он не имеет никакого отношения. То, что их оба можно направить на один и тот же IP - это другой вопрос.

Если речь про https://binoniq.net, то им тоже никто не делится - https там от CloudFlare, он работает как экран и прокси, сам CloudFlare для пользователя получает с сайта данные по http.
Windows Safari Chrome
 Санкт-Петербург
0
2
Михайлов
LE сертификаты сроком на 3 месяца, потом переиздавать. Кроме того, для автоматического переиздания и "подпихивания куда нужно" для ОС сделаны "агенты обновления", которые нужно устанавливать или накрай отдельно прикручивать дюймовыми шурупами с левой резьбой.
Итого - создать самоподписной сертификат лет на десять, установить и затем не париться вообще! )) Функциональность собственно шифрования нисколько от этого не пострадает!
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Так у меня-то открывается всё. https://lleo.binoniq.net
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Вот это общага...
DNS-имя=sni116825.cloudflaressl.com
DNS-имя=*.afbuiplicat.cf
DNS-имя=*.alumnimortgageassistance.com
DNS-имя=*.asikkumpul.tk
DNS-имя=*.axfaienbkax.ml
DNS-имя=*.bake49.com
DNS-имя=*.battlboxforum.com
DNS-имя=*.binoniq.net
DNS-имя=*.birkmarnove.ga
DNS-имя=*.cititeiev.tk
DNS-имя=*.exuzuqesacaf.tk
DNS-имя=*.fsfsafs.gq
DNS-имя=*.fvsfsfs.gq
DNS-имя=*.jcozada.io
DNS-имя=*.jnowjgpvrib.gq
DNS-имя=*.leadgenerationelite.com
DNS-имя=*.lleo.me
DNS-имя=*.lookzbesthotel.gq
DNS-имя=*.maillotbasprix.fr
DNS-имя=*.my-log.net
DNS-имя=*.naposavuku.tk
DNS-имя=*.newpeakllc.com
DNS-имя=*.nukuyikumixa.tk
DNS-имя=*.nyebutbutt.cf
DNS-имя=*.othcurmestva.gq
DNS-имя=*.playgroundmulchguys.com
DNS-имя=*.seputarduniakerja.com
DNS-имя=*.smartalabamahomebuyer.com
DNS-имя=*.smartwashingtonhomebuyer.com
DNS-имя=*.smartwashingtonhomebuyerreport.com
DNS-имя=*.talvachesbe.gq
DNS-имя=*.ufdu.loan
DNS-имя=*.vegasbetonline.co
DNS-имя=*.vigele.info
DNS-имя=*.wayevufyb.tk
DNS-имя=*.wellneckfedsa.gq
DNS-имя=*.wempla.com
DNS-имя=*.woopee.io
DNS-имя=*.xunotabomiluh.tk
DNS-имя=*.yogiheqehyqaruk.tk
DNS-имя=*.youth-live.com
DNS-имя=afbuiplicat.cf
DNS-имя=alumnimortgageassistance.com
DNS-имя=asikkumpul.tk
DNS-имя=axfaienbkax.ml
DNS-имя=bake49.com
DNS-имя=battlboxforum.com
DNS-имя=binoniq.net
DNS-имя=birkmarnove.ga
DNS-имя=cititeiev.tk
DNS-имя=exuzuqesacaf.tk
DNS-имя=fsfsafs.gq
DNS-имя=fvsfsfs.gq
DNS-имя=jcozada.io
DNS-имя=jnowjgpvrib.gq
DNS-имя=leadgenerationelite.com
DNS-имя=lleo.me
DNS-имя=lookzbesthotel.gq
DNS-имя=maillotbasprix.fr
DNS-имя=my-log.net
DNS-имя=naposavuku.tk
DNS-имя=newpeakllc.com
DNS-имя=nukuyikumixa.tk
DNS-имя=nyebutbutt.cf
DNS-имя=othcurmestva.gq
DNS-имя=playgroundmulchguys.com
DNS-имя=seputarduniakerja.com
DNS-имя=smartalabamahomebuyer.com
DNS-имя=smartwashingtonhomebuyer.com
DNS-имя=smartwashingtonhomebuyerreport.com
DNS-имя=talvachesbe.gq
DNS-имя=ufdu.loan
DNS-имя=vegasbetonline.co
DNS-имя=vigele.info
DNS-имя=wayevufyb.tk
DNS-имя=wellneckfedsa.gq
DNS-имя=wempla.com
DNS-имя=woopee.io
DNS-имя=xunotabomiluh.tk
DNS-имя=yogiheqehyqaruk.tk
DNS-имя=youth-live.com

Кроме твоего домена из них не знаю ничего... а ты? ;)
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Это ты чего вообще смотришь? Виртуальный IP binoniq.net, принадлежащий пулам проекта https://www.cloudflare.com? Ну так у binoniq.net (а равно и lleo.me) CloudFlare прописан сервером имен: brit.ns.cloudflare.com и cash.ns.cloudflare.com А уж какой IP он там выдает сегодня по запросу с вашего провайдера, и кто еще из миллионов пользователей в данный момент времени был определен в тот же пул - это пусть CloudFlare сам решает, что он там оптимизирует.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
это я смотрю список доменных имен, которые защищаются тем же самым сертификатом, что и имена твоих сайтов. Ты безусловно прав, клаудфлер имеет право вкорячить эти имена в любые свои сертификаты, "лишь бы ехало". Но при компрометации любого из этих узлов (смене администратора имени любого другого домена и т.п.) сертификат тоже нужно переиздавать, в принципе. Чего уж лучше, когда у твоего личного проекта опять же личный сертификат, причем бессрочный и именно ты отвечаешь, за всё, что делается под ним. ( А ведь придется ;)
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Не понимаю пока. О каком сертификате речь, а главное - о какой компрометации? Давайте попробуем по шагам разобрать.

1) Браузер Васи открывает https://lleo.me и через nameserver получает от CloudFlare IP 111.2.3.4 (клаудфларевский, не мой)

2) Устанавливает соединение 111.2.3.4:443, обменивается всякими там сертификатами с CloudFlare. Который изображает сайт. Вася запрашивает, скажем, index.htm

3) Далее CloudFlare бежит по обычному http на истинный ip lleo.me (допустим, 66.77.88.99, который знает только он). Там представляется пользователем Васей со всеми куками и регалиями, скачивает себе index.htm и затем отдает его Васе - уже по ssl, разумеется.

4) Вася доволен - он думает, что был на https://lleo.me/index.htm

Вопрос: даже если на том же виртуальном IP 111.2.3.4 сидят ещё 100500+ пользователей CloudFlare, мне-то какое дело? И если все эти сайты-пользователи хакеры, хакнутые, разносчики вирусов и любители подменять сертификаты (какие, кстати? У них же их нету и никогда на руках не было?) - то как они, простите, могут вмешаться в вышеописанную цепочку Вася <=443=> 111.2.3.4 <=80=> 66.77.88.99 ?
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
Компрометацией мы называем любое событие, которое требует оперативного переиздания сертификата. В частности, если он издан клаудфлером на несколько независимых субъектов, то смена администратора по любому из их имен/доменов влечет отзыв и переиздание сертификата. По большому счету - ничего, перезайдет клиент чуть позже и попадёт туда же как миленький! ))

А любители подменять сертификаты, стоя в разрыве по схеме "клиент-MITM-сервер", просто изображают из себя клиента в сторону "сервер", и сервер - в сторону "клиент". Принимают трафик зашифрованный своим сертификатом (который в лучшем случае подписан каким-нибудь публичным удостоверяющим центром) - обрабатывают его - зашифровывают как клиент сертификатом со стороны "сервер". И в обратную сторону точно так же.
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Не, я вас не понимаю и наверно не пойму. Всё больше терминов, всё меньше ясности. Либо я тупой, либо вы не очень понятно объясняете. Мне казалось, когда я на понятных примерах описал по пунктам свое понимание, мы обсудим их и станет ясно. Но вместо этого возникают какие-то новые абстракции.

Вот например вы о каком-то разрыве толкуете, но не объясняетеина примере, о чем речь. Кто-то вклиниться между КоаудФларе и моим сервером? Или между вашим браузером и КлаудФларе?
Windows Firefox
 Москва
2
0
Johny
проще прикрутить горячо любимый Леонидом cloudfire.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Это факт, горячо поддерживаю. Заодно это снизит нагрузку и на Биноник, если на чужой внешний сайт будет большой трафик или (не дай бог) DDOS-атака.

Единственная проблема - Казахстан отвалится.
Windows Safari Chrome
 Санкт-Петербург
0
0
resistor
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Казахстан, говорите?
63Lf3KpIIGM
Linux Safari Chrome
 Ростов-на-Дону
0
0
Константин (kagrebennikov)
Все это очень интересно, но как все это будет работать в клишассаном Чебурнете? На это деньги найдутся, всего-то 20 лярдов.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ну я же не зря резервные пути на FIDO настроил ;)
Linux Safari Chrome
 Санкт-Петербург
0
0
Svami Dhyan Nataraj (shaplov)
А я тут в смысле блоггинга неспешно ковыряю вот это
https://www.opennet.ru/opennews/art.shtml?num=47960
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Чота я не понял, что это. Какие-то умельцы сочинили свой стандарт блогов и им даже удалось сертифицировать его в мировой организации стандартов? Но где же реальные платформы, с которыми интересно сотрудничать по этому протоколу?
Linux Safari Chrome
 Санкт-Петербург
0
0
Svami Dhyan Nataraj (shaplov)
Не стоит ждать милости от корпораций. Взять и реализовать все самим -- наша святая обязанность! ;-)

В том числе трансляцию нестандартных блогов в стандартный формат...
Linux Ubuntu Safari Chrome
 Fremont
0
0
churbankin-cheburashka (#7572706)
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это как-то связано с целью нарушения законов российской федерации в случае принятия проекта об автономном российском интернете?
Linux Safari Chrome
 Москва
7
0
Leonid Kaganov
Наоборот же - импортозамещение, замещаем басурманский Вордпресс. Срочно дайте мне грант.
Linux Firefox
 Пенза
0
0
qwerty блинн которого сайт забыл
А серетефикатЪ одобрения ОТЕЧЕСТВЕННОГО ПО есть?
Нету? значит вражеский твой движок, неимпортозамещающий и ваще проповедующий гейропейские ценности либерастический!

зы: а реально, на дурачка, попробуй грант слупить. вдруг прокатит? ;)
Windows Safari Chrome
 Омск
7
0
alxumuk2
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
... а потом самому про себя стишок писать? :-)
Linux Safari Chrome
 New York
4
0
Кто здесь?
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Вот так оно и работает:
- слыхал, у деда фобии, ему везде нато мерещится?
- ну да. А давай запилим тему типа "для защиты от нато сделать свой интернет"? Финансирование, то, сё...
- думаешь, прокатит?
- уже пишу: "В связи со сложной геополитической ситуацией и нависшей угрозой отключения предлагаем разработать комплекс мер по обеспечению.."
- "- и выделить финансирование!!! - "
- ".. и выделить финансирование ..."
Linux Ubuntu Firefox
 Москва
2
0
Leonid Kaganov
ПО обработано святой водой.

Делается просто:

1) Скачиваете исходник святой воды в виде картинки с официального сайта Патриархии: http://p2.patriarchia.ru/2010/01/19/1234826200/2NOV_0522.JPG

2) Кладете картинку в папку с ПО на некоторое время.

3) Картинку убираете, благодать остается.
Windows Safari Chrome
 Москва
0
0
Sеfirаm
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это работает рекурсивно по подпапкам?
Или в каждую подпапку класть?
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Я как-то об этом не задумывался. У меня движок работает через файлы корневой папки - config.sys и index.php в любом случае обеспечивают основу его работы. Наверно если код состоит из независимых модулей и существует возможность запуска процедур, а которых не задействован ни один из файлов, лежавших рядом со святой водой, то ее надо на всякий случай продублировать. По крайней мере, я бы так делал. Но я не специалист.
Firefox
 Самара
0
0
priehali
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я сварщик ненастоящий, но разве не проще указать в DNS saitik.ru CNAME "vasya.binoniq.net."? Тогда Васе даже не придётся Вас беспокоить. (Если я правильно понимаю как работает CNAME.)
Linux Safari Chrome
 Москва
0
0
Leonid Kaganov
Я тоже ненастоящий, но мне кажется, это так не работает.
Windows Safari Chrome
 Москва
1
0
Sеfirаm
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это, в целом, то же самое что прописать IP на который указывает вася.биноник, только будет работать даже если IP сменится.

Но все равно придется прописывать хост, потому что когда придет запрос в нем ничего про вася.биноник не будет, в хидерах будет Host: saitik.ru
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Именно. О том я в нынешнем посте и писал: преобразовал движок для работы с чужими хостами. Само бы не взлетело, только если редирект, но это пошло и бессмысленно.
Windows Safari Chrome
 Санкт-Петербург
0
0
Михайлов
CNAME работает так, верно. Но это для того, изменить маршрутизацию запросов клиента, ориентируясь по исходному имени. Но не заменяя это имя при запросах HTTP - формируется поле "Host: saitik.ru" (браузер это делает автоматически, не обойти).
Принимающий сервер, в принципе, не обязан отвечать на это имя, кроме как если его админ (lleo) сопоставит по запросу Уаси в мультплексоре входящих http-запросов внешнее название уасиного сайта и локальную область uasya cвоего хостинга binoniq.net. НО! Именно от этого-то lleo и хочет уйти, вводя имена-поддомены биноника!
Windows Firefox
 Мурманск
2
2
anonymouse69
И снова "Уголок рукожопа", Ллео, а своего робота Жопика засуньте себе сами знаете, куда, если не знаете, могу подсказать. ;-)
Linux Safari Chrome
 Москва
2
3
Leonid Kaganov
Маркони, ты унылый и мне тут не нужен. Я тебя не звал читать мой сайт и хамить в каждом посте. Иди читай сайты, которые нравятся, не трать на меня свое драгоценное время.

всего комментариев: 46

<< предыдущая заметка следующая заметка >>