A vendégposzt alapesetben ugye az a poszt, amit nem a blog szokásos szerzője, hanem egy vendégszerző ír. Na most ebben az esetben nem a szerző a vendég, hanem a téma, a most következő dolgok ugyanis nem az Égvemaradt.hu-val, hanem egy másik weboldallal estek meg. Azt az oldalt nem én készítem, hanem egy kedves barátom, akit az egyszerűség kedvéért nevezzünk most Liának. Az oldalt pedig – szintén az egyszerűség kedvéért – nevezzük lia.hu-nak.
Történetünk egy szép, kellemesen meleg februári napon vette kezdetét, amikor Lia rám írt, hogy “van egy kis gond”, ugyanis minden jel arra utal, hogy feltörték a WordPress-alapú honlapját, a lia.hu-t. No, ennek a fele sem tréfa, gyorsan rá is néztem az oldalra, de nem láttam semmi gyanúsat.
Kis kitérő: azt érdemes rólam tudni, hogy egy ideje már a kiberbiztonságból élek. Ez a fő- és a mellékállásom is, magánszemélyként is érdeklődöm is a téma iránt, és ha valaki más azzal fordult volna hozzám, hogy egy barátja segítséget kért tőle valami hekkertámadással kapcsolatban, akkor csípőből el tudtam volna mondani neki a nyomozás elkezdéséhez szükséges óvintézkedéseket: virtuális gép, tűzfal, antivírus, vegyvédelmi öltözet, azt’ hajrá. Nna, ehhez képest sikerült nekem azonnal megnyitni a lia.hu-t, a saját gépemről, a saját böngészőmből.
Nemhiába mondják, hogy a suszter gyerekének lyukas a cipője… Mondjuk rendszeresen frissített böngészőm, tűzfalam meg antivírusom legalább van.
Az oldal első blikkre tényleg rendben volt, de akármelyik linkre kattintottam, csak ugyanarra a statikus főoldalra kerültem vissza. Gyorsan megnyomtam a hackergombot, de ott sem láttam semmi érdekeset, úgyhogy inkább másik irányból közelítettem meg a problémát.
Ha nagyon hivatalos akarok lenni, akkor azt mondhatom, hogy eddig ún. black box tesztelést végeztem, azaz a rendszerbe nem belepiszkálva (a dobozt nem kinyitva) vizsgáltam annak működését, viselkedésanalízist folytattam. Viszont én már kisgyerekkorom óta sokkal inkább a white box megközelítést érzem magaménak (mondjuk így azt, hogy gyakran szétszedtem dolgokat, amiket aztán néha nem tudtam összerakni), úgyhogy inkább kinyitottam azt a bizonyos dobozt, és gyorsan be-FTP-ztem a tárhelyre, hogy fájlszinten nézhessek szét.
Eltelt egy újabb év. Illetve hát jó, egy kicsit több, merthogy három éve került ide a legutóbbi bejegyzés.
Három év!
Az azért webes mércével elég durva, legalábbis nekem, és legalábbis ahhoz képest, hogy már a tavalyi év végén is terveztem írni ide egy frissítést, hogy mi történt az elmúlt időszakban az Égvemaradt.hu háza táján. Az mondjuk nem lett volna egy hosszú poszt, mert kimerült volna egy teljesen érdektelen tárhelyváltásban, meg abban, hogy a műszaki vizsga érvényességi idejét (lásd az előző bejegyzésben) most már regisztrációkor is azonnal meg lehet adni.
Azt hiszem, érthető, miért foglalkoztam inkább a karácsonyi bejglivel a blog helyett.
Ha ránézek az elmúlt évek commitjaira, akkor azt látom, hogy ’17 vége óta tulajdonképpen nem történek a felhasználók által is észrevehető változások. Ezt többféleképpen is fel lehet fogni, de én szeretem úgy gondolni, hogy ez azt támasztja alá, hogy az oldal stabilan nyújtja azt a szolgáltatást, amiért létrejött, és egyszerűen úgy jó, ahogy van. 🙂
Persze létezhet egy olyan narratíva is, amely szerint az oldal régi, ne adj’ isten elavult – hiszen 2020 végén járunk, a webes trendek pedig nagyjából már akkor elhúztak az oldal mellett, amikor… Áhh, lássuk be, az Égvemaradt.hu soha nem használta az aktuálisan felkapott megoldásokat. Én így vagyok punk.
Na de akkor mi változott most? Mi történt, amit feltétlenül ki/le kell blogolni, mi kívánkozik annyira a képernyőre (vagy inkább ki belőlem)?
Ebben az évben két “égvemaradtos” történés volt velem, áprilisban a push értesítések körül, az év második felében pedig az Autóőrszem megjelenésével kapcsolatban. Mindkettő elég érzékenyen érintett, és valószínűleg azért nem írtam belőlük azonnal blogbejegyzést, mert számomra sajnos nem sikertörténetek. A push-sal kezdem, az a rövidebb.
Bő egy hónap nyári szünet után üdv újra a blogon! Posztok hiányában azt gondolhatnád, hogy az augusztus uborkaszezon volt, de ez nem igaz. Sőt! Augusztusban és szeptember elején a következők történtek:
Egy évesek lettünk
Nevet váltottunk
Megújult az SSL tanúsítványunk
Tárhelyszolgáltatót váltottunk
És hogy hogyan érint ez Téged?
Egy évesek lettünk
Örülj velünk! Ezen kívül más dolgod nincs. 🙂
Nevet váltottunk
Sok jótanácsot megfogadtunk a tesztév alatt, de az egyik legnagyobb horderejűvel, a névváltoztatással eddig vártunk. Most viszont, hogy egy éves lett a projekt, ideje volt elhagyni a munkacímet, a nehezen megjegyezhető, sokak szerint nyakatekert logikájú RszMail-t, és felvenni a sokkal felhasználóbarátabb, magával az URL-lel is harmonizáló Égvemaradt.hu-t. Így most már nem lesz többé kérdés, hogy mit jelent a név, illetve hogy akkor most miért nem az rszmail.hu címen érhető-e el az oldal — a keresztelővel ezt a kétértelműséget sikerült teljesen tisztázni.
Az oldalon most már mindenhol az új névvel találkozhatsz, a blogon viszont nem írom át a régi bejegyzéseket, mert az a történelem meghamisítása lenne, meg amúgy is rengeteg (felesleges) munkát jelentene. 🙂
Megújult az SSL tanúsítványunk
Mivel a Let’s Encrypt által kiállított SSL tanúsítványok 3 hónapig érvényesek, szeptember elején újra kellett igényelni egyet. Elképzelhető, hogy az internet valamelyik bugyra (a tárhelyszolgáltató, a DNS szerverek, valaki más útközben, a böngésződ vagy akármi, nem akarok hülyeséget mondani) elgyorsítótárazta az előzőt, ami ugye már lejárt. Ha az egvemaradt.hu betöltésekor hibaüzenetet kapsz, akkor ürítsd ki a böngésződ gyorsítótárát, és próbáld újra. Ha ezután sem működik a dolog, akkor írj nekünk!
Tárhelyszolgáltatót váltottunk
Ez csak FYI, egyáltalán nem érinti a felhasználókat.
Ez a poszt most csak ennyi, a jövőben majd igyekszem érdekesebb eseményekről beszámolni. 🙂
Nemrég egy alig észrevehető, mégis nagyon fontos változás került be az RszMail-be. A szemfüleseknek talán feltűnt, hogy a böngésző címsorában megjelent A Zöld Lakat:
Ez nem kisebb dolgot jelent, mint azt, hogy az oldal mostantól biztonságos kapcsolatot biztosít a szerver és a böngésződ között!
Néhány korábbi posztban (pl. ebben) érintettem már ezt a témát, így most nem szeretnélek untatni a részletekkel, de a lényeg, hogy ezzel az új, jövőbe mutató* fejlesztéssel új kapuk tárultak ki az alkalmazás előtt. Ezek közül az első és legfontosabb a push értesítések lehetősége, később pedig további kényelmi és/vagy hasznos funkciókat tudunk beépíteni (pl. rendszámfelismerés fényképről).
A biztonságos kapcsolat örömére ki is kapcsoltam a Firebase appot, ami eddig a push értesítéseket kezelte (mondjuk teljesen megszüntetni nem volt szívem, úgyhogy az odatévedőket most udvariasan átirányítjuk a Főoldalra). 🙂
További előny, hogy mostantól a jelszavad is biztonságosan utazik a hálózaton, így sikerült még egy támadási lehetőséget elvennünk a gonoszoktól. Ettől függetlenül továbbra is javasoljuk, hogy minden fiókodhoz — tehát az RszMail-hez is — eltérő jelszót használj.
A nemkocka látogatók itt abbahagyhatják az olvasást, a kockáknak pedig még némi háttérinfó. 🙂
Nem lenne korrekt nem megemlíteni a posztban a Let’s Encrypt nevű kezdeményezést, amely lehetővé tette az oldal HTTPS-esítését. Ez a (nagy, neves szervezetekből összeállt) csoport a teljesen titkosított internetet tűzte a zászlajára, és ezért hajlandóak tenni is (és nem úgy, mint a böngészőfejlesztők, akik egyszerűen letiltják az egyes funkciókat titkosítatlan kapcsolaton keresztül -.-).
Our goal with Let’s Encrypt is to get the Web to 100% HTTPS.
A Let’s Encrypt által kiállított tanúsítvány ingyenes, de semmivel sem rosszabb a fizetős verzióknál — egyszerűen végre valaki felismerte, hogy amíg néhány nagy cég bevételi forrásként tekint az SSL tanúsítványokra, addig nem fog tömegesen elterjedni a biztonságos kapcsolat.
A teljesség kedvéért idekívánkozik a Get HTTPS for free! is, amely — bár a neve egy ájfonnyerős/lehúzós/átverős oldalt sejtet — a Let’s Encrypt egy felhasználóbarát** wrappere, és amely nélkül esélytelen lett volna a HTTPS-re való átállás. Persze biztosan bennem van a hiba, de az én cPanelhez szokott, tunya agyamnak még ez a wrapper is egy izzasztó akadályfutás volt, de a kemény munka meghozta a gyümölcsét, és végül sikerült megszerezni a tanúsítványt. 🙂
Ha Te is hasonló feladattal találod szembe magad, és hozzám hasonlóan megilletődsz az SSL, TLS, CSR és hasonló HBR-ek láttán, szólj, és szívesen segítek. 🙂
Ui.: Ebbe a posztba valahogy bele akartam keverni A Zöld Lakat analógiájára a Zöld Lámpást is, de aztán arra jutottam, hogy számomra annyira szörnyű élményt nyújtott a film, hogy inkább nem riasztom el az amúgy is gyér közönségemet ilyen utalásokkal. Remélem, értékeled, hogy megkíméltelek ettől az erőltetett párhuzamtól. 🙂
*: ez bullshitnek hangzik, pedig nem az.
**: vagy nevezzük inkább kevésbé felhasználógyűlölőnek 🙂
tl;dr: Van push értesítés mobil és asztali Chrome-ra! Jejj!
Úgy kell, hogy:
bejelentkezel,
belépsz a Műszerfaladra,
legörgetsz a Push értesítések részhez,
ráböksz a nagy “Push értesítések beállítása” gombra,
megadod az eszközöd nevét,
bepipálod a “Kérek push értesítést…” jelölőnégyzetet,
ha megjelent alul valami hosszú, szürke szöveg, akkor
ráböksz a nagy “Mentés és bezárás” gombra,
és kész!
UPDATE: Ez egy kicsit megváltozott, most már közvetlenül a Műszerfaladon tudod kezelni a push értesítéseket.
Ha nemcsak ez, hanem a háttér is érdekel egy picit, akkor olvass tovább. Akkor és csak akkor.
Először is bocsánatot kérek a cím borzalmas szójátékáért, nem vagyok rá büszke. De hogyan lehetne másképp kezdeni egy push értesítésekről írt posztot? 🙂
Azért jó a cégünknél dolgozni, mert az ember sok hozzá hasonló, problémamegoldásra kihegyezett mérnökemberrel van körülvéve. Ha olvastad az előző bejegyzést, akkor tudhatod, hogy a push értesítések összerakásánál — akkor látszólag — áthatolhatatlan falba, a HTTPS hiányába ütköztem. Ezt nyilván nemcsak a blogon, hanem a munkahelyi beszélgetések alkalmával is elsírtam a többieknek, így kaptam egy remek tippet (kösz, Zoli!): a Firebase használatát. Ez egy olyan* szolgáltatás, ahová fel lehet tölteni egy webappot, amely aztán (most jön a — számomra — fontos rész!) HTTPS-en keresztül, a legújabb előírásoknak megfelelően lesz elérhető.
Bár a tipp úgy szólt, hogy dobjak el mindent, és költöztessem át az egész RszMail-t a Google által nyújtott platformra, én azért ennél egy fokkal óvatosabb voltam. Egyrészt már megvolt a teljes architektúra, nem akartam mindent elölről kezdeni, másrészt szeretem teljes egészében kézben tartani az oldal működését, a biztonságérzetemhez pedig még szükségem van az oldschool FTP-n feltöltős, cPanelen kattintgatós felületre (a Firebase ilyet nem ad).
Tehát a feladat az volt, hogy írjak egy, az RszMail-hez tartozó, azt kiegészítő webappot, amely technikailag teljesen független az RszMail központi részétől, és mindössze annyit tud, hogy feliratkoztatja a felhasználókat a push értesítésekre, és kezeli azokat. Szóval technikailag egy teljesen idegen alkalmazás értesítéseire kell feliratkozni, igen. 🙂
Természetesen a felhasználói élményt (van ilyen?!) meg kellett őrizni, ezért az app pontosan úgy néz ki, mint maga az RszMail, és arról is gondoskodnom kellett, hogy a külső app és a központi alkalmazás között sima legyen az átjárás. Ja, de ezzel azért ne is nyissak (nagy) biztonsági rést a rendszeren. Remélem, legalább ez utóbbi sikerült. (Várom a ‘; DROP TABLE Users; –– nevű eszközöket…) 🙂
Az ötlet végül csak félig jött be — a Firebase a Google push motorját, a Google Cloud Messaging-et használja (időközben átnevezték Firebase Cloud Messaging-re, és minden bizonnyal sokat alakítottak is rajta, de ez most mindegy), amely egyelőre (?) csak Android és iOS natív appokkal, illetve Chrome böngészővel működik. Szerencsére utóbbinak legalább mobil és asztali verziójával is.
Szóval jelenleg ott tartunk, hogy ha (viszonylag friss) Chrome-ot használsz**, akkor azonnal értesülhetsz a rendszámodra érkezett üzenetekről, akkor is, ha a levelezőkliensed nem pittyeg minden egyes új levélnél. Ez azért elég jó! 🙂
Természetesen van még hová fejlődni: implementálnom kell a Web Push API-t, ami már egy W3C-kompatibilis megoldás lesz, és akkor már Firefoxon, Safarin, meg minden egyeben fognak suhanni az értesítések (már ha maguk a böngészők is veszik a fáradságot, hogy szintén implementálják). Ehhez viszont kell az előző posztban említett HTTPS, szóval ez még egy kicsit arrébb van.
Hű, már 500 szó fölött járunk, lassan be kell zárni ezt a posztot. Pedig azt terveztem, hogy az RszMail (HTTP) – Firebase app (HTTPS) közötti átjárásról is írok! Meg a service workerekről, meg az általuk felmerülő kockázatokról, meg a meghiúsult AJAX hívásaimról, meg az XSS támadásokról, meg a CORS-ról, meg-meg-meg… De talán jobb is így, hogy nem, mert ez már tényleg csak a nagyon kockákat hozza lázba úgy, mint engem… Számomra nagyon érdekesek voltak ezek a témák! 🙂 De akkor erről majd személyesen, ha egy beszélgetés fonala úgy hozza…
*: Nem, a Firebase ennél sokkal több, de nekem most ez volt a lényeg. Olvass utána, amúgy király dolog! 🙂
**: Persze csak állandó internetkapcsolattal rendelkező okostelefonról vagy számítógépről, csodát tenni nem tudunk.
Miért érte meg nekem kifejleszteni és miért éri meg fenntartani az oldalt?
Ha az oldal használata mindenkinek ingyenes, akkor honnan lesz bevételem?
Vagy valahol mégis el van dugva valamilyen költség?
Ha Benned is felmerültek ezek a kérdések, akkor hadd nyugtassalak meg: nincs eldugott költség, mára divatossá vált in-game-purchase vagy fizetős DLC.
De akkor mi az üzleti tervem? Hiszen azt mindenki tudja, hogy manapság már semmi nem létezhet üzleti terv nélkül. Vagy… vajon az RszMail-re is igaz, hogy “Ha nem találod a terméket, amit el akarnak adni neked, akkor te vagy a termék“?!
Nem, nem te vagy a termék. Itt tényleg nincs termék. És a legelső kérdésre válaszolva: ez nekem nem éri meg — anyagilag.
Az RszMail az én apró hozzájárulásom a fejlődéshez, egy közhasznú kezdeményezés, és mint ilyen, piaci alapokon nem állná meg a helyét. Tekinthetjük egy olyan biznisznek, ahol a befektetett munka és pénz nem több pénzt fog hozni, hanem odafigyelést, megkönnyebbülést, mosolyokat, nekem pedig ezen keresztül jó karmát. A nirvánára gyűjtök… 🙂
— Most kéregetés jön, akit ez zavar, az lapozzon a 317-re. —
Ennek ellenére bolond lennék elhessegetni a segítő szándékot, ráadásul be kell látnom, hogy az igazán ütős szolgáltatások nem fognak menni további anyagi befektetés nélkül. Az első ötletem az SMS-küldés volt, de azt csak kb. 20 Ft-os darabáron tudnám megtenni, ennyi közhasznúság sajnos már nem fér bele. A másik irány, hogy inkább Push üzenetet küldök — a fogadásukra képes — felhasználóknak, azt meg tudom tenni ingyen.
— Kocka sírdogálás jön, akit ez zavar, az lapozzon a 276-ra. —
Igen ám, de a Push üzenetek meg nem hajlandóak átmenni titkosítatlan (nem HTTPS) kapcsolaton, szóval ehhez a feature-höz bizony SSL tanúsítványra van szükség. Nosza, szerezzünk hát egy tanúsítványt — ha pedig senki nem akar adni ingyen, akkor írjunk egy self-signed-ot.
Kis kitérő azoknak, akik egy kicsit kockák (ezért olvassák ezt), de nem nagyon kockák (ezért nincsenek képben a HTTPS-sel — megjegyzem, én sem, I’m not an IT guy). Aki képben van vele, az lapozzon a 42-re.
A HTTPS kapcsolat annyiban különbözik a sima HTTP-től (legalábbis az a lényeg), hogy a böngésző és a szerver közötti kommunikáció SSL-lel titkosított, azaz elvileg kívülről nem hallgatható le. Ilyen kapcsolat létrehozásához a szervernek fel kell tudnia mutatnia egy SSL tanúsítványt, ebben a tanúsítványban van az a kulcs, amely elrejti az adatokat a kíváncsi szemek elől, amíg azok a böngésző és a szerver között utaznak.
A tanúsítvány azonban még ennél is többet tud: igazolja, hogy a szerver tényleg az, akinek kiadja magát. Tehát nem csak azt biztosítja, hogy az adatok biztonságban legyenek, amíg a szerverhez kerülnek, azt is garantálja, hogy a megfelelő szerverhez kerüljenek.
Ezt az igazolást egy úgynevezett megbízható harmadik fél állítja ki és foglalja bele az SSL tanúsítványba (ezt hívják aláírásnak) — pénzért. Nincs is ezzel semmi baj addig, amíg a titkosítandó forgalom végül valamilyen bevételt generál, de az RszMail-lel nem ez volt a helyzet.
Na de még mindig nem volt minden veszve — létezik ugyanis egy lehetőség, amellyel akárki gyárthat magának SSL tanúsítványt, majd önmaga aláírhatja ezt, ezek lesznek a self-signed tanúsítványok. Ez kb. a csekkfüzetnek felel meg, amikor valakinek a bank igazolása nélkül is elhisszük, hogy elég pénze van ahhoz, hogy bármikor beválthassuk a tőle kapott csekket. A self-signed tanúsítványok tehát alkalmasak a titkosított kapcsolat felépítésére (az adatok biztonságosan utaznak…), de alkalmatlanok a szerver hitelt érdemlő azonosítására (… de lehet, hogy a rosszfiúkhoz). Ezt a legtöbb böngésző egy kövér figyelmeztetéssel szokta honorálni, de úgy voltam vele, hogy egy próbát megér a dolog, legfeljebb
kiírom az oldalra, hogy “Léccilécci okézd le a nagy kövér biztonsági figyelmeztetést” (nem szép megoldás, de láttam már jó pár ilyet, a koliban meg aztán végképp mindennaposnak számított),
így legalább biztosítok valamiféle titkosítást a pőre HTTP helyett (ezt a kocka látogatóim talán értékelték volna).
Ezen a ponton volt egy pár érdekes vitám az egyik munkatársammal, és be kell vallanom, nem tudok neki nem igazat adni. Mert ugye
HTTP
HTTPS (self-signed tanúsítvánnyal)
megbízhatatlan szerver
megbízhatatlan szerver
titkosítatlan kapcsolat
titkosított kapcsolat
a felhasználó tudatában van a veszélynek biztonság hiányának
a felhasználónak hamis biztonságérzete lehet
Ráadásul ha ráveszem a látogatóimat, hogy bízzanak meg csak úgy, vakon az én általam aláírt tanúsítványban, akkor azzal valójában arra nevelem az emberiséget, hogy ne követeljék meg a tényleges, ellenőrizhető tanúsítványok használatát — ami viszont épp az egész tanúsítvány-sztori alapja. Ezzel a lépésemmel lehet, hogy több kárt tennék, mint amennyit segítek a titkosított adatforgalommal.
Szóval lehetne itt elmélkedni, hogy jobb-e az egyértelmű “fenyegetettségnél” a hamis biztonság egy kis tényleges biztonsággal megtoldva, de… (kis kitérő vége)
42. Nem árulok el nagy titkot, ha azt mondom, hogy sajnos egyáltalán nem jött össze a HTTPS. Történt ugyanis, hogy miután jó pár órát beleöltem abba, hogy megcsináljam a self-signed tanúsítványomat (mondtam már, hogy én csak egy egyszerű villamosmérnök vagyok?), kiderült, hogy nem tudom használni, mert az oldal egy shared-hosting tárhelyen ül. Hogy ez miért probléma, az már bőven túlmutat ezen a poszton (igazából az előző bekezdések is), de akit érdekel, az guglizzon rá, én már belefáradtam a küzdelembe.
— Itt van vége a kocka sírdogálásnak. —
Szóval egyelőre marad a HTTP. Ez a Push üzeneteken kívül csak egy dolgot érint érzékenyen: a jelszavakat.
Amikor ezt a posztot írom, már lecsengett a BSI-jelszóbotrány. Természetesen nagy baj, hogy egy ilyen nagy oldal olyan alapvető védelmi intézkedést nem tartott be, hogy jelszavakat soha nem tárolunk kódolatlanul (az RszMail-nél ez pipa: “A jelszavadhoz nem férünk hozzá, azt csak kódoltan tároljuk. Ezért ha elfelejted a jelszavadat, újat kell kérned, a régit nem tudjuk elárulni. [egvemaradt.hu/info.php]”), de azért egyvalamire mégiscsak jó volt: a felhasználókat is ráébresztette (talán), hogy milyen fontos eltérő jelszavakat használni a különböző oldalakon.
Hm… Egy kicsit elkalandoztam a poszt eredeti kérdésétől, de azt hiszem, ezt most megengedem magamnak, és nem szerkesztem át az egészet. Végül is ez az egész HTTPS-dolog elég jól alátámasztja a kéregetős vonalat, nem?
Végezetül annyit még, hogy van az RszMail-nek PayPal fiókja, amire lehet küldeni adományokat. Ezekkel négy dolog történhet (nagyjából ebben a prioritási sorrendben):
szerverbérlésre költöm
SSL tanúsítványra költöm
elmulatom a srácokkal, akik segítenek nekem a fejlesztésben (erről majd később)
az RszMail népszerűsítésére költöm (lesz repi, erről is később UPDATE: már van! 🙂 )
— Itt van vége a kéregetésnek. —
Nos, hát ez lenne a nagy “üzleti tervem”. A köz javára tenni, közben a technológiával bosszankodni, és közben tanulni, tanulni, tanulni. 🙂
Ez itt a poszt vége, nem kell tovább olvasnod. 🙂
276. Megpróbálod válladdal betörni az ajtót, de meghallod a közeledő troglodyták rikácsoló hangját. Csapdában vagy. Előhúzod kardodat, de a troglodyták körülvesznek, megfeszítik íjukat és nyílzápor zúg feléd, mely végez veled. Élettelen tested a Halállabirintus mélyének földjére hull.
317. Kardoddal kitapintva a vágat oldalát, vakon botorkálsz előre a csúszós iszapban. Mintha időtlen idők óta követnéd kanyarjait és hajlatait, és kíváncsi vagy, hová vezet. Hirtelen meghallod, hogy valami csúszik előtted. Megdermedsz a félelemtől, kétségbeesetten meresztgeted a szemedet a koromfekete sötétségben. Mielőtt felfoghatnád, mi is történik, egy újabb Sziklahernyó állkapcsa ragadja meg a nyakadat. Annak a Sziklahernyónak a társa ez, amellyel végeztél, és a kardodon levő vér szaga vonzotta. Egyre keményebben szorít, míg végül nyaki csigolyád úgy pattan el, mint egy vékony gally. Kalandod itt véget ér.