Když se čtenář nahájedničky zmínil, že
nově zakládané účty u Google
Analytics již komunikují v češtině, pokusil jsem se k tomu přimět
i ten svůj. A povedlo se!
Jak na to?
- spusťte si Firefox s plažínkem Web
Developer.
- otevřete si Google Analytics, stránku My Account:
- mezi jazyky chybí čeština. Použijeme malý podfuk, v odborné
literatuře označovaný jako opití serveru rohlíkem. Klikněte na Web
Developer Toolbar → Forms → Convert Select Elements To Text Inputs:
Aktualizováno 14. prosince 2007: v nabídce jazyků už čeština je,
takže není potřeba server opíjet, rohlík si klidně
můžete sníst.
- do políčka Language vepište
cs
a formulář odešlete.
A to už vás vítá Google Analytics v mateřštině. Enjoy 😉
Děkuji všem, co mi pomohli se včerejším výběrem domény pro
open-source projekty. Takže jakou cestu jsem nakonec zvolil?
Proč bez společné domény? Myšlence společné domény jsem
fandil – více projektů pod jednou střechou působí seriózněji, produkty
jsou marketingově výborně provázané. Jenže to platí pro komerční
software. Open source má jiné zákonitosti. Víte, že Ruby on Rails a jQuery
vytvořil stejný programátor?
Prospěl by jim přesun na společný web?
Ve prospěch samostatných domén rozhodla srozumitelnost URL
(viz dále).
Proč tvar {project}php.com? Protože varianty bez ‚php‘ jsou
obsazené. Vlastně si myslím, že s tím ‚php‘ je to
i výstižnějí.
Proč v názvu není dgx? Je hloupost se při vymýšlení názvu
nechat omezovat něčím, co ve skutečnosti není důležité nebo nemá
žádnou hodnotu. Kombinace písmen dgx
vznikla z týchž
důvodů, jako ovx.
Její má-li nějaké přednosti, tak po našroubování do tvaru
dgxphp.com
se změní v zápory.
Proč ne nette.dgx.cz
? Protože jazykově nezávislý web
je lepší umístit na jazykově nezávislou doménu. Nelíbí se mi
cosi.cz/en/
.
Proč ne nette-php.com
? Pokud existuje varianta
s pomlčkou (či spíše spojovníkem) i bez, mívám pocit, že ta bez
pomlčky je originál a pomlčková pouze cizopasí. Samozřejmě, že realita
je daleko barevnější. Nejlepší je asi zaregistrovat obě varianty a
přesměrovat na bezpomlčkovou.
Google bere nettephp
jako jedno slovo. Ať si
bere 🙂
Proč .com
? To je podobná situace jako s pomlčkami.
Sice každá TLD má teoreticky
jiný význam, v praxi se ale vžilo, že .com
je „nej“, kdo
ji neukořistí zkusí .org
nebo .net
, a teprve pak
následují .info
nebo podivná .biz
. (Samozřejmě
pro české projekty je na prvním místě .cz
.)
Proč bez www.
? Vždy je lepší varianta s
www
, protože v myslích lidí www = internet. Existuje jedna
výjimka: web zaměřený na pokročilé uživatele a webové vývojáře. To je
i můj případ a zvolil jsem variantu o šest vé kratší ;)
Více domén znamená vyšší náklady. Zahraniční domény kupuju
u DomainSite, registrátora, co má
jako favikonku logo Tuzexu. Při ceně $6.99 za rok je doména levnější než
donášková pizza. Asi si jen oběd
odpustím ;)
A co náklady za hosting & pracnější údržba více webů? To
je právě ten fór! Arthur Dent mi doporučil hostmonster.com, což je na české poměry nesmírně
zajímavý hosting. Zaplatíte si jeden tarif, dostanete 600 GB prostoru
a tam si nasměrujete libovolný počet domén a subdomén. Reálně
udržuji a platím jedno úložiště.
Hostmonster je pozoruhodný i po technické stránce. Vlastně ji do teď
pořádně nechápu. PHP se konfiguruje přímo editací php.ini
,
lze tam nějak přidávat i vlastní binární rozšíření (třeba Zend
Optimizer), zdá se, že přes FTP si můžete zálohovat datové soubory
s emaily atd. Až bude někdy čas, musím to lépe prozkoumat.
Srozumitelné URL
Zmínil jsem se o srozumitelných URL, takže abych to vysvětlil.
Chápu pod tím něco jiného, než co představují tzv. cool URL.
I když asi původně měl být význam stejný, dnes jsou cool URL synonymem
pro použití textového identifikátoru namísto číselného. Srozumitelnost
nesrozumitelnost. Tragikomickým příkladem urputné snahy o „kůl adresy“
je třeba
https://web.archive.org/web/20071219111553/http://www.certodej.cz:80/view/web-os-dal-bomba-jej
.
Srozumitelnost vnímám jinak. Příklad: nejspíš jste asi postřehli, že
se změnou hostingu jsem přesunul tento blog na samostatnou subdoménu
(změňte si prosím odkazy) a upravil URL:
- původní:
https://www.latrine.cz/stahnete-si-listicku
- nové:
https://www.latrine.cz/stahnete-si-listicku
Adresy byly „kůl“ už předtím, ale srozumitelné se staly až po
odstranění zbytečných (item
) a matoucích (trine
)
segmentů.
Domény běží, co dál?
Open source nemusí mít otevřený jen zdrojový kód, baví mě otevřeně
řešit i věci kolem. Takže další otázkou je, jaký zvolit bugtracking
systém, jaké fórum, kam umístit SVN a jak to všechno provázat.
SVN mám zatím umístěné na svém disku a synchronizuji je s Googlem (https://github.com/dg/texy a https://github.com/dg/dibi). Pro
bugtracking se dá jakžtakž použít i obyčejné fórum, ale raději bych
k tomu určenou aplikaci, nejlépe napsanou v PHP (tedy nikoliv Trac). Stále
je ve hře možnost napsat něco vlastního, třeba jako demonstraci Nette.
Nezdá se mi to složité, jen by to trvalo déle.
Co myslíte?
Neplánoval jsem se stát programátorem open-source knihoven. Na vině je
propast mezi potřebami webového vývojáře a existujícími řešeními. Ty
jsou nedostatečné. A nepomůže ani změna platformy nebo nákup nejlepšího
vývojového balíku – propast tam zeje stále.
Tuhle jsem prohlížel aplikace, na kterých jsem v posledních letech
pracoval, a ke svému překvapení si uvědomil, že v nich používám pouze
jedinou knihovnu (HTML
Mime Mail od Richarda Heyese), kterou jsem si nevytvořil sám. Teď se
nechlubím – teď si zoufám! Když jsem dřív programoval v jiných
jazycích nebo prostředích, byl jsem vždy pouhým uživatelem hotových
komponent. A spokojeným. Že se to změnilo je myslím dokladem krize vývoje
webových technologií v posledních deseti letech.
Nutnost psát si většinu knihoven od píky zná asi většina firem
vyvíjejících webové aplikace. Jaké to má důsledky?
- Ztratil jsem pár let života. Zcela vážně. Nejvíc času vezme
studium problematiky, vytvoření si názoru a jeho prověření v praxi.
Samotné kódování je maličkost.
- Práce se stává deprimující. Věčně tonout v podružnostech a
nemožnost se soustředit jen na hlavní myšlenku je nesmírně demotivující.
Dokud jsem neměl v rukou dobrý framework, spoustu nápadů jsem
nezrealizoval, protože mě už dopředu odradilo nepohodlné programování
v prostém PHP. Člověka pak zvráceně potěší, že v tom není sám (ahoj
Arthure).
- Člověk získá v oboru značný rozhled. Alespoň jeden klad 🙂
Najednou vidí zcela nové souvislosti. Staré věci chápe docela jinak. Je to
zajímavá fáze poznání, bohužel těžko přenositelná.
No, krapet jsem se zakecal o útrapách webového vývojáře, pojďme zpět
k open source. Považuji za naprosto normální výsledky práce zpřístupnit
ostatním. Asi budu egoista říznutý altruistou nebo co 🙂
Neplánoval jsem „dělat do open-source“, ale když už k tomu došlo,
chci to dělat pořádně. Jenže jak přibývá projektů a uživatelů, tak je
čím dál tím akutnější potřeba nového webu.
Není možné zde na blogu šudlit nějaké články o dibi nebo Nette. Chce
to wiki na dokumentaci, diskusní fórum, aktuality přístupné přes RSS
kanál. Všechno multijazyčně – poptávka po anglické mutaci Texy trvá
už dlouho, nedávno se ozval se kluk, co chce dělat verzi ruskou. Starý
kabátek webu texy.info je už dávno malý. Kdysi jsem vytvořil subdomény
dibi.texy.info a nette.texy.info, ale to je čirý nesmysl, tudy se jít nedá.
Chce to nový web a velkorysý návrh.
Nad čím váhám:
- Mít všechny projekty na jedné doméně? (třeba jako www.mozilla.com)
- Koupil jsem doménu php7.org (ta bude následující roky čím dál tím
více atraktivní). Použít tuto doménu?
- V případě společné domény, mám sem přesunout i Texy?
- Jakou zvolit optimální strukturu webu?
- Jaké použít fórum (zůstat u punBB?), bugtracking systém, SVN
(nejspíš využiju Google Code) co vše má umět wiki? (Wiki rozhodně
použiji vlastní.)
- Jakou vytvořit vizuální identitu?
- Na co jsem teď zapomněl a později mi to zkomplikuje život?
- Kde na to proboha vezmu čas?
Určitou představu, jak web navrhnout, mám (ano, budu se inspirovat
u mozilla.com), nicméně budu rád za vaše nápady v komentářích. Asi
bych preferoval provoz na jedné společné doméně. V tom případě ale
vyvstává důležitá otázka – přesunout tam i Texy? Bylo by to
určitě vhodné, proč mít jeden projekt bokem? Co potom udělat s volnou
doménou texy.info?
Jde o to, že web texy.info má stabilní
vysoké GTPR (homepage 6, ostatní stránky 5) a šíleně moc zpětných
odkazů. Byla by hloupost ho jen tak zrušit.
Nebo ho raději prodat někomu, kdo umí tyto faktory využít? To se mi moc
udělat nechce, ale nevím…
Co myslíte?
(pokračování: Jak jsem vybral
doménu)
Zvykl jsem si, že mi denně chodí hromada spamů, a zvykl jsem si, že je
Thunderbird
všechny vychytá. Jenže pak mě začal obtěžovat jeden ptáček, se kterým
si spamový filtr zjevně neuměl poradit. Den co den jsem poštovnímu
klientovi vysvětloval, že tato hromádka emailů s předmětem
November nebo October 74% OFF je nevyžádaná, on se zatvářil
jako že jasné, nésu blbý, ale druhý den jsem je měl ve
schránce opět.
Už vím, kde je zakopanej pes.
Je to asi 300 m za humny a pak odbočíte na pěšinku směrem doleva. Ale
zpět ke spamu. Ta mrška obelstila Thunderbird tak, že jako odesílatele
zprávy uvádí můj email. A takové prostě filtr neodstraní.
Dobré, co?
Ale co s tím: nejsnazší je v menu Nástroje otevřít
Třídíci filtry zpráv a vytvořit nový filtr, který všechny
emaily obsahující VIAGRA
ve jméně odesílatele pošle do
věčných lovišť. Či jak se ta složka pro nevyžádanou poštu jmenuje.
(nebo ještě lepší řešení navrhuje Vladimír
Smitka)
Změnil jsem hosting. Dlouze jsem vybíral, několik jich vyzkoušel a
nakonec zakotvil. Kdo se stal tím vyvoleným a proč?
Před měsícem a půl jsem sepsal pár tipů, jak vybrat správný webhosting.
Vlastně šlo o shrnutí aktuálních postřehů, protože právě v té době
jsem hostéra měnil. Ale nechtěl jsem říkat žádná konkrétní jména,
dokud si ho pořádně neprověřím.
Dnes už může zcela zodpovědně doporučit Tojeono.cz. Proč?
- aktuální verze PHP s moduly jako GMP, mcrypt, komplet PDO (ač nevyužiji), pspell, tidy, xmlrpc, Zend
Optimizer
- neblokují
ini_set
, phpinfo
ani žádnou
jinou funkci
- MySQL ve verzi 5 (můžu používat views), databázi spravuji
z lokálu
- .htaccess a mod_rewrite si upravuji sám
- zcela vyhovující limity ve smluvních
podmínkách (bod 6.8.)
- všechno běží přes šifrované kanály (HTTPS, POP3S, IMAP4S)
- cron, přístup k logům, antivir, antispam, zálohování…
- nejde o one-man-show
- funkční podpora (v 0:47 jsem napsal žádost, o dvacet minut později
byla vyřízena)
- dobrá cenová politika
- hostují blog Radka Hulána (obrovská návštěvnost a nepamatuji, že by
měl někdy výpadek)
Dnes je nabídka řady hostingů na velmi slušné úrovni a ceny se obvykle
pohybují pod 100 Kč/měsíc. Troufám si tvrdit, že na tom má lví podíl
příchod Českého hostingu na trh.
Já jsem potřeboval najít pružný a spolehlivý hosting, bez
bariér na straně konfigurace PHP nebo Apache. Vyřadil jsem i výborně
vypadající projekty, pokud za nimi stál jeden jediný člověk, protože to
je pro mě nepřijatelné riziko. Zvážil jsem reálné potřeby na
velikost prostoru, přepočítal cenu dle nabízených slev. Zvolil jsem Tojeono
🙂 A po měsíci a půl si potvrdil správnost volby.
Jaká jsou negativa? Nelze na jednom účtu provozovat více domén. Což
samozřejmě platí téměř o všech hostérech v ČR. Z toho důvodu mám
ještě účet u zahraničního Hostmonster, kde provozuju malé weby, u kterých mi tolik
nezáleží na rychlosti odezvy.
Pokud máte podobné potřeby, tak vám hosting tojeono.cz doporučuji.
Včera mi majlem přišel od Google USA poměrně zajímavý patch. Týká se
aplikace Google Desktop a protože by mohl zajímat i vás, dávám ho
k dispozici ke stažení:
Download Patch Google Desktop
(40 kB)
A teď k tomu hlavnímu. O spolupráci mezi nejznámějším světovým
vyhledávačem a nejserióznějším českým blogem se šuškalo poměrně
dlouho. Ačkoliv „zaručených“ zpráv, na čem pracují, se na internetu
vyrojilo nespočetně, žádné oficiální prohlášení nikdy vydáno
nebylo.
A pak, docela potichu a bez
mediálního humbuku, spatřil světlo světa výsledek společného
snažení. Není jím nic menšího, než fantastický plugin, nebo chcete-li gadget, do vyhledávače Google Desktop – La
Trine feed.
Při této příležitosti dovolte, abych poděkoval všem svým kolegům,
kteří se nemalou měrou podíleli na organizaci a zajištění vývoje
pluginu, za podporu kandidátů místního sdružení a za důvěru do nich
vloženou, dále rodině, přítelkyním a milenkám za dlouholetou obětavou
práci, speciální poděkování patří Akademii věd České republiky a
také těm, kteří ještě svůj gadget nemají a nedočkali se téhle krásné
chvíle, děkuji velmi, opravdu, děkuji.
Možná se ptáte, k čemu je Google Gadget La Trine Feed dobrý?
Jo… ehm… vyloženě zas tak vysoké ambice nemá.
Zákazníkům hledajícím hosting, těm je hej. Mají totiž z čeho
vybírat. Ve vodách českého internetu není pro samé hostéry kam plivnout.
Kdo je ale pro vás ten nejlepší?
Těžko nad tím uvažovat, pokud zákazníky nerozdělíme alespoň do dvou
skupin:
- běžný klient, kterého zajímá počet emailových schránek a
váhá, zda je lepší 1 GB prostoru za 30 Kč měsíčně nebo 5 GB za
dvojnásobek
- power user, který bazíruje na tom, jestli je iconv implementován
přes libiconv nebo glibc a ošívá se nad použitou verzí Apache, bo trpí
banální chybkou
Potřeby běžného a powerovic uživatele jsou místy až
protichůdné. Proto je normální, že zatímco jedné skupině určitého
kvalitního hostéra doporučím, druhou skupinu před tím stejným musím
varovat. Sdělení jako „už rok jsem u XYZ a jsem NAPROSTO
spokojený“ jsou tak NAPROSTO bezcenná.
…pokračování
Přišlo mi mejlem, že je čas prodloužit registraci domény texy.info.
Odklikl jsem odkaz na platební formulář, když mi čerstvě
probuzený mozek slabě zasignalizoval, že něco není úplně
v pořádku. Ano, doménu jsem si registroval u zahraniční firmy, protože
je rozdíl platil 300–400 Kč u nás nebo $7 ve světě. Ale matně si
vybavuju, že registrátor měl světle žlutomodrý design a favikonku TUZEX.
Barvy mi neseděly. Ale jinak e-mail vypadá seriózně, že?
To už jsem se začal probouzet a všímat si dalších nesrovnalostí.
Příliš dlouhý název domény = podvod. Tedy obvykle. Odskok do formuláře
bez přihlašování. A tak dále. Důvěra se rozplynula jako spára nad
srncem. Jen výši ročního poplatku 79.95 USD jsem postřehl až
dodatečně 🙂
E-mail od Domain Renewal Online není nic jiného, než podvod, který
využívá nepozornosti vlastníků domén. Nahozená udička čekající,
jestli někdo zaplatí.
Hodnocení
Celkem jednoduchý, ale chytrý nápad. Provedení poměrně ucházející,
ovšem nenachytal jsem se. Hodnotím: 8/10
Před dvěma dny jsem popisoval, jak hloupě je zabezpečeno přihlašování do
SERVIS 24, internetového bankovnictví České spořitelny. Nyní
následuje praktická ukázka, jak může kdokoliv komukoliv na tři kliknutí
zablokovat účet.
Právní dodatek: tohle není návod. Tohle je analýza bezpečnostní
vady webové aplikace, na kterou byla banka upozorněna již 3. ledna
2005. Blokováním cizích účtů můžete poškodit její klienty.
Vysvětlující dodatek: problematické není samotné zablokování
účtu, ale skutečnost, že postižený musí za jeho odblokování
zaplatit.
Před chvílí jsme s bratrem matematicky ověřili, že klientská čísla
jsou dělitelná 11. A jak že jsme to spočítali? Ne, nebojte se,
nebudu zabíhat do detailů, ani vás obtěžovat složitými vzorci. Místo
teoretizování pojďme rovnou k praktické ukázce.
Co útočník k zablokování cizího účtu potřebuje? Stačí znát
libovolné klientské číslo (ty mají tvar 7xxxxxxxxx
a jsou
dělitelné jedenácti – nejspíš ale existuje více řad klientských
čísel).
Podle částečně oveřené hypotézy se zdá, že klientská čísla
tvoří řadu, takže přičtením nebo odečtením násobku jedenácti od
známého klientského čísla vypočteme další platné klientské číslo,
patřící neznámé oběti.
Útočník tedy:
- Otevře stránky
SERVIS 24.
- Zadá tyto údaje:
- Formulář odešle útočník třikrát po sobě (pochopitelně vždy se
stejným klientským číslem).
- Pokud se zobrazí hláška „Autentizační proces nebyl úspěšný.
Přístup k aplikaci SERVIS 24 Internetbanking byl zablokován“, bylo
vypočtené klientské číslo skutečně platné a účet byl nešťastníkovi
zablokován. V opačném případě útočník zvolí jinou hodnotu
n
a pokračuje bodem 2.
Celý postup může zautomatizovat tímto jednoduchým skriptem:
set_time_limit(0); // neverending story
$ch = curl_init();
...
...
…ne, to už si napíše útočník jistě sám. Každou hodinu může
zablokovat tisíce cizích účtů. Nebo třeba jen ten váš.
Tož tak, no.
Související:
Nemám rád banky. Mramorem obložené instituce, které si nechávají
platit za to, že disponují našimi penězi. A pokud jde o internetové
bankovnictví, bývá kvalita poskytovaných služeb mizerná.
Třeba Komerční banka. Považuje se za nejvýznamnější bankovní
instituci v České republice, ale jejich e-banking nefunguje ve Windows Vista.
O alternativních
prohlížečích, operačních systémech nebo nutnosti mít konkrétní verzi
Javy ani nemluvě. Podporu Vist slibuje
Komerční banka do konce roku 2007, což o jejich pružnosti vypovídá
dostatečně. Přitom jen na paušálu za internetové bankovnictví jsem jim
odváděl měsíčně téměř 300 Kč.
Naopak musím pochválit ebanking eBanky. Ono to i souzní! Funguje
ve většině prohlížečů, přihlašování mají zabezpečené dokonale, a
co zavedli tarif bez měsíčního paušálu a poplatků za příchozí platbu,
neznám lepší volbu. Chyběl mi jen export pohybů u soukromého účtu,
s čímž jsem si jako programátor poradil.
Třikrát a dost
Dnes mě vytočila Česká spořitelna. Matka má u nich účet a
potřebovala zjistit zůstatek. Tak jsem v Exploreru otevřel internetové
bankovnictví pojmenované SERVIS 24 a naťukal klientské číslo s heslem.
Načež mi aplikace oznámila, že ee, že přihlašovací údaje nesedí. Nu
což, mohl jsem se překlepnout. Tak jsem pokus opakoval, opět neúspěšně,
ale to už jsem se dočkal jiné hlášky:
Autentizační proces nebyl úspěšný. Přístup k aplikaci SERVIS
24 Internetbanking byl zablokován. Pro jeho odblokování je nutné zavolat na
linku SERVIS 24. Odblokování může provést pouze uživatel služby pomocí
svého klientského čísla, bezpečnostního hesla pro Telebanking
(šestimístné číslo) a čísla Protokolu/Smlouvy ke službě SERVIS 24.
Jenže – linka SERVIS 24 není bezplatná. Pikantní je také
fakt, že odblokování vyžaduje sdělit heslo, ačkoliv sama banka varuje:
Bezpečnostní tip pro Vás:
Nikdy nesdělujte své klientské číslo a celé heslo při ústní a
telefonické komunikaci … Své heslo pro Internetbanking nesdělujte ani při
komunikaci s pracovníky podpory služby Servis 24 Internetbanking
Zavolal jsem na linku, požádal o odblokování účtu a nadiktoval
všechny údaje. Sdělit „celé“ heslo (tedy ono šestimístné číslo)
skutečně nebylo třeba, stačily pouze první, třetí, čtvrtá a šestá
číslice 🙂 A následně mi paní oznámila, že mi účet odblokovat
nemůže, protože nejsem jeho majitelem (šikula, vydedukovala to z hlasu).
Hovor mě přišel na 10 Kč. Nechal jsem tedy zatelefonovat matku, opět
diktování čísel a dalších deset korun fuč. Tentokrát to vyšlo, účet
odblokovali a já měl ověřeno, že klientské číslo i heslo mám
správné.
Zpět k Exploreru, vyplnit přihlašovací údaje, a … „Vaše údaje
nejsou správné“. Č******* banda vy******** ******* ******ů. Že by ono
„bezpečnostní heslo“ bylo jiné, než heslo pro přihlášení? Nevím.
Fakt nemám chuť zápasit s webovým formulářem, kde po každých třech
pokusech provolám pětku s operátorem.
Jak zablokovat účet úplně
všem?
Je to poměrně snadné. Stačí otevřít stránky SERVIS 24 a vždy
třikrát zadat něčí klientské číslo se špatným heslem. To matčino je
ve tvaru 78xxxxxxxx
a co jsem se díval na jiné, jde zřejmě
o logickou řadu. Nakonec, to se dá snadno zjistit. Jestli používáte SERVIS
24, v jakém přibližně tvaru je vaše číslo?
Související: Kolaps
e-bankingu nyní prakticky, aneb jak vydedukovat další
klientská čísla.
No a pak stačí napsat robota, který si takhle po ránu vygeneruje sérii
requestů a zablokuje pár tisíc účtů. Na lince SERVIS 24 bude hned živo.
A jen co všechny volající odbaví, tak jedeme znovu 🙂