Steem.Chat (Polish) i Discord Steem Polska stoją do siebie w pewnej opozycji. Większość osób siedzi na Discord, chociaż część jak Galijska wioska w Asteriksie i Obeliksie - na starym chat. W pewnym sensie mamy wolność z tym związaną, chociaż z powodów problemów technicznych Rocket.Chat nie mogliśmy stworzyć mostu między nimi co doprowadziło do podziału.
Jednak Rocket.Chat (który napędza Steem.Chat) ma swoje wady i warto o tym napisać.
Aktualizacje bezpieczeństwa? A komu to potrzebne!
Co mnie zaskoczyło to to, iż serwer nie jest aktualizowany w jakimkolwiek aspekcie:
- Ktoś może pomyśleć - nie warto aktualizować projektu do najnowszej wersji, bo działa (a jak coś działa to nie ruszaj). Może jest to jakaś metoda, ale dla wersji 0.70.0 (można to sprawdzić) wyszły 4 wersje z łatkami (bez nowych funkcji) - aż do 0.70.4. Nie wiem czy można nazwać naprawione błędy krytycznymi, ale warto by szyfrowanie rozmów było załatane, jeśli coś jest ...
- Mamy też wersje z nowymi funkcjami i kandydującą 1.0. Wydania kandydujące to takie, które teoretycznie są wydaniami, które mają trafić do ludzi, ale można jeszcze załatać błędy jeśli jakieś są (wszystkie znane podatności są załatane). Tutaj mamy 15 wersji do nadrobienia ...
- Już pomijam wersje typowo zalecane przez producentów.
Oczywiście dlaczego warto to robić? Bo każda wersja coś naprawia, a podatności mogą działać na niezałatanych chatach. Nie mówię, że na pewno zadziałają, ale parę jest ciekawych błędów. Mi się spodobał ten, który umożliwia komuś zmianę czyjegoś avatara.
A co do podszywania się ...
Jak najbardziej jest możliwość podszywania się pod osoby, za co nawet zarobiłem dzisiaj bana ;) Ale najpierw opowiem historię (niestety nie znalazłem nic na potwierdzenie, więc jak uważasz, że to bzdury ... masz prawo.)
Jakiś czas temu znalazłem kogoś kto dostawał niesłusznie flagi. Ktoś zażądał od niego pieniędzy, których mu nie wysłał. W ramach spełnienia groźby "haker" stworzył bardzo podobny nick i zaczął obrażać wielorybów, za co potem profil osoby prawdziwej dostawał flagi.
Ataki w podszywanie się na Steem Chat również mieliśmy i nawet na polishu (słynna afera z podszywaniem się pod Hallmanna), ale o ile takie "script kiddies" można wybaczyć, o tyle sytuacja powyżej wskazuje, że błąd musi zostać naprawiony. Można to zrobić na przynajmniej dwa sposoby, a to, że od miesięcy nikt z tym nic nie zrobił rzutuje na reputacji administratorów.
Oczywiście na czym polega atak? Chodzi w skrócie o to, że niektóre litery w danej czcionce wyglądają bardzo podobnie albo identycznie.
Dla przykładu Fervi.
Dla przykładu macie dwie litery "e", które wyglądają na identyczne (albo jestem ślepy), a są różnymi znakami. Oczywiście kwestia tego, czy Rocket.Chat to przyjmie, ale niektóre takie sztuczki akceptuje.
Zarejestrowałem przykładowe dwa konta na Steem.Chat, w tym jedno gandalfa (:P) i to konto zostało usunięte (i dostałem bana na fervi), a jedno (napiszę mu na PW by usunął) zostawił. Tak więc stawiam na "zbieg okoliczności" w wyłapanie tego konta lub pewnego rodzaju przeczulenie.
Oczywiście konta założone do testów, a gandalf powinien w stanie zweryfikować to czy były używane do czegoś innego.
Oczywiście tego typu akcja została przeprowadzona dla testów, dlatego bez problemu administrator powiązał konto z moim głównym (bo się nawet nie ukrywałem :P). Tylko to się łatwo obchodzi i to w sumie na parę sposobów (ciekawi mnie czy modyfikacja requestów wystarczy czy trzeba po oprogramowanie sięgać), ale oczywiście takich rzeczy nie warto opisywać ;)
Moim zdaniem albo czcionka musi być zmieniona, albo musi być wymuszony standard wyświetlanych nicków.
Inne drobnostki
Technicznie administratorów mamy na Steem Chat dwóch, z czego żaden nie jest aktywny, co czasem doprowadzało do różnych nieciekawych akcji. Od gigantycznego spamu po podszywanie się i rajdów ludzi na chat. Wiadomo - Steem Chat upada, ale przydałoby się wzmocnić moderację w odpowiednie narzędzia.
Discordowy spoiler
Na Discord:
Oczywiście zostały naniesione różne zabezpieczenia. Bo widzisz, na Discord możemy rozwiązywać problemy sami, a nie czekać aż ktoś wprowadzi je za nas. Tak, Discord nie jest idealny, ale nic nie jest idealne. Nawet @nieidealna.mama nie jest idealna ;)
Wg mnie ten wpis zasługuje tylko na to: manipulacja.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
W którym miejscu jest zmanipulowane coś?
Posted using Partiko Android
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Proszę bardzo mogę wypunktować:
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Na steem.chat również zdarzały różne rzeczy, w tym także podszywanie się pod kogoś i także nikt nie reagował natychmiast. Były także sytuacje, gdy ktoś wchodził na czat i wyzywał użytkowników polish np. Gandalfa czy Ferviego. Również żaden z adminów nie reagował. A konta, z których było to robione nadal są na liście członków czata.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Skoro wątek dotyczy niejako mnie to się wypowiem.
Na steem.chat zawsze ktoś reagował jak tylko to zauważył.
Tutaj:
cieleOdnośnie użytkownika morswin77 to byłem wtedy na czacie, sam usunąłem jedną wiadomość, która była obraźliwa w stosunku do ferviego.
Zastanawiałem się czy wywalić użytkownika, ale poszedł sobie bardzo szybko, więc już nic więcej nie robiłem.
A użytkownika Gandalf_... przecież sam gandalf blokował.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Bo pusty nick nie jest do końca pusty. Ten skrin z końca posta pokazuje, że to wpis konkretnego użytkownika.
Ale nie ma problemu, będzie weryfikacja kont po Steem. Można to zrobić
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Pusty w sensie, że normalny użytkownik nie widzi, kto to pisze. Dlatego dziwi mnie, że przez kilka dni admini to tolerowali ;-)
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Bo to można sprawdzić. Rafalski zmienił sobie nick na pusty, a masz skrina gdzie jest podpisany "Rafalski"
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
pkt 1 i 2 - zgadzam się z Tobą w 100%.
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
:P
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
W sumie nie bardzo korzystam z chata, ale chyba do tego discorda się na nowo przekonam. Kiedyś z niego korzystałem i działał cąłkiem nieżle :) Co prawda nie tak dobrze jak mirc... :P
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
No Discord ma swoje wady, a wiadomo, że IRC najlepszy. Tylko nikt z IRCa nie chce korzystać prócz nerdów
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
🎁 Dear @reinmar,
SteemBet Seed round SPT sale is about to start in 2 days!
When our started the development of SteemBet Dice game, we couldn’t imagine that our game would go so viral and that SteemBet would become one of the pioneers in this field.
In order to give back to our beloved community, we’ll distribute 4000 STEEM to SPT holders immediately after Seed sale. Plus, investors in this earliest round will be given 60% more tokens as reward and overall Return on Investment is estimated at 300%!
Join the whitelist on SteemBet webiste now and start investing! Feel free to ask us anything on Discord https://discord.gg/tNWJEAD
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
Nie wiem na ile prawda ... Ale może coś być na rzeczy
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit
😯😯 Znowu drama? Poczekam do jutra na twój wpis o steemit. Pozdro!
Posted using Partiko Android
Downvoting a post can decrease pending rewards and make it less visible. Common reasons:
Submit