Már többen kérdezték tőlem, hogy
Miért érte meg nekem kifejleszteni és miért éri meg fenntartani az oldalt?
Ha az oldal használata mindenkinek ingyenes, akkor honnan lesz bevételem?
Vagy valahol mégis el van dugva valamilyen költség?
Ha Benned is felmerültek ezek a kérdések, akkor hadd nyugtassalak meg: nincs eldugott költség, mára divatossá vált in-game-purchase vagy fizetős DLC.
De akkor mi az üzleti tervem? Hiszen azt mindenki tudja, hogy manapság már semmi nem létezhet üzleti terv nélkül. Vagy… vajon az RszMail-re is igaz, hogy “Ha nem találod a terméket, amit el akarnak adni neked, akkor te vagy a termék“?!
Nem, nem te vagy a termék. Itt tényleg nincs termék. És a legelső kérdésre válaszolva: ez nekem nem éri meg — anyagilag.
Az RszMail az én apró hozzájárulásom a fejlődéshez, egy közhasznú kezdeményezés, és mint ilyen, piaci alapokon nem állná meg a helyét. Tekinthetjük egy olyan biznisznek, ahol a befektetett munka és pénz nem több pénzt fog hozni, hanem odafigyelést, megkönnyebbülést, mosolyokat, nekem pedig ezen keresztül jó karmát. A nirvánára gyűjtök… 🙂
— Most kéregetés jön, akit ez zavar, az lapozzon a 317-re. —
Ennek ellenére bolond lennék elhessegetni a segítő szándékot, ráadásul be kell látnom, hogy az igazán ütős szolgáltatások nem fognak menni további anyagi befektetés nélkül. Az első ötletem az SMS-küldés volt, de azt csak kb. 20 Ft-os darabáron tudnám megtenni, ennyi közhasznúság sajnos már nem fér bele. A másik irány, hogy inkább Push üzenetet küldök — a fogadásukra képes — felhasználóknak, azt meg tudom tenni ingyen.
— Kocka sírdogálás jön, akit ez zavar, az lapozzon a 276-ra. —
Igen ám, de a Push üzenetek meg nem hajlandóak átmenni titkosítatlan (nem HTTPS) kapcsolaton, szóval ehhez a feature-höz bizony SSL tanúsítványra van szükség. Nosza, szerezzünk hát egy tanúsítványt — ha pedig senki nem akar adni ingyen, akkor írjunk egy self-signed-ot.
Kis kitérő azoknak, akik egy kicsit kockák (ezért olvassák ezt), de nem nagyon kockák (ezért nincsenek képben a HTTPS-sel — megjegyzem, én sem, I’m not an IT guy). Aki képben van vele, az lapozzon a 42-re.
A HTTPS kapcsolat annyiban különbözik a sima HTTP-től (legalábbis az a lényeg), hogy a böngésző és a szerver közötti kommunikáció SSL-lel titkosított, azaz elvileg kívülről nem hallgatható le. Ilyen kapcsolat létrehozásához a szervernek fel kell tudnia mutatnia egy SSL tanúsítványt, ebben a tanúsítványban van az a kulcs, amely elrejti az adatokat a kíváncsi szemek elől, amíg azok a böngésző és a szerver között utaznak.
A tanúsítvány azonban még ennél is többet tud: igazolja, hogy a szerver tényleg az, akinek kiadja magát. Tehát nem csak azt biztosítja, hogy az adatok biztonságban legyenek, amíg a szerverhez kerülnek, azt is garantálja, hogy a megfelelő szerverhez kerüljenek.
Ezt az igazolást egy úgynevezett megbízható harmadik fél állítja ki és foglalja bele az SSL tanúsítványba (ezt hívják aláírásnak) — pénzért. Nincs is ezzel semmi baj addig, amíg a titkosítandó forgalom végül valamilyen bevételt generál, de az RszMail-lel nem ez volt a helyzet.
Na de még mindig nem volt minden veszve — létezik ugyanis egy lehetőség, amellyel akárki gyárthat magának SSL tanúsítványt, majd önmaga aláírhatja ezt, ezek lesznek a self-signed tanúsítványok. Ez kb. a csekkfüzetnek felel meg, amikor valakinek a bank igazolása nélkül is elhisszük, hogy elég pénze van ahhoz, hogy bármikor beválthassuk a tőle kapott csekket. A self-signed tanúsítványok tehát alkalmasak a titkosított kapcsolat felépítésére (az adatok biztonságosan utaznak…), de alkalmatlanok a szerver hitelt érdemlő azonosítására (… de lehet, hogy a rosszfiúkhoz). Ezt a legtöbb böngésző egy kövér figyelmeztetéssel szokta honorálni, de úgy voltam vele, hogy egy próbát megér a dolog, legfeljebb
- kiírom az oldalra, hogy “Léccilécci okézd le a nagy kövér biztonsági figyelmeztetést” (nem szép megoldás, de láttam már jó pár ilyet, a koliban meg aztán végképp mindennaposnak számított),
- így legalább biztosítok valamiféle titkosítást a pőre HTTP helyett (ezt a kocka látogatóim talán értékelték volna).
Ezen a ponton volt egy pár érdekes vitám az egyik munkatársammal, és be kell vallanom, nem tudok neki nem igazat adni. Mert ugye
HTTP | HTTPS (self-signed tanúsítvánnyal) |
---|---|
megbízhatatlan szerver | megbízhatatlan szerver |
titkosítatlan kapcsolat | titkosított kapcsolat |
a felhasználó tudatában van a |
a felhasználónak hamis biztonságérzete lehet |
Ráadásul ha ráveszem a látogatóimat, hogy bízzanak meg csak úgy, vakon az én általam aláírt tanúsítványban, akkor azzal valójában arra nevelem az emberiséget, hogy ne követeljék meg a tényleges, ellenőrizhető tanúsítványok használatát — ami viszont épp az egész tanúsítvány-sztori alapja. Ezzel a lépésemmel lehet, hogy több kárt tennék, mint amennyit segítek a titkosított adatforgalommal.
Szóval lehetne itt elmélkedni, hogy jobb-e az egyértelmű “fenyegetettségnél” a hamis biztonság egy kis tényleges biztonsággal megtoldva, de… (kis kitérő vége)
42. Nem árulok el nagy titkot, ha azt mondom, hogy sajnos egyáltalán nem jött össze a HTTPS. Történt ugyanis, hogy miután jó pár órát beleöltem abba, hogy megcsináljam a self-signed tanúsítványomat (mondtam már, hogy én csak egy egyszerű villamosmérnök vagyok?), kiderült, hogy nem tudom használni, mert az oldal egy shared-hosting tárhelyen ül. Hogy ez miért probléma, az már bőven túlmutat ezen a poszton (igazából az előző bekezdések is), de akit érdekel, az guglizzon rá, én már belefáradtam a küzdelembe.
— Itt van vége a kocka sírdogálásnak. —
Szóval egyelőre marad a HTTP. Ez a Push üzeneteken kívül csak egy dolgot érint érzékenyen: a jelszavakat.
Amikor ezt a posztot írom, már lecsengett a BSI-jelszóbotrány. Természetesen nagy baj, hogy egy ilyen nagy oldal olyan alapvető védelmi intézkedést nem tartott be, hogy jelszavakat soha nem tárolunk kódolatlanul (az RszMail-nél ez pipa: “A jelszavadhoz nem férünk hozzá, azt csak kódoltan tároljuk. Ezért ha elfelejted a jelszavadat, újat kell kérned, a régit nem tudjuk elárulni. [egvemaradt.hu/info.php]”), de azért egyvalamire mégiscsak jó volt: a felhasználókat is ráébresztette (talán), hogy milyen fontos eltérő jelszavakat használni a különböző oldalakon.
Hm… Egy kicsit elkalandoztam a poszt eredeti kérdésétől, de azt hiszem, ezt most megengedem magamnak, és nem szerkesztem át az egészet. Végül is ez az egész HTTPS-dolog elég jól alátámasztja a kéregetős vonalat, nem?
Végezetül annyit még, hogy van az RszMail-nek PayPal fiókja, amire lehet küldeni adományokat. Ezekkel négy dolog történhet (nagyjából ebben a prioritási sorrendben):
- szerverbérlésre költöm
- SSL tanúsítványra költöm
- elmulatom a srácokkal, akik segítenek nekem a fejlesztésben (erről majd később)
- az RszMail népszerűsítésére költöm (
lesz repi, erről is későbbUPDATE: már van! 🙂 )
— Itt van vége a kéregetésnek. —
Nos, hát ez lenne a nagy “üzleti tervem”. A köz javára tenni, közben a technológiával bosszankodni, és közben tanulni, tanulni, tanulni. 🙂
Ez itt a poszt vége, nem kell tovább olvasnod. 🙂
276. Megpróbálod válladdal betörni az ajtót, de meghallod a közeledő troglodyták rikácsoló hangját. Csapdában vagy. Előhúzod kardodat, de a troglodyták körülvesznek, megfeszítik íjukat és nyílzápor zúg feléd, mely végez veled. Élettelen tested a Halállabirintus mélyének földjére hull.
317. Kardoddal kitapintva a vágat oldalát, vakon botorkálsz előre a csúszós iszapban. Mintha időtlen idők óta követnéd kanyarjait és hajlatait, és kíváncsi vagy, hová vezet. Hirtelen meghallod, hogy valami csúszik előtted. Megdermedsz a félelemtől, kétségbeesetten meresztgeted a szemedet a koromfekete sötétségben. Mielőtt felfoghatnád, mi is történik, egy újabb Sziklahernyó állkapcsa ragadja meg a nyakadat. Annak a Sziklahernyónak a társa ez, amellyel végeztél, és a kardodon levő vér szaga vonzotta. Egyre keményebben szorít, míg végül nyaki csigolyád úgy pattan el, mint egy vékony gally. Kalandod itt véget ér.
Hogy mit honnan:
- DLC magyarázat: imgur
- Sziklahernyó és troglodyták: Ian Livingstone: Halállabirintus (brutális volt, mindig meghaltam benne, a traumát máig nem tudtam feldolgozni) 🙂
- Őszinte crowdfunding-hipster a Pinterestről
- Kövér figyelmeztetés a Super Userről
- “Учиться учиться и еще раз учиться” от Ленина