Идеальный хак-форум

[X-Shar]

А вообще, по большому счету, надо ли чтобы поисковики индексировали сайт?

Таким образом можно привлечь новых людей и молодежь, кто незнает про форум.

Вот например здесь много всяких интересных статей, как их найти, сторожилам не всем они нужны, а кто-то с поисковиков нашел, может-быть статья помогла и он в благодарность, что-то тоже выложит...)

На это и расчет, правда на практике это будет один человек из тысячи.

 

[Ar3s]

Надо сразу определяться, если форум публичный - это вот например как сейчас на xss.
А если форум для теневой торговли/работы - то надо делать именно закрытый от индексации и прочего. На ту же мазу до сих пор лезут же за чем-то...

 

[premiumcat]

Надо сразу определяться, если форум публичный - это вот например как сейчас на xss.
А если форум для теневой торговли/работы - то надо делать именно закрытый от индексации и прочего. На ту же мазу до сих пор лезут же за чем-то...

Если про идеальный форум, то бросьте мысли о десктопном по и блокчейну. Надежность системы высчисляется по уровню самого слабого компонента. И зачастую повышение надежности гораздо больше по деньгам и трудозатратам чем разработка самой системы.

По идее морды в торе достаточно, выбрать движок на пыхе хороший, лиценизонный, без закладок, и устанавливать только проверенные моды к нему.

Да и по факту на будущее - могут придти стороники длинных и бесполезных интревью при регистрации, которое было как на кору. Допустим я его не давал, но сидел там, и ничего интресного не видел, перекати поле только по центру экрана. По сути коммерция только продвигает форумы, у людей появляется желание показать себя - скиллуху, не просто так, а что бы заказы появлялись, круг общения увеличивался и тому подобное.

Ну и наверное дополню: думаю что нужна Идея, именно "то благодаря чему не смотря ни на что".

 

[X-Shar]

Надо сразу определяться, если форум публичный - это вот например как сейчас на xss.

Я за публичный режим работы, т.к. комерс не интересен, но к сожалению без комерса всё умерает...

За примерами далеко ходить не нужно, те-же статьи пишут в основном за деньги, бесплатно только если переводы делают, я не говорю что это плохо, но нужен бюджет, причем большей, без комерса тут не выжить к сожалению...

 

[premiumcat]

Я за публичный режим работы, т.к. комерс не интересен, но к сожалению без комерса всё умерает...

За примерами далеко ходить не нужно, те-же статьи пишут в основном за деньги, бесплатно только если переводы делают, я не говорю что это плохо, но нужен бюджет, причем большей, без комерса тут не выжить к сожалению...

Публичный можно и коммерс одновременно. Просто одна морда в тор, другая в клир.

 

[BuyKall]

Если честно мне нравиться этот форум, и такой вопрос, да и ещё от такого старожилы.....

ЗЫ на мазу лезут из-за того, что думают что там есть золотые мануалы.....повторишь которые -> станешь чуть ли ни сильнейшим кардером в мире.
Как говориться, король умер! да здравствует король! Есть маза.....выпустить свою мазу....

Судя по тенденции.....копы любять внедряться.....тот же силкроад к концу которого чуть ли не все были агентами. Закрытость не спасёт от этого....так как могут кого то принять и он отдаст свой доступ.
Тут на форуме услушал от кого-то : "Борьба снаряда и брони"....

 

[Hiddy]

Имхо идеальный форум должен представлять из себя не веб-сайт или веб-приложение. А нативное десктопное приложение, которое работает по принципу ZeroNet\Tox

Не в обиду, но согласиться сложно. Сложно представить, что кто-то станет запускать на своей оси десктоп-приложение от хак-форума учитывая участившиеся случаи взлома форумов данной тематики. Одно дело повесить сплойт на хакнутый форум, который должен быть или дорогущим зиродеем или хер кого он затронет. И другое - добавить кодес в нативный ехешник, здесь никаких сплойтов не надо кроме фишки с поддельной цифровой подписью или вообще переподписать новой подписью, мало ли может старую отозвали или админ утратил доступ. Имхо во втором случае с нативным кодом пострадавших в случае взлома форума будет гораздо больше и ущерб будет выше. Ну разве что заводить под ехешник форума отдельную виртуалку, но кто это будет делать?

Что касается полноценной работы форума без скриптов - идея очень здравая, опять же в случае взлома юзеры защищены больше. Своя валюта имхо не требуется, зачем городить велосипед если уже есть бтц, хмр и тысячи других? Свой стейбл зачем если есть dai и другие на выбор? Имхо стоит обновить процесс регистрации и восстановления аккаунта, отказавшись от восстановления по мылу, это уже прошлый век и все мыльники под колпаком. Восстановления по жабе недостаточно поскольку сервак жабы тоже может быть взломан, так что вот здесь как раз надо добавить что-то из криптографии, ну например при регистрации генерировать закрытый ключ хранимый только у пользователя и при восстановлении акка подписывать им свой запрос, да или даже более топорно, а именно - требовать у пользователя при регистрации указать бтц\eth кош, а в случае необходимости восстановления акка требовать оплатить символическую сумму за восстановление именно с коша, указанного при регистрации.

 

[Guron_18]

Зачем что-то придумывать? Вон ачат сколько лет живет и вобще не париться по этому поводу и еще столько же проживет.
Единственное на чем надо подумать это над авторизационными данными и личными сообщениями.

Например оставить только логин\пароль и хранить их шифрованными в AES по ключу который знает только владелец аккаунта.
Но тут могут возникнуть проблемы с восстановлением...
Сообщения по ключу вроде уже реализованы, но зачем-то ключи храняться на сервере

 

[SLX0]

Имхо стоит обновить процесс регистрации и восстановления аккаунта, отказавшись от восстановления по мылу, это уже прошлый век и все мыльники под колпаком

Почты нужно убрать, согласен полностью. Сделать восстановление/регистрацию или по секретному слову как на ввх том же сейчас или еще как-нибудь

К тому же слышал, что сообщения отправляемые на почту с сервера в .онион - могут спалить реальный IP сервера

у пользователя при регистрации указать бтц\eth кош, а в случае необходимости восстановления акка требовать оплатить символическую сумму за восстановление именно с коша, указанного при регистрации.

Хороший вариант

 

[weaver]

Не в обиду, но согласиться сложно. Сложно представить, что кто-то станет запускать на своей оси десктоп-приложение от хак-форума учитывая участившиеся случаи взлома форумов данной тематики. Одно дело повесить сплойт на хакнутый форум, который должен быть или дорогущим зиродеем или хер кого он затронет. И другое - добавить кодес в нативный ехешник, здесь никаких сплойтов не надо кроме фишки с поддельной цифровой подписью или вообще переподписать новой подписью, мало ли может старую отозвали или админ утратил доступ. Имхо во втором случае с нативным кодом пострадавших в случае взлома форума будет гораздо больше и ущерб будет выше. Ну разве что заводить под ехешник форума отдельную виртуалку, но кто это будет делать?

Что касается полноценной работы форума без скриптов - идея очень здравая, опять же в случае взлома юзеры защищены больше. Своя валюта имхо не требуется, зачем городить велосипед если уже есть бтц, хмр и тысячи других? Свой стейбл зачем если есть dai и другие на выбор? Имхо стоит обновить процесс регистрации и восстановления аккаунта, отказавшись от восстановления по мылу, это уже прошлый век и все мыльники под колпаком. Восстановления по жабе недостаточно поскольку сервак жабы тоже может быть взломан, так что вот здесь как раз надо добавить что-то из криптографии, ну например при регистрации генерировать закрытый ключ хранимый только у пользователя и при восстановлении акка подписывать им свой запрос, да или даже более топорно, а именно - требовать у пользователя при регистрации указать бтц\eth кош, а в случае необходимости восстановления акка требовать оплатить символическую сумму за восстановление именно с коша, указанного при регистрации.

Так я же написал это просто мое виденье имхо. Как бы отдельную виртуалку нужно и надо заводить. А со своего компа заходить такое себе дело. Просто как по мне векторов атак будет на много меньше чем в вебе. Просто в вебе куда не плюнь везде уязвимости. Вот именно, если нет доверия запустить бинарник то и на форум тогда уж тоже можно не заходить. Двоякая ситуация выходит. Логику про сплойт не понял твою... Ну добавишь ты в свой выданный тебе клиент код дальше то что? Похакаешь сам себя? Ведь экосистема закратая будет.

 

[vodnaya_bomba]

Я за публичный режим работы, т.к. комерс не интересен, но к сожалению без комерса всё умерает...

За примерами далеко ходить не нужно, те-же статьи пишут в основном за деньги, бесплатно только если переводы делают, я не говорю что это плохо, но нужен бюджет, причем большей, без комерса тут не выжить к сожалению...

Есть замечательный публичный форум: лолз. Пойдешь вот туда может писать статьи? Такой крутой ведь форум в публичном режиме работы, они все силами привлекают молодеж, и с поисковика и с утуба, вот и результат там. Форум надо делать закрытым полностью я считаю. На экспе я вообще думаю надо 1к хотя бы за регу делать

 

[lisa99]

, надо ли чтобы поисковики индексировали сайт?

сегодня посещалка резко просела. почему))

По теме беседы. Щас в бд все точно также? (темно-синий мой). к вопросу о безопасности форума.
В чем сила/безопасность_форума, admin?]
что есть unix time наверняка знают все..=)

 

[Hiddy]

Так я же написал это просто мое виденье имхо. Как бы отдельную виртуалку нужно и надо заводить. А со своего компа заходить такое себе дело. Просто как по мне векторов атак будет на много меньше чем в вебе. Просто в вебе куда не плюнь везде уязвимости. Вот именно, если нет доверия запустить бинарник то и на форум тогда уж тоже можно не заходить. Двоякая ситуация выходит. Логику про сплойт не понял твою... Ну добавишь ты в свой выданный тебе клиент код дальше то что? Похакаешь сам себя? Ведь экосистема закратая будет.

В вебе уязвимости, но помимо взлома форума на стороне пользователей надо успешно проэксплуатировать баг ведущий к исполнению кода в окружении ОС, обойти песочницу браузеров. Такой эксп в настоящее время разумнее использовать для точечных атак если он имеется. И да, то что сработает под хром не сработает под лису, а кто-то и с яблока зайдёт, кто-то с андроида. Кто-то без js. Всех сразу не накроешь. С клиентом другое дело - он же будет доступен на главной для скачивания? Надо будет только заменить его, можно в момент обновления админом чтобы меньше палиться. А пользователи уже сами скачают и сами запустят, на мобиле так и сами все разрешения дадут. А на винде и разрешений не надо

Теоретически ты прав если юзать варю - вроде ок, но на практике мало кто станет это делать, не все здесь локерщики сидящие из-под вари второй вари Не все адской чернухой занимаются. Новички в этом случае либо лесом либо под угрозой. А кто-то как вот например Rel и с мобилы заходит. С ними что? А у кого-то может слабое железо, может вари заняты и +1 не потянет. Так что имхо добавления полной поддержки работы без js и передачи контроля над авторизационными данными (рега, восстановление по приват ключу которого нет в бд) в руки самих пользователей будет достаточно. Ну и может шифрование лс для удобства, но это уже второстепенно, в случае необходимости юзеры обменяются жабами и перетрут там с омемо и тп.

 

[SingleAdwice]

Пока в основном слышу только "как хуево", но не слышу, а как сделать не хуево.

 

[weaver]

В вебе уязвимости, но помимо взлома форума на стороне пользователей надо успешно проэксплуатировать баг ведущий к исполнению кода в окружении ОС, обойти песочницу браузеров. Такой эксп в настоящее время разумнее использовать для точечных атак если он имеется. И да, то что сработает под хром не сработает под лису, а кто-то и с яблока зайдёт, кто-то с андроида. Кто-то без js. Всех сразу не накроешь. С клиентом другое дело - он же будет доступен на главной для скачивания? Надо будет только заменить его, можно в момент обновления админом чтобы меньше палиться. А пользователи уже сами скачают и сами запустят, на мобиле так и сами все разрешения дадут. А на винде и разрешений не надо

Теоретически ты прав если юзать варю - вроде ок, но на практике мало кто станет это делать, не все здесь локерщики сидящие из-под вари второй вари Не все адской чернухой занимаются. Новички в этом случае либо лесом либо под угрозой. А кто-то как вот например Rel и с мобилы заходит. С ними что? А у кого-то может слабое железо, может вари заняты и +1 не потянет. Так что имхо добавления полной поддержки работы без js и передачи контроля над авторизационными данными (рега, восстановление по приват ключу которого нет в бд) в руки самих пользователей будет достаточно. Ну и может шифрование лс для удобства, но это уже второстепенно, в случае необходимости юзеры обменяются жабами и перетрут там с омемо и тп.

Вот именно у спец.служб как раз есть 0дей эксплойты их финансирует государство. Т.е. эксплойты под chrome\Firefox\Xenforo\Android\iOS итд. Не говоря о том, что на твоей материнской плате или в роутере\сетевой карте может быть аппаратная закладка. Ты даже не поймешь взломали тебя или нет. Поэтому по существу использовать веб такое себе дело. Поэтому я предложил сделать нативное приложение. Гос-во может надавить к примеру на какого либо вендора, чтобы тот сделал в своей CMS бекдор в виде уязвимой функции, в итоге ты обновляешь свою CMS и тебя ломают. Вообще тут много всяких раскладов может быть. Даже купить компанию\вендора могут. Поэтому мое виденье это то что все ушли в подполье, где все используют нативный клиент для доступа к форуму.

Если уж фантазировать и размышлять на тему идеального форума, тогда можно сделать так, чтобы билд выдавался вручную и его нельзя было бы просто так скачать. Т.е. доверенный выдает доверенному ( челу с репой ) и т.д. Приложение можно сделать кросплатформенным для Linux\Windows. Думаю что мобилки тут как бы сразу отпадают не очень сообразительно с них заходить на форум.

А если уж все таки делать форум как веб-приложение. Я бы отказался тогда уж от PHP (Или написать свою CMS\форумный двиг, так как закрытая экосистема это залог безопасности) . И лучше тогда использовать Python. Так как на этом яп получаются более безопасные приложения. К тому же можно сделать, так чтобы некоторые части были нативными.