переезд, белка, девайс

опубликовано: 19.03.2012 <весь блог>

Понедельник

08:48

Ну что, смертнички, поехали. Комментировать и что-либо делать на сайте (кроме просмотра, естественно) в течение пары-тройки часов будет невозможно. А там, авось, заведётся всё.

09:35

Упс - с моим заебательским, но временами странным коннектом от G-service, трансфер сайта на новый сервер займёт больше семи часов. Но отступать всё равно некуда. Полазьте пока, что ли, по старому контенту, почитайте. Я, блять, столько лет его для вас писал.

13:11

50%!!! Мы всё ближе к нирване.

15:33

Шведская книжка для детей про говно. Немецкий кротик с его "Кто насрал мне на голову", похоже, отдыхает. ^{[ссылка, ru-marazm.livejournal.com]}

Доставляют комментарии. Кто-то даже у нас считает это нормальным; я живу в одной стране с этими людьми. Вывод: для того, чтобы похожее появилось и у нас - надо, чтобы нормальные люди ничего не делали.

17:03

Архив с сайтом загружен, начинаю распаковку. Набираю команду в терминале, в доме вырубается свет. Заебись начало, чо.

17:14

Поехали, с-сука, поехали... DNS меняется.

19:32

99% сайта пашет. Почему 99%? Выяснилось, что связка apache+nginx приводит к хитрым последствиям. Типа когда не работает защита от вставки файла с другого сайта, например - nginx игнорирует .htaccess файлы при отдаче статического содержимого типа музона и архивов. PHP5 тоже подложил свинью (хотя на виртуальном хостинге вроде он и был). В общем, смотреть за всем этим ещё дня три. Просьба, кому не лень - зарегайте фиктивного юзера, просто сам процесс регистрации с подтверждением пройдите и дальше не надо. Убедиться, что работает регистрация. Желательно использовать при регистрации уёбищные ящики типа mail.ru, inbox.ru и т.п. - всего этого сраного консорциума. :)

21:21

Ну и отпишитесь те, у кого сайт ранее не открывался ваще. Ща должно быть Ок.

Вторник

09:01

Ну что, переезд можно считать успешным. А я теперь ещё и линукс-админ, хотя мне эта опция дико не нравится. Как-то оно проще было, когда за тебя думали на виртуальном хостинге. Админы Majordomo не дураки - они как-то настраивали nginx в связке с apache так, что работали правила .htaccess для статики. Или nginx там просто не участвовал для статики? Хотя нахуй он нужен был тогда... В общем, не пойму.

Не работает защита прямых ссылок. То есть, кто-нибудь на левом сайте может сделать прямую ссылку на mp3-файл с моего - и мой отдаст. Или на картинку. Масштабы проблемы оценить трудно - надо мониторить логи, а мне неохота. Да и проблема ли это - на данный момент уже непонятно; ведь сайт и так достаточно популярен. Пущай качают. Настроить nginx на защиту можно, но очень супер-геморройно. Проще поступить по принципу "сынок, работает - не трогай".

Значительно уменьшилось количество спама в ящике - чуть ли не до нуля. Его и раньше-то было немного, но он был. Видимо, грейлистинг у меня посвежее будет, чем на виртуалке стоял. В почтовых логах видно - ломятся гады; в ящике - благодать.

Загрузка сервера со всеми проектами порядка 12-15%. После подключения этого сайта сильно возрос исходящий трафик - музыку слушают много; но это не проблема. Надеюсь, запас достаточен для принятия значительно больших толп посетителей; впрочем, им пока и взяться особо неоткуда. Но готовым быть надо.

10:03

Познавательное для знающих apache. :)

Order Allow,Deny
Deny from 192.168.0.100
Allow from all

Эта конструкция, будучи помещённой в .htaccess корня вебсайта, запрещает доступ к нему с IP-адреса 192.168.0.100, в то время как всем остальным - разрешает. Так вот, у меня это не работает. Сам .htaccess точно читается - стоит написать в нём косяк, как сайт перестаёт открываться с ошибкой Internal server error. Если написать Deny from all - запрет работает на всё. На отдельный IP - хоть обосрись. Не работает первичная функция, которой лет 15, если не больше. В самом новом супер-обновлённом линупсе. Люблю опенсорс, всей душой.

11:18

Что хотели сказать?

uncensored пиво?

Может, "uncensored" - нефильтрованное? :)

14:24

Начал замечать за собой нервное истощение. Пойду прочь от компа, прогуляюсь.

16:59

Подостыл, подумал о смысле жизни, купил в магазине жратвы. Мозг успокоился.

Пока ебусь тут с серверами всякими, происходят события. Два самых "главных" - выступление каких-то "пёзд" в храме и показ по каналу НТВ какого-то репортажа, взбудоражившего интернет-хомячков аж до усрачки.

Что можно сказать по пёздам? Поглядев на их одухотворённые лица, опечалился. У них ещё и дети есть. Несмотря на моё вполне определённое отношение к РПЦ и религиям в целом, считаю - деяние непотребное. Не еби мозг там, где тебя не просят.

Ну про НТВ вообще смешно. Вот уже полгода, как "оппозиционные" "лидеры" публикуют в инете галимый компромат на текущую власть, занимаются оскорблениями и клеветой, снимают колхозные ролики с песнями и плясками, да и просто клоунируют в своё удовольствие. Стоило применить обратное воздействие - полезло. Оказывается, демократия работает только в одну сторону: думающих по-другому "демократы" не приемлют.

Это на фоне того, кстати, как СШП в открытую говорят о "финансировании демократии в России". Особенно и не скрываясь.

18:31

Все профессии - говно. ^{[ссылка, ljfun.livejournal.com]} Сильно взоржал с сисадминов, веб-программистов, консультантов и риелторов.

Среда

12:42

Белка. Из неудавшегося. Вся носяра в земле.

белка с грязным носом

Четверг

12:18

Прописка - охуеть, как смешно.

смешная прописка

13:03

Видео со шлагбаумом (thanks to tramvision.ru). ^{[ссылка, www.youtube.com]} Оно не то, чтобы смешное - оно реально удивительное. Как человек не замечал охуенной палки слева, падающей ему на голову? Даже если принять во внимание то, что он смотрел немного в пол - масштабы не те.

Пятница

10:47

Заюзал мега-ламповый девайс - тот самый.

ART Tube MP

В принципе, зашибись. Уровень можно спокойно выставить относительно микшерного входа. Лампа, видимо, и вправду задействована в тракте - чувствуется лёгкая, "джентльменская" компрессия. Голос зазвучал плотней и веселей. Постараюсь на следующей неделе уже выставить результат - это будет песня про весну. Как всегда, с "лёгким налётом сарказму".

11:55

Благодаря помощи уважаемого ZlydenGL, защита на прямую скачку файлов снова работает. Пока частично - только на mp3 и zip. При попытке разместить прямую ссылку на каком-либо ресурсе, вместо искомого файла подсовывается другой - гораздо более мелкий, где я в привычной форме поругиваю нерадивых. К сожалению, Firefox подложил свинью: всякие flash-плейеры он запускает без http-referer, поэтому, если кто-то на своём сайте сделает вставку моего файла в flash, то в Firefox защита не сработает. В других браузерах (протестированы Opera и Chrome) всё работает.

Пока думаю о моральной подоплёке запрета вставки картинок с сайта. По идее - надо; но пока слишком много трафика от этого не генерируется - это же не mp3.

Суббота

17:10

Это. Если что. Я подзабил на Г+. Надежд он не оправдывает, неудобно там всё и ебануто. Нормальный толковый пост со ссылками не написать. Может, буду туда периодически что-нибудь кидать, но в основном сосредоточусь на здесь+ЖЖ. Хотя в ЖЖ тоже не всё публикую, но оттуда хоть фидбэк есть, какой-никакой.

Воскресенье

11:31

Привет из прошлого - сотовые у нас у обоих перевели время. Причём у меня включена синхронизация с серверами ЕТК - видимо, у них косяк; хотя и не факт. Считаю мудаками тех, кто перевод придумал.

19:47

Жалко, что в нетрезвом виде нельзя нормально сводить музыку. У ушей меняется восприимчивость. Вот выпил чуть-чуть; вполне в адеквате. А сводить музыку - хуй. Как эти всякие там звёзды записывали свои хиты, будучи вусмерть ужратыми и наколотыми? Как они вообще творят в состоянии изменённого сознания? А хер их знает, блеать.

21:42

Хотите получить настоящее удовольствие? Посмотрите индийский фильм "Endhiran" ("Робот"). Это гремучий пиздец, уверяю - вы будете довольны. В DC и в торрентах оно есть.

23:51

Впечатление, что какая-то хуйня ополчилась против меня. Переехал на новый сервак - посещаемость упала. Мои видео с импровизациями на ютубе грузятся просто никак, в то время как любая поеботина оттуда же прекрасно показывается. Интернет, ты не охуел, часом?

комментариев: 85

просмотров: 1334	глас народа: +6 / -0	+^зачёт ^{незачёт} голос будет учтён в рейтинге

▶ Понравилось? Поддержи! ◀

◀ предыдущая запись
опенсорс, музон, сириус

следующая запись ▶
Из рук в жопу

63 siesta21 свой человек	26.03.2012 00:02
По фильму вопрос. 1 - Как/где откопал? 2 - Как тебе кино (почему пиздец то)? По мне отличная фильма. Очень удивили, очень. Голливуд все дрянь снимает а тут такое из Индии... Удивили.
+0

64 SaAnVi tzar	26.03.2012 06:41
> Как/где откопал? Ролик на ютубе был, там название, ну и т.д. > Как тебе кино (почему пиздец то)? Пиздец - он в хорошем смысле этого слова. В положительном.
+0

65 CTPAHHuK свой человек	26.03.2012 12:55
Подумал, что прямой доступ к музыке можно ограничить через cookie. Схема примерно такая: 1) страница выбора скачать или слушать генерит печенюшку минут на 5-10; 2) nginx если получает такую печенюшку от клиента, то отдает честный файл; 3) если не получает, то отдает фейк или перенаправляет на страницу из 1-го пункта. Вроде бы не должно сложно реализовыватся.
+0

66 SaAnVi tzar	26.03.2012 13:02
У меня похожая схема на объявлениях работает. Косяков много - то с печеньками в браузере у клиента что-нибудь не так, то их рьяный антивирус/файрвол вырезает... В общем, гемор. Но если на объявлениях клиенты сами стараются устранить эти проблемы, ибо им надо, то тут вряд ли будут... Нажмут, увидят фейк, и свалят навсегда. Мне пока посетителями расточительно раскидываться. :)))
+0

67 ZlydenGL знаток	26.03.2012 13:04
Не прокатит. Сгенерировать нужную куку через флеш-плеер - пара пустяков. Самый простой вариант такой реализации - скрытый ифрейм, который грузит нужную страницу. В общем тут Толя прав - полностью защититься от желающих слить не получится, особенно с поправкой на то, что много контента уже в сети валяется.
+0

68 SaAnVi tzar	26.03.2012 13:13
Да просто с этими "защитами" важно не перемудрить. А то будет как у касперского, который компьютером пользоваться не даёт. Но подобные сервисы это позволить себе могут, а вот я пока - нет.
+0

69 CTPAHHuK свой человек	26.03.2012 15:04
> Нажмут, увидят фейк, и свалят навсегда. Поэтому лучше второй вариант - перенаправлять на страницу из 1-го пункта. Есть железобетонный вариант - указывать кук в урле, предварительно, например, заXORив его пасфразой и перевести в 16-иричный вид. В апаче это делается просто, а вот в nginx, видимо, надо привлекать lua. > Да просто с этими "защитами" важно не перемудрить. Согласен. И мне не понятны твои побудительные мотивы поставить защиту, но сама задачка - сделать это на связке апача и енжи - интересна.
+0

70 CTPAHHuK свой человек	26.03.2012 15:39
Хотя на счет побудительных мотивов я погорячился. Заставляя скачивать через свой сайт, увеличивается шанс, что кто-нибудь воспользуется страницей /donate.php ;)
+0

71 ZlydenGL знаток	26.03.2012 16:28
> Есть железобетонный вариант - указывать кук в урле, предварительно, например, заXORив его пасфразой и перевести в 16-иричный вид. Бугога. Все тот же хидден ифрейм, а в БД добавляем столбец для хранения "правильной" странички для данной ссылки - для целей кеширования. А можно и без кеширования. Задача для физтеховца первого курса на 15 минут, 30 - если полный раздолбай :) И уже по барабану, поXORен там будет что-либо при помощи некоего неломающегося хеша или еще что - больше нагрузка на сервер отдачи (Толиковый) будет на генерацию этой самой фигни - и все!
+0

72 SaAnVi tzar	26.03.2012 16:39
> увеличивается шанс, что кто-нибудь воспользуется страницей /donate.php Этот-то шанс как раз интересует в последнюю очередь (де факто, никто не donate почти, может раз в три года). :) А вот лишняя загрузка сервера и наживательство на чужих материалах куда обиднее на данный момент.
+0

73 CTPAHHuK свой человек	26.03.2012 17:21
Ифрейм так же гарантирован как и кук. Плюс у Толи нет БД. XOR - самый простой способ шифрации и самый быстрый. Но и самый не надежный. А надежность тут не нужна. Это просто защита от дурака.
+0

74 ZlydenGL знаток	26.03.2012 17:33
> Ифрейм так же гарантирован как и кук. Честно говоря не вкурился во фразу. Можно еще раз для затурканного понедельничным разума? > Плюс у Толи нет БД. Дык БД должна быть не у Толи, а у того, кто ссылки на его медиаконтент робит. А у тех ребят она наверняка есть - ИМХО на файлах сайт с серьезной посещаемостью долго не проживет. Взять тот же Guppy - мало того, что он один в своем классе, так и с него народ стабильно валит при превышении некоего предела уников/посещений. > Это просто защита от дурака. Самый надежный способ защититься от дурака - это проверять реферрер. Если сисадмин умеет подделывать реферрер - он 100% прекрасно умеет в том же хидден ифрейме открывать нужную ссылку (читай - генерировать куку) и затем уже спокойно воспроизводить контент. Плюс на формирование ссылки тратятся не практически бескрайние ресурсы nginx, а вполне себе ограниченные ресурсы apache/php, а значит каким бы простым метод шифрования не был, есть хороший шанс, что он сделает сайт более доступным для удачных DoS/DDoS атак.
+0

75 SaAnVi tzar	26.03.2012 17:42
Я вот сейчас думаю, что же с картинками делать. Можно резануть. Но больше половины людей, сделавших медвежью услугу, копируют статьи более-менее правильно - со всеми ссылками и копирайтами. Только картинки забирают с меня. И ссылок таких немного, они не парят по нагрузке. Но ведь надо же по идее взъебать. А вроде как и можно пока пожалеть. Дилемма прямо.
+0

76 SaAnVi tzar	26.03.2012 17:52
А вообще, не передать, как меня достало разбираться с современными супер-сайтовыми системами, которые надо месяц вылизывать настолько кропотливо, и которые сами нипочём не работают. Хочется заняться творчеством, постирать нестиранный пуховик, убраться в комнате - в общем, сделать все нормальные дела, которые уже с месяц как забросил. А приходится до сих пор мозг поёбывать.
+0

77 ZlydenGL знаток	26.03.2012 17:53
> они не парят по нагрузке. И не будут парить - правильно сконфигуренный nginx ими не захлебнется даже если от тебя всея рунет качать будет :) А у тебя с его конфигом проблем нет судя по всему. > Дилемма прямо. Я бы забил... С моих сайтов даже элементы дизайна кто только не дерет - nginx даже не делает вид, что критически утилизован. Так что пусть себе :) В твоем случае даже проще - если прямая ссылка, значит на имге точно есть твой обратник - значит точно есть шанс, что народ на огонек зайдет с обоины или еще какой пикчи. А если перекроешь - будут скачивать/заливать себе, зачастую подрезав строку копирайта - и прости-прощай, потенциальный юзверь.
+0

78 SaAnVi tzar	26.03.2012 18:17
Если перекрывать изображения, у народа дополнительно будет отсутствовать охота копировать статью куда-нибудь. С одной стороны, в копирации нет ничего хорошего, но с другой - она даёт трафик. А так не даст. В общем, пущай имаджи грузят; мелочь напрячь не должна. Ну и про лого да, нетронутым остаётся.
+0

79 CTPAHHuK свой человек	28.03.2012 12:27
> Честно говоря не вкурился во фразу. Если есть проблемы с куками, то с фреймами проблем будет еще больше. Например, куки поддерживаются в текстовых браузерах, даже в таком древнем как lynx, а вот фреймы - нет. > Самый надежный способ защититься от дурака - это проверять реферрер. Любой HTTP-заголовок можно подделать. Единственное, что не имеет смысл подделывать - это урл. Иначе - не получишь информацию. Можно все параметры передавать в урле. А можно сформировать уникальный ключ и только его передать в урле. На серевере же под ключем (в файле или в БД) сохранить все данные для клиента. > на формирование ссылки тратятся не практически бескрайние ресурсы XOR - это 2-3 такта процессора. При DDOS'е cкорее сокеты кончатся у операционки, или inode у файловой системы...
+0

80 ZlydenGL знаток	28.03.2012 14:19
> lynx Сомневаюсь, что пользователи медиаресурса будут пользоваться подобным классом браузеров :) По крайней мере в основной (читай - делающей акцент рекламы) массе. Много ли СОВРЕМЕННЫХ браузеров не знают ифреймы? Даже "ославленный в веках" старичок ИЕ6 вполне эффективно их процессит. > Иначе - не получишь информацию. Очень спорно. Если известен принцип формирования "первопричинной" (с абсолютным путем) урлы - вполне можно слить и без "кодированного" урла :) Сам в свое время много с этим развлекался, пока рапидшара не воткнула действительно зубодробительный алгоритм формирования ссылки - его уже трейсить было тупо лениво, быстрее было дождаться таймаута ожидания :) > При DDOS'е cкорее сокеты кончатся у операционки Я конечно дико извиняюсь, но ты ничего не путаешь? DoS/DDoS атака направлена именно на отказ обслуживания, а ниток у апача ВСЕГДА ограниченное число. Если памяти 512М - их 100% меньше 16, иначе можно всю RAM ими захомячить. Соответственно ставим очередь из ТЫСЯЧ запросов ссылок "по 2-3 такта процессора" (хотя 2-3 тактами тут дело 100% не обойдется - пока нитка апача запрос тупо обработает, пока передаст PHP, пока тот сформирует строку, пока передаст обратно) - и пока вся эта очередь не обслужится апачем, хуман будет рассматривать картину Репина "Приплыли". Еще раз повторяю свою идею: если сисадмин НЕ знает или не умеет подделывать передаваемые хедеры - против него реферрерная защита сработает на ура. Если же он знает ИЛИ пользуется соответствующим механизмом - любая "урловая" защита ничего, кроме лишних хлопот сисадмину исходного ресурса, НЕ создаст. Ну блин, это же азы защиты информации :) Неужели и с этими базисами у тебя тоже провалы знаний имеются?
+0

81 ZlydenGL знаток	28.03.2012 21:45
Хотя... Интересно, а если динамическую ссылку ввинтить в SSI, а все остальное бросить в статику через nginx? Может и сработает, щас чекну.
+0

82 ZlydenGL знаток	28.03.2012 22:12
Не, фигня: инклюды можно тоже вызывать не из страницы, а доп. защита все равно ест нитку apache. И кеширование толком уже не прикрутить. Тупик-с!
+0

83 SaAnVi tzar	29.03.2012 06:32
Все проблемы будут решены, когда мои труды будут оценены. :) Не надо будет ничего защищать.
+0

84 CTPAHHuK свой человек	02.04.2012 18:25
>> lynx >Сомневаюсь, что пользователи медиаресурса будут >пользоваться подобным классом браузеров :) По >крайней мере в основной (читай - делающей акцент >рекламы) массе. Много ли СОВРЕМЕННЫХ браузеров >не знают ифреймы? Даже "ославленный в веках" >старичок ИЕ6 вполне эффективно их процессит. Я говорю о том, что куки поддерживаются лучше чем фреймы. Ты приведешь в пример N-ое количество браузеров, которые держат фреймы. У меня будет как минимум N+2, которые держат куки. Если уж антивирус режет куки, то скрытые фреймы он особенно любит. >> Иначе - не получишь информацию. >Очень спорно. Если известен принцип формирования >"первопричинной" (с абсолютным путем) урлы - >вполне можно слить и без "кодированного" урла Вот тебе кодированная строка, сформированная для mus/saanvi_vs_radiorama-vesna.mp3 и ip-адреса клиента 1.2.3.4 1c1b5552045c5c47055f7105524f1a18455e4651 195c4140140f2e580454000919011e0a68191c2b 4008235d0e1b120519421e0644010e5a5f197412 05000155151a1b (одна длинная строка разбита на несколько) Достань из нее дополнительные параметры. Через недельку загляну посмотреть... > Я конечно дико извиняюсь, но ты ничего не путаешь? Нет, не путаю. Чтобы дойти до кодирования урла, сначала должен отработать апач, потом PHP и только потом кодирование. При DDoS атаке скончаются апач с PHP и до кодирования не дойдет. >Еще раз повторяю свою идею: если сисадмин НЕ >знает или не умеет подделывать передаваемые >хедеры - против него реферрерная защита >сработает на ура. Если же он знает ИЛИ >пользуется соответствующим механизмом - любая >"урловая" защита ничего, кроме лишних хлопот >сисадмину исходного ресурса, НЕ создаст. Для данного конкретного публичного сайта проверка реффера достаточна. Один из вариантов урловой защиты, рассмотренных выше, НЕ доставляет мне хлопот уж лет 10.
+0

85 ZlydenGL знаток	02.04.2012 19:04
> Я говорю о том, что куки поддерживаются лучше чем фреймы. Еще раз - современными браузерами? Отнють. > Если уж антивирус режет куки, то скрытые фреймы он особенно любит. Не факт, плюс совсем не факт, что антивирь, вырезавший iframe height=0 или iframe style="height:0px", вырежет нечто вроде iframe style="zero_height" (с определенным выше стилем) или iframe height = 10 (c последующим плавным вписанием iframe'а куда-нибудь за пределы экрана или в интерфейс сайта). А можно еще привинтить экзотику вида "легальный" ифрейм, а внутри у него - за пределом видимости - скрытый... Было бы желание :) > Вот тебе кодированная строка Т.е. уже есть как минимум одна "боевая" ссылка и соответсвующий ей короткий "боевой" линк, правильно? Да, сходу я кодирование не раскушу, но во-первых, есть от чего отталкиваться, во-вторых - даже это в принципе нафиг не надо. flash плеер грузит толиковую страницу (или кусок ее) в скрытый ифрейм, выкусывает ссылку на медиа-файл и понеслась! Вот что я имел ввиду. А написать HTML парсер на том же jscript ваще не задача - ну или на те же 15 минут для того же студента :) > Чтобы дойти до кодирования урла, сначала должен отработать апач И-МЕН-НО!!! А "отработавший" апач - это минус одна свободная нитка (форк), пусть и на достаточно малый период времени. Но, напомню еще раз, если таких запросов будет n+1 - ВЕСЬ апач может лечь на m+1 секунду/минуту. А если бы страница и ссылки были статическими - врубил кеширование на уровне nginx и радуйся жизни :) > Один из вариантов урловой защиты, рассмотренных выше, НЕ доставляет мне хлопот уж лет 10. Значит ИМХО есть два варианта: 1. Ты слишком давно парсил логи 2. Твой контент не настолько интересен/популярен, чтоб ради него изобретать что-то там (проще говоря - очередной "неуловимый Джо"). Третьего просто НЕ-ДА-НО. Allonz-y!
+0

↑ к началу комментариев ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.