Steem.Chat (Polish) i Discord Steem Polska stoją do siebie w pewnej opozycji. Większość osób siedzi na Discord, chociaż część jak Galijska wioska w Asteriksie i Obeliksie - na starym chat. W pewnym sensie mamy wolność z tym związaną, chociaż z powodów problemów technicznych Rocket.Chat nie mogliśmy stworzyć mostu między nimi co doprowadziło do podziału.
Jednak Rocket.Chat (który napędza Steem.Chat) ma swoje wady i warto o tym napisać.
Aktualizacje bezpieczeństwa? A komu to potrzebne!
Co mnie zaskoczyło to to, iż serwer nie jest aktualizowany w jakimkolwiek aspekcie:
- Ktoś może pomyśleć - nie warto aktualizować projektu do najnowszej wersji, bo działa (a jak coś działa to nie ruszaj). Może jest to jakaś metoda, ale dla wersji 0.70.0 (można to sprawdzić) wyszły 4 wersje z łatkami (bez nowych funkcji) - aż do 0.70.4. Nie wiem czy można nazwać naprawione błędy krytycznymi, ale warto by szyfrowanie rozmów było załatane, jeśli coś jest ...
- Mamy też wersje z nowymi funkcjami i kandydującą 1.0. Wydania kandydujące to takie, które teoretycznie są wydaniami, które mają trafić do ludzi, ale można jeszcze załatać błędy jeśli jakieś są (wszystkie znane podatności są załatane). Tutaj mamy 15 wersji do nadrobienia ...
- Już pomijam wersje typowo zalecane przez producentów.
Oczywiście dlaczego warto to robić? Bo każda wersja coś naprawia, a podatności mogą działać na niezałatanych chatach. Nie mówię, że na pewno zadziałają, ale parę jest ciekawych błędów. Mi się spodobał ten, który umożliwia komuś zmianę czyjegoś avatara.
A co do podszywania się ...
Jak najbardziej jest możliwość podszywania się pod osoby, za co nawet zarobiłem dzisiaj bana ;) Ale najpierw opowiem historię (niestety nie znalazłem nic na potwierdzenie, więc jak uważasz, że to bzdury ... masz prawo.)
Jakiś czas temu znalazłem kogoś kto dostawał niesłusznie flagi. Ktoś zażądał od niego pieniędzy, których mu nie wysłał. W ramach spełnienia groźby "haker" stworzył bardzo podobny nick i zaczął obrażać wielorybów, za co potem profil osoby prawdziwej dostawał flagi.
Ataki w podszywanie się na Steem Chat również mieliśmy i nawet na polishu (słynna afera z podszywaniem się pod Hallmanna), ale o ile takie "script kiddies" można wybaczyć, o tyle sytuacja powyżej wskazuje, że błąd musi zostać naprawiony. Można to zrobić na przynajmniej dwa sposoby, a to, że od miesięcy nikt z tym nic nie zrobił rzutuje na reputacji administratorów.
Oczywiście na czym polega atak? Chodzi w skrócie o to, że niektóre litery w danej czcionce wyglądają bardzo podobnie albo identycznie.
Dla przykładu Fervi.
Dla przykładu macie dwie litery "e", które wyglądają na identyczne (albo jestem ślepy), a są różnymi znakami. Oczywiście kwestia tego, czy Rocket.Chat to przyjmie, ale niektóre takie sztuczki akceptuje.
Zarejestrowałem przykładowe dwa konta na Steem.Chat, w tym jedno gandalfa (:P) i to konto zostało usunięte (i dostałem bana na fervi), a jedno (napiszę mu na PW by usunął) zostawił. Tak więc stawiam na "zbieg okoliczności" w wyłapanie tego konta lub pewnego rodzaju przeczulenie.
Oczywiście konta założone do testów, a gandalf powinien w stanie zweryfikować to czy były używane do czegoś innego.
Oczywiście tego typu akcja została przeprowadzona dla testów, dlatego bez problemu administrator powiązał konto z moim głównym (bo się nawet nie ukrywałem :P). Tylko to się łatwo obchodzi i to w sumie na parę sposobów (ciekawi mnie czy modyfikacja requestów wystarczy czy trzeba po oprogramowanie sięgać), ale oczywiście takich rzeczy nie warto opisywać ;)
Moim zdaniem albo czcionka musi być zmieniona, albo musi być wymuszony standard wyświetlanych nicków.
Inne drobnostki
Technicznie administratorów mamy na Steem Chat dwóch, z czego żaden nie jest aktywny, co czasem doprowadzało do różnych nieciekawych akcji. Od gigantycznego spamu po podszywanie się i rajdów ludzi na chat. Wiadomo - Steem Chat upada, ale przydałoby się wzmocnić moderację w odpowiednie narzędzia.
Discordowy spoiler
Na Discord:
Oczywiście zostały naniesione różne zabezpieczenia. Bo widzisz, na Discord możemy rozwiązywać problemy sami, a nie czekać aż ktoś wprowadzi je za nas. Tak, Discord nie jest idealny, ale nic nie jest idealne. Nawet 