Születésnap, név-nap

Bő egy hónap nyári szünet után üdv újra a blogon! Posztok hiányában azt gondolhatnád, hogy az augusztus uborkaszezon volt, de ez nem igaz. Sőt! Augusztusban és szeptember elején a következők történtek:

  1. Egy évesek lettünk
  2. Nevet váltottunk
  3. Megújult az SSL tanúsítványunk
  4. Tárhelyszolgáltatót váltottunk

És hogy hogyan érint ez Téged?

Egy évesek lettünk

Örülj velünk! Ezen kívül más dolgod nincs. 🙂

Boldog születésnapot!
Ő is örül, a maga módján.
Nevet váltottunk

Sok jótanácsot megfogadtunk a tesztév alatt, de az egyik legnagyobb horderejűvel, a névváltoztatással eddig vártunk. Most viszont, hogy egy éves lett a projekt, ideje volt elhagyni a munkacímet, a nehezen megjegyezhető, sokak szerint nyakatekert logikájú RszMail-t, és felvenni a sokkal felhasználóbarátabb, magával az URL-lel is harmonizáló Égvemaradt.hu-t. Így most már nem lesz többé kérdés, hogy mit jelent a név, illetve hogy akkor most miért nem az rszmail.hu címen érhető-e el az oldal — a keresztelővel ezt a kétértelműséget sikerült teljesen tisztázni.

keresztelo

Az oldalon most már mindenhol az új névvel találkozhatsz, a blogon viszont nem írom át a régi bejegyzéseket, mert az a történelem meghamisítása lenne, meg amúgy is rengeteg (felesleges) munkát jelentene. 🙂

Megújult az SSL tanúsítványunk

Mivel a Let’s Encrypt által kiállított SSL tanúsítványok 3 hónapig érvényesek, szeptember elején újra kellett igényelni egyet. Elképzelhető, hogy az internet valamelyik bugyra (a tárhelyszolgáltató, a DNS szerverek, valaki más útközben, a böngésződ vagy akármi, nem akarok hülyeséget mondani) elgyorsítótárazta az előzőt, ami ugye már lejárt. Ha az egvemaradt.hu betöltésekor hibaüzenetet kapsz, akkor ürítsd ki a böngésződ gyorsítótárát, és próbáld újra. Ha ezután sem működik a dolog, akkor írj nekünk!

Tárhelyszolgáltatót váltottunk

Ez csak FYI, egyáltalán nem érinti a felhasználókat.

Ez a poszt most csak ennyi, a jövőben majd igyekszem érdekesebb eseményekről beszámolni. 🙂

belyeg128_small


Hogy mit honnan:

A Zöld Lakat

Nemrég egy alig észrevehető, mégis nagyon fontos változás került be az RszMail-be. A szemfüleseknek talán feltűnt, hogy a böngésző címsorában megjelent A Zöld Lakat:

lakat_grad
Ott van!

Ez nem kisebb dolgot jelent, mint azt, hogy az oldal mostantól biztonságos kapcsolatot biztosít a szerver és a böngésződ között!

buliNéhány korábbi posztban (pl. ebben) érintettem már ezt a témát, így most nem szeretnélek untatni a részletekkel, de a lényeg, hogy ezzel az új, jövőbe mutató* fejlesztéssel új kapuk tárultak ki az alkalmazás előtt. Ezek közül az első és legfontosabb a push értesítések lehetősége, később pedig további kényelmi és/vagy hasznos funkciókat tudunk beépíteni (pl. rendszámfelismerés fényképről).

A biztonságos kapcsolat örömére ki is kapcsoltam a Firebase appot, ami eddig a push értesítéseket kezelte (mondjuk teljesen megszüntetni nem volt szívem, úgyhogy az odatévedőket most udvariasan átirányítjuk a Főoldalra). 🙂

southpark

További előny, hogy mostantól a jelszavad is biztonságosan utazik a hálózaton, így sikerült még egy támadási lehetőséget elvennünk a gonoszoktól. Ettől függetlenül továbbra is javasoljuk, hogy minden fiókodhoz — tehát az RszMail-hez is — eltérő jelszót használj.

A nemkocka látogatók itt abbahagyhatják az olvasást, a kockáknak pedig még némi háttérinfó. 🙂

Nem lenne korrekt nem megemlíteni a posztban a Let’s Encrypt nevű kezdeményezést, amely lehetővé tette az oldal HTTPS-esítését. Ez a (nagy, neves szervezetekből összeállt) csoport a teljesen titkosított internetet tűzte a zászlajára, és ezért hajlandóak tenni is (és nem úgy, mint a böngészőfejlesztők, akik egyszerűen letiltják az egyes funkciókat titkosítatlan kapcsolaton keresztül -.-).

Our goal with Let’s Encrypt is to get the Web to 100% HTTPS.

"Ez derék dolog, srácok!"
“Ez derék dolog, srácok!”

A Let’s Encrypt által kiállított tanúsítvány ingyenes, de semmivel sem rosszabb a fizetős verzióknál — egyszerűen végre valaki felismerte, hogy amíg néhány nagy cég bevételi forrásként tekint az SSL tanúsítványokra, addig nem fog tömegesen elterjedni a biztonságos kapcsolat.

A teljesség kedvéért idekívánkozik a Get HTTPS for free! is, amely — bár a neve egy ájfonnyerős/lehúzós/átverős oldalt sejtet — a Let’s Encrypt egy felhasználóbarát** wrappere, és amely nélkül esélytelen lett volna a HTTPS-re való átállás. Persze biztosan bennem van a hiba, de az én cPanelhez szokott, tunya agyamnak még ez a wrapper is egy izzasztó akadályfutás volt, de a kemény munka meghozta a gyümölcsét, és végül sikerült megszerezni a tanúsítványt. 🙂

Ha Te is hasonló feladattal találod szembe magad, és hozzám hasonlóan megilletődsz az SSL, TLS, CSR és hasonló HBR-ek láttán, szólj, és szívesen segítek. 🙂

belyeg128

green_lantern
Nem veszlek be a posztomba.

Ui.: Ebbe a posztba valahogy bele akartam keverni A Zöld Lakat analógiájára a Zöld Lámpást is, de aztán arra jutottam, hogy számomra annyira szörnyű élményt nyújtott a film, hogy inkább nem riasztom el az amúgy is gyér közönségemet ilyen utalásokkal. Remélem, értékeled, hogy megkíméltelek ettől az erőltetett párhuzamtól. 🙂

*: ez bullshitnek hangzik, pedig nem az.

**: vagy nevezzük inkább kevésbé felhasználógyűlölőnek 🙂


Hogy mit honnan:

Nyomulunk!

tl;dr: Van push értesítés mobil és asztali Chrome-ra! Jejj!

kulka_orom
Kulka János is örül a push értesítéseknek.

Úgy kell, hogy:

  • bejelentkezel,
  • belépsz a Műszerfaladra,
  • legörgetsz a Push értesítések részhez,
  • ráböksz a nagy “Push értesítések beállítása” gombra,
  • megadod az eszközöd nevét,
  • bepipálod a “Kérek push értesítést…” jelölőnégyzetet,
  • ha megjelent alul valami hosszú, szürke szöveg, akkor
  • ráböksz a nagy “Mentés és bezárás” gombra,
  • és kész!

UPDATE: Ez egy kicsit megváltozott, most már közvetlenül a Műszerfaladon tudod kezelni a push értesítéseket.

Ha nemcsak ez, hanem a háttér is érdekel egy picit, akkor olvass tovább. Akkor és csak akkor.

Először is bocsánatot kérek a cím borzalmas szójátékáért, nem vagyok rá büszke. De hogyan lehetne másképp kezdeni egy push értesítésekről írt posztot? 🙂

nenyisd

Azért jó a cégünknél dolgozni, mert az ember sok hozzá hasonló, problémamegoldásra kihegyezett mérnökemberrel van körülvéve. Ha olvastad az előző bejegyzést, akkor tudhatod, hogy a push értesítések összerakásánál — akkor látszólag — áthatolhatatlan falba, a HTTPS hiányába ütköztem. Ezt nyilván nemcsak a blogon, hanem a munkahelyi beszélgetések alkalmával is elsírtam a többieknek, így kaptam egy remek tippet (kösz, Zoli!): a Firebase használatát. Ez egy olyan* szolgáltatás, ahová fel lehet tölteni egy webappot, amely aztán (most jön a — számomra — fontos rész!) HTTPS-en keresztül, a legújabb előírásoknak megfelelően lesz elérhető.

Bár a tipp úgy szólt, hogy dobjak el mindent, és költöztessem át az egész RszMail-t a Google által nyújtott platformra, én azért ennél egy fokkal óvatosabb voltam. Egyrészt már megvolt a teljes architektúra, nem akartam mindent elölről kezdeni, másrészt szeretem teljes egészében kézben tartani az oldal működését, a biztonságérzetemhez pedig még szükségem van az oldschool FTP-n feltöltős, cPanelen kattintgatós felületre (a Firebase ilyet nem ad).

Tehát a feladat az volt, hogy írjak egy, az RszMail-hez tartozó, azt kiegészítő webappot, amely technikailag teljesen független az RszMail központi részétől, és mindössze annyit tud, hogy feliratkoztatja a felhasználókat a push értesítésekre, és kezeli azokat. Szóval technikailag egy teljesen idegen alkalmazás értesítéseire kell feliratkozni, igen. 🙂

Természetesen a felhasználói élményt (van ilyen?!) meg kellett őrizni, ezért az app pontosan úgy néz ki, mint maga az RszMail, és arról is gondoskodnom kellett, hogy a külső app és a központi alkalmazás között sima legyen az átjárás. Ja, de ezzel azért ne is nyissak (nagy) biztonsági rést a rendszeren. Remélem, legalább ez utóbbi sikerült. (Várom a ‘; DROP TABLE Users; – nevű eszközöket…) 🙂

drop_table
Az ember úgy küzd a közúti bírságok ellen, ahogy tud…

Az ötlet végül csak félig jött be — a Firebase a Google push motorját, a Google Cloud Messaging-et használja (időközben átnevezték Firebase Cloud Messaging-re, és minden bizonnyal sokat alakítottak is rajta, de ez most mindegy), amely egyelőre (?) csak Android és iOS natív appokkal, illetve Chrome böngészővel működik. Szerencsére utóbbinak legalább mobil és asztali verziójával is.

Szóval jelenleg ott tartunk, hogy ha (viszonylag friss) Chrome-ot használsz**, akkor azonnal értesülhetsz a rendszámodra érkezett üzenetekről, akkor is, ha a levelezőkliensed nem pittyeg minden egyes új levélnél. Ez azért elég jó! 🙂

Természetesen van még hová fejlődni: implementálnom kell a Web Push API-t, ami már egy W3C-kompatibilis megoldás lesz, és akkor már Firefoxon, Safarin, meg minden egyeben fognak suhanni az értesítések (már ha maguk a böngészők is veszik a fáradságot, hogy szintén implementálják). Ehhez viszont kell az előző posztban említett HTTPS, szóval ez még egy kicsit arrébb van.

Hű, már 500 szó fölött járunk, lassan be kell zárni ezt a posztot. Pedig azt terveztem, hogy az RszMail (HTTP) – Firebase app (HTTPS) közötti átjárásról is írok! Meg a service workerekről, meg az általuk felmerülő kockázatokról, meg a meghiúsult AJAX hívásaimról, meg az XSS támadásokról, meg a CORS-ról, meg-meg-meg… De talán jobb is így, hogy nem, mert ez már tényleg csak a nagyon kockákat hozza lázba úgy, mint engem… Számomra nagyon érdekesek voltak ezek a témák! 🙂 De akkor erről majd személyesen, ha egy beszélgetés fonala úgy hozza…

belyeg128*: Nem, a Firebase ennél sokkal több, de nekem most ez volt a lényeg. Olvass utána, amúgy király dolog! 🙂
**: Persze csak állandó internetkapcsolattal rendelkező okostelefonról vagy számítógépről, csodát tenni nem tudunk.


Hogy mit honnan:

Hol éri ez meg?

Már többen kérdezték tőlem, hogy

Miért érte meg nekem kifejleszteni és miért éri meg fenntartani az oldalt?
Ha az oldal használata mindenkinek ingyenes, akkor honnan lesz bevételem?
Vagy valahol mégis el van dugva valamilyen költség?

Ha Benned is felmerültek ezek a kérdések, akkor hadd nyugtassalak meg: nincs eldugott költség, mára divatossá vált in-game-purchase vagy fizetős DLC.

Ez nincs.

De akkor mi az üzleti tervem? Hiszen azt mindenki tudja, hogy manapság már semmi nem létezhet üzleti terv nélkül. Vagy… vajon az RszMail-re is igaz, hogy “Ha nem találod a terméket, amit el akarnak adni neked, akkor te vagy a termék“?!

Nem, nem te vagy a termék. Itt tényleg nincs termék. És a legelső kérdésre válaszolva: ez nekem nem éri meg — anyagilag.

Az RszMail az én apró hozzájárulásom a fejlődéshez, egy közhasznú kezdeményezés, és mint ilyen, piaci alapokon nem állná meg a helyét. Tekinthetjük egy olyan biznisznek, ahol a befektetett munka és pénz nem több pénzt fog hozni, hanem odafigyelést, megkönnyebbülést, mosolyokat, nekem pedig ezen keresztül jó karmát. A nirvánára gyűjtök… 🙂

— Most kéregetés jön, akit ez zavar, az lapozzon a 317-re. —

https_koldusEnnek ellenére bolond lennék elhessegetni a segítő szándékot, ráadásul be kell látnom, hogy az igazán ütős szolgáltatások nem fognak menni további anyagi befektetés nélkül. Az első ötletem az SMS-küldés volt, de azt csak kb. 20 Ft-os darabáron tudnám megtenni, ennyi közhasznúság sajnos már nem fér bele. A másik irány, hogy inkább Push üzenetet küldök — a fogadásukra képes — felhasználóknak, azt meg tudom tenni ingyen.

— Kocka sírdogálás jön, akit ez zavar, az lapozzon a 276-ra. —

Igen ám, de a Push üzenetek meg nem hajlandóak átmenni titkosítatlan (nem HTTPS) kapcsolaton, szóval ehhez a feature-höz bizony SSL tanúsítványra van szükség. Nosza, szerezzünk hát egy tanúsítványt — ha pedig senki nem akar adni ingyen, akkor írjunk egy self-signed-ot.

Kis kitérő azoknak, akik egy kicsit kockák (ezért olvassák ezt), de nem nagyon kockák (ezért nincsenek képben a HTTPS-sel — megjegyzem, én sem, I’m not an IT guy). Aki képben van vele, az lapozzon a 42-re.

A HTTPS kapcsolat annyiban különbözik a sima HTTP-től (legalábbis az a lényeg), hogy a böngésző és a szerver közötti kommunikáció SSL-lel titkosított, azaz elvileg kívülről nem hallgatható le. Ilyen kapcsolat létrehozásához a szervernek fel kell tudnia mutatnia egy SSL tanúsítványt, ebben a tanúsítványban van az a kulcs, amely elrejti az adatokat a kíváncsi szemek elől, amíg azok a böngésző és a szerver között utaznak.

A tanúsítvány azonban még ennél is többet tud: igazolja, hogy a szerver tényleg az, akinek kiadja magát. Tehát nem csak azt biztosítja, hogy az adatok biztonságban legyenek, amíg a szerverhez kerülnek, azt is garantálja, hogy a megfelelő szerverhez kerüljenek.

Ezt az igazolást egy úgynevezett megbízható harmadik fél állítja ki és foglalja bele az SSL tanúsítványba (ezt hívják aláírásnak) — pénzért. Nincs is ezzel semmi baj addig, amíg a titkosítandó forgalom végül valamilyen bevételt generál, de az RszMail-lel nem ez volt a helyzet.

Na de még mindig nem volt minden veszve — létezik ugyanis egy lehetőség, amellyel akárki gyárthat magának SSL tanúsítványt, majd önmaga aláírhatja ezt, ezek lesznek a self-signed tanúsítványok. Ez kb. a csekkfüzetnek felel meg, amikor valakinek a bank igazolása nélkül is elhisszük, hogy elég pénze van ahhoz, hogy bármikor beválthassuk a tőle kapott csekket. A self-signed tanúsítványok tehát alkalmasak a titkosított kapcsolat felépítésére (az adatok biztonságosan utaznak…), de alkalmatlanok a szerver hitelt érdemlő azonosítására (… de lehet, hogy a rosszfiúkhoz). Ezt a legtöbb böngésző egy kövér figyelmeztetéssel szokta honorálni, de úgy voltam vele, hogy egy próbát megér a dolog, legfeljebb

  1. kiírom az oldalra, hogy “Léccilécci okézd le a nagy kövér biztonsági figyelmeztetést” (nem szép megoldás, de láttam már jó pár ilyet, a koliban meg aztán végképp mindennaposnak számított),
  2. így legalább biztosítok valamiféle titkosítást a pőre HTTP helyett (ezt a kocka látogatóim talán értékelték volna).
selfsigned
Ilyen lett volna az RszMail nyitólapja — különös, de ez jobb, mint a semmi

Ezen a ponton volt egy pár érdekes vitám az egyik munkatársammal, és be kell vallanom, nem tudok neki nem igazat adni. Mert ugye

HTTP HTTPS (self-signed tanúsítvánnyal)
megbízhatatlan szerver megbízhatatlan szerver
titkosítatlan kapcsolat titkosított kapcsolat
a felhasználó tudatában van a veszélynek biztonság hiányának a felhasználónak hamis biztonságérzete lehet

Ráadásul ha ráveszem a látogatóimat, hogy bízzanak meg csak úgy, vakon az én általam aláírt tanúsítványban, akkor azzal valójában arra nevelem az emberiséget, hogy ne követeljék meg a tényleges, ellenőrizhető tanúsítványok használatát — ami viszont épp az egész tanúsítvány-sztori alapja. Ezzel a lépésemmel lehet, hogy több kárt tennék, mint amennyit segítek a titkosított adatforgalommal.

Szóval lehetne itt elmélkedni, hogy jobb-e az egyértelmű “fenyegetettségnél” a hamis biztonság egy kis tényleges biztonsággal megtoldva, de… (kis kitérő vége)

42. Nem árulok el nagy titkot, ha azt mondom, hogy sajnos egyáltalán nem jött össze a HTTPS. Történt ugyanis, hogy miután jó pár órát beleöltem abba, hogy megcsináljam a self-signed tanúsítványomat (mondtam már, hogy én csak egy egyszerű villamosmérnök vagyok?), kiderült, hogy nem tudom használni, mert az oldal egy shared-hosting tárhelyen ül. Hogy ez miért probléma, az már bőven túlmutat ezen a poszton (igazából az előző bekezdések is), de akit érdekel, az guglizzon rá, én már belefáradtam a küzdelembe.

— Itt van vége a kocka sírdogálásnak. —

Szóval egyelőre marad a HTTP. Ez a Push üzeneteken kívül csak egy dolgot érint érzékenyen: a jelszavakat.

Amikor ezt a posztot írom, már lecsengett a BSI-jelszóbotrány. Természetesen nagy baj, hogy egy ilyen nagy oldal olyan alapvető védelmi intézkedést nem tartott be, hogy jelszavakat soha nem tárolunk kódolatlanul (az RszMail-nél ez pipa: “A jelszavadhoz nem férünk hozzá, azt csak kódoltan tároljuk. Ezért ha elfelejted a jelszavadat, újat kell kérned, a régit nem tudjuk elárulni. [egvemaradt.hu/info.php]”), de azért egyvalamire mégiscsak jó volt: a felhasználókat is ráébresztette (talán), hogy milyen fontos eltérő jelszavakat használni a különböző oldalakon.

Mi szóltunk...
Az RszMail jelszóváltoztató felülete. Mi szóltunk…

Hm… Egy kicsit elkalandoztam a poszt eredeti kérdésétől, de azt hiszem, ezt most megengedem magamnak, és nem szerkesztem át az egészet. Végül is ez az egész HTTPS-dolog elég jól alátámasztja a kéregetős vonalat, nem?

paypal
Itt lehet adományozni

Végezetül annyit még, hogy van az RszMail-nek PayPal fiókja, amire lehet küldeni adományokat. Ezekkel négy dolog történhet (nagyjából ebben a prioritási sorrendben):

  • szerverbérlésre költöm
  • SSL tanúsítványra költöm
  • elmulatom a srácokkal, akik segítenek nekem a fejlesztésben (erről majd később)
  • az RszMail népszerűsítésére költöm (lesz repi, erről is később UPDATE: már van! 🙂 )

— Itt van vége a kéregetésnek. —

Nos, hát ez lenne a nagy “üzleti tervem”. A köz javára tenni, közben a technológiával bosszankodni, és közben tanulni, tanulni, tanulni. 🙂

Учиться учиться и еще раз учиться

Ez itt a poszt vége, nem kell tovább olvasnod. 🙂

belyeg128

276. Megpróbálod válladdal betörni az ajtót, de meghallod a közeledő troglodyták rikácsoló hangját. Csapdában vagy. Előhúzod kardodat, de a troglodyták körülvesznek, megfeszítik íjukat és nyílzápor zúg feléd, mely végez veled. Élettelen tested a Halállabirintus mélyének földjére hull.

317. Kardoddal kitapintva a vágat oldalát, vakon botorkálsz előre a csúszós iszapban. Mintha időtlen idők óta követnéd kanyarjait és hajlatait, és kíváncsi vagy, hová vezet. Hirtelen meghallod, hogy valami csúszik előtted. Megdermedsz a félelemtől, kétségbeesetten meresztgeted a szemedet a koromfekete sötétségben. Mielőtt felfoghatnád, mi is történik, egy újabb Sziklahernyó állkapcsa ragadja meg a nyakadat. Annak a Sziklahernyónak a társa ez, amellyel végeztél, és a kardodon levő vér szaga vonzotta. Egyre keményebben szorít, míg végül nyaki csigolyád úgy pattan el, mint egy vékony gally. Kalandod itt véget ér.


Hogy mit honnan:

  • DLC magyarázat: imgur
  • Sziklahernyó és troglodyták: Ian Livingstone: Halállabirintus (brutális volt, mindig meghaltam benne, a traumát máig nem tudtam feldolgozni) 🙂
  • Őszinte crowdfunding-hipster a Pinterestről
  • Kövér figyelmeztetés a Super Userről
  • “Учиться учиться и еще раз учиться” от Ленина