+389.46
75 читателей, 21 пост

Некоторые сайты перестанут открываться на старых Android. Проверьте свой телефон!

+187
в блоге /dev/stories
С 11 января 2021 года Let's Encrypt перейдёт на использование собственного корневого сертификата ISRG Root X1. Android начал доверять этому сертификату с версии 7.1.1, поэтому если у вас более старая версия, то все сайты, использующие сертификаты от Let's Encrypt для шифрования соединений, постепенно перестанут открываться.

Поимио ponyfiction, это также затронет Даркпони, Free Pony Forum, Lost Friendship Radio, Ponybooru, Полуночников, Бункер, Inner Equestria и многие другие сайты. Табун и Derpibooru это не затронет, потому что они используют сертификаты от Cloudflare. Крупные сайты обычно используют другие сертификаты и их это тоже не затронет, но из использующих Let's Encrypt можно отметить, например, Википедию и Stack Overflow.

Технические подробности для любопытствующихДля защиты от атак хакеров соединение с сайтом шифруется, а в процессе установки зашифрованного соединения сайт передаёт браузеру свой сертификат, содержащий открытый ключ, используемый в асимметричной криптографии. Чтобы убедиться, что этот сертификат не подделан хакером, придуманы центры сертификации (удостоверяющие центры) — любая система содержит набор встроенных корневых сертификатов от некоторых ЦС, к которым есть доверие по умолчанию (предполагается, что они честные и неподкупные). Эти центры сертификации занимаются выдачей сертификатов сайтам, при этом выполняя проверку, что сайт действительно принадлежит тому, кто запрашивает сертификат (по домену, почте или, в случае Extended Validation, даже звонком человека по телефону). При этом выдаваемый сертификат заверяется цифровой подписью ЦС. Браузер проверяет эту подпись, и если она корректна и сделана доверенным центром сертификации, то всё хорошо. Если подпись неверна или сделана незнакомым центром сертификации, то есть смысл заподозрить вмешательство хакеров, и браузер отказывается соединяться с сайтом.

Раньше сертификаты были в основном платными, но в 2015 году появился Let's Encrypt, который выдаёт бесплатные сертификаты, причём полностью автоматизированно. Естественно, в 2015 году ни одна система не знала никакой Let's Encrypt и не стала бы доверять его корневому сертификату, поэтому, чтобы как-то начать работу, Let's Encrypt попросил IdenTrust подписать свой промежуточный сертификат — IdenTrust давно знаком всем системам, так что благодаря такой кросс-сертификации Let's Encrypt стал доверенным, и сайты потихоньку начали переходить на использование Let's Encrypt. А из-за того, что браузеры и поисковые системы всё меньше любят отсутствие шифрования, на многих сайтах, у которых никогда не было HTTPS, он начал появлятья — таким образом Let's Encrypt стал очень широко распространён.

Следующие несколько лет это работало хорошо. Однако все сертификаты в целях безопасности имеют ограниченный срок действия, и их нужно периодически обновлять. Срок действия корневого сертификата, на который сейчас опирается Let's Encrypt, — DST Root CA X3 — истекает 30 сентября 2021 года, а промежуточный сертификат Let's Encrypt с кросс-подписью от IdenTrust истекает 17 марта 2021 года. За прошедшие годы новый корневой сертификат от Let's Encrypt — ISRG Root X1 — был добавлен во все новые системы (в частности, он был добавлен в Android 7.1.1), поэтому в теории всё должно быть хорошо: можно переключиться на использование нового корневого сертификата, и все новые системы будут ему доверять.

На практике проблему создают старые системы, которые не обновлялись несколько лет и не знают ни о каком ISRG Root X1. Особенно печальна ситуация с Android — около 30% Android устройств до сих пор используют версию 7.0 или что-то ещё более старое. При открытии сайтов, опирающихся на новый корневой сертификат, такие старые устройства будут выдавать ошибку установки защищённого соединения.

Из-за старых андроидов Let's Encrypt уже дважды откладывал переход на свой корневой сертификат. Однако откладывать больше некуда: имеющийся промежуточный сертификат перестанет работать в марте 2021 года, а делать новую кросс-сертификацию слишком проблематично. Поэтому Let's Encrypt с 11 января 2021 года начнёт выдавать сайтам сертификаты, заверенные с использованием нового корневого сертификата, — и по мере обновления сертификатов на сайтах они перестанут открываться на старых устройствах.


Вы можете проверить, коснётся ли эта проблема вас. Для этого закройте все вкладки (на всякий случай), перезапустите браузер (например, остановив приложение через настройки; если не знаете как — перезагрузите телефон; это нужно, чтобы Chrome не додумался своровать промежуточный сертификат из какого-то другого открытого сайта) и попробуйте открыть вот этот сайт:

https://valid-isrgrootx1.letsencrypt.org/

Если он открылся, то скорее всего всё хорошо и вас проблема не затронет. Если у вас Chrome, вы можете тапнуть по замочку в адресой строке, открыть данные сертификата и убедиться, что используется именно ISRG Root X1:
Скриншот
(Если вместо ISRG Root X1 написано DST Root CA X3 — значит Chrome всё-таки додумался своровать сертификат от другого сайта, и проблема может коснуться вашего устройства.)

Если вместо этого вы получите ошибку, то всё плохо

Чтобы избавиться от ошибки, можно купить новый телефон вручную добавить новый корневой сертификат в доверенные. Для этого:

  1. Скачайте вот этот der-файл (если он не подойдёт, можно вместо него попробовать pem-файл).
  2. Android автоматически откроет окно с предложением установить этот сертификат. Но если вдруг не откроет, то перейдите в «Настройки» → «Безопасность» → «Установка с SD-карты» и выберите скачанный файл.
  3. Придумайте какое-нибудь имя, а в качестве использования оставьте пункт «VPN и приложения».
  4. Если у вас не стоит PIN-код или графический ключ, вас попросят его установить. После успешной установки сертификата его можно будет убрать.
  5. После этого сертификат будет успешно установлен; вы можете его увидеть на странице «Надёжные сертификаты» во вкладке «Пользователь». Теперь https://valid-isrgrootx1.letsencrypt.org/ станет нормально открываться.

Скриншоты


Также будет нелишним проверить телефоны, планшеты и умные телевизоры мамы/папы/дяди/тёти/брата/сестры — вдруг какие-нибудь нужные им сайты тоже используют Let's Encrypt.

Ещё можно передать привет пользователям Windows 7, отключившим обновления, так как они упустили обновление 2018 года, добавляющее этот самый корневой сертификат.

Жанры и события на ponyfiction.org переделаны в теги

+130
в блоге /dev/stories
Как стало хорошо видно во время обсуждения, фиксированный набор жанров и событий и их чёткое отделение друг от друга не способны угодить сразу всем. Поэтому им на замену были по-быстрому сделаны универсальные теги, хотя изначально я не планировал делать это в ближайшее время.

Теги кратко описывают жанры рассказа, сеттинг, вселенную, время действия. Некоторые теги, которые администрация (в лице меня) посчитает важными, выводятся прямо под заголовком рассказа — там же, где и жанры раньше. Остальные спрятаны на странице рассказа под ссылкой «показать все теги», защищающей от слишком длинной спискоты и от спойлеров. Галочки с жанрами и событиями заменены на простое поле ввода, в котором присутствует автодополнение для удобства. Список всех существующих тегов доступен на специальной странице: https://ponyfiction.org/tags/

Теги не имеют чёткой классификации, и деление на жанры и не-жанры больше не используется. Некоторые теги вынесены в отдельные категории для удобства поиска, но большинство тегов не принадлежат ни одной из категорий.

Список тегов не ограничен: их можно создавать. На данный момент создавать теги могут только авторы рассказов на странице редактирования рассказа.

Теги являются экспериментом. Не все проблемы, упомянутые в обсуждении, были решены. Если поначалу всё будет хорошо, то всё будет доводиться до ума, и, скорее всего, появится возможность редактировать теги рассказов для всех пользователей, как на дерпибуре. Если всё будет плохо — верну как было. Откровенно мусорные теги я постараюсь вычищать, спорные или слишком похожие теги, наверно, стоит выносить на обсуждение.

Теперь всё зависит от вас. Создавайте теги, предлагайте синонимы, отправляйте багрепорты, пишите фичреквесты. Что будет дальше — увидим по ходу дела.

Этот пост на ponyfiction.org

Обсуждение изменения жанров и событий на ponyfiction.org

+173
в блоге /dev/stories
Сториз давно ругают за не совсем полные и корректные жанры и события, и нужно с этим что-то делать. Этот пост создан для обсуждения необходимых изменений, по результатам которого я обновлю жанры и события на сайте в ближайшие дни. (Если что, текущий список жанров и событий можно увидеть на странице поиска под кнопочками «Фильтры поиска» и «Еще более тонкий поиск».)

Читать дальше →

Всетабунский опрос по Сторизу (2018)

+202
в блоге /dev/stories
Два месяца назад stories.everypony.ru переехал на новый адрес ponyfiction.org и перешёл под моё руководство. А ровно три года назад проводился всетабунский опрос по тому Сторизу, который ещё stories.everypony.ru. Там было много вопросов, которые меня теперь очень интересуют, но за три года многое изменилось, и я решил повторить этот опрос. В марте-апреле я на ponyfiction почти ничего не делал из-за личной занятости, но делать что-нибудь обязательно буду, и этот опрос поможет мне получить мнение пользователей о сайте и составить дальнейшие планы по работе над сайтом.

Пройти опрос можно здесь:

https://docs.google.com/forms/d/e/1FAIpQLScCIrUuPCGhp04Fg-EPXSdoeq-LvHx3jOjghLXOYmM58aigiw/viewform

Осторожно, опрос длинный! Как и предыдущий, он охватывает практически все аспекты сайта, поэтому даже простое прокликивание ответов может занять 10-15 минут, а если вы решите написать развёрнутое мнение, то дело может растянуться на полчаса и больше.

Если вы просили меня о чём-нибудь, что я ещё не реализовал, — повторите просьбу в этом опросе, чтобы все пожелания оказались собраны в одном месте.

Кроме того, отдельно хотелось бы обратить внимание на следующие три темы: события, сборники и песочница. Какие события нужно добавить или убрать? Нужны ли публичные или приватные пользовательские сборники рассказов? Нужна ли песочница, и в каком виде? Или вместо песочницы нужно просто убрать премодерацию? Предлагаю обсудить всё это в комментариях после прохождения опроса.

И помните, от вашего участия зависит будущее Сториза. Теперь на самом деле: в отличие от прошлого года сейчас есть действующая и никуда не пропадающая администрация в лице меня.

Stories Est Mort, Vive Le Ponyfiction!

+413
в блоге /dev/stories


Библиотека ЕП и библиотека Андреймала выделяются в отдельный, независимый от ЕП проект библиотеки MLP-фанфиков — ponyfiction.org!

Что случилось?
В библиотеке ЕП долгое время был застой, и он явно не шел ей на пользу. Популярность библиотеки Андреймала показала, что броням всё же нужен работающий и хороший сайт с фанфиками, но два сайта порознь выглядели не очень. Более того, идея библиотеки переросла концепцию «дополнение к Самому Главному Порталу».

Поэтому на основе контента двух сайтов и нового, улучшенного движка библиотеки мы создали новый проект, не привязанный к ЕП или другому порталу: ponyfiction.org

Читать дальше →

Опрос о премодерации

+127
в блоге /dev/stories
Добрый вечер, дорогие друзья!
Пользователи Библиотеки несколько раз поднимали вопрос по поводу целесообразности использования режима премодерации. Поэтому мы решили узнать, как лучше поступить в решении данного вопроса с помощью этого нехитрого голосования. Вы можете голосовать за один из пунктов, либо оставить свое предложение в комментарии — набравшие большее число плюсов будут внимательно рассмотрены администрацией Табуна. Надеемся на адеватность обсуждения и разумные комментарии.

Комментарии к пункту №3: фик, у которого стоит данный тэг, проходит премодерацию, но не попадает на главную страницу. Любой пользователь сможет прочесть данный рассказ, заглянув в соответствующий раздел.

Упомянутые пункты Правил:
2. Все рассказы перед публикацией проходят предмодерацию, в процессе которой отсеиваются неподходящие рассказы. К публикации не принимаются:
2.1. Тексты, которые по очевидным причинам не являются рассказами: списки, опросы, обзоры, конкурсы, авторские заметки и прочее. Сборники стихов, песен, баллад и тому подобного принимаются только при условии их прямого отношения к MLP:FiM.
2.2 Рассказы, на момент публикации никак не относящиеся к вселенной MLP:FiM (“ориджиналы”).
2.3 Рассказы в форме диалога или комментариев между строк другого рассказа.
2.4. Рассказы, написанные не вами – это касается и плагиата чужих. Если рассказ был опубликован с разрешения автора, то он будет проходить премодерацию в установленном порядке.
2.6. Рассказы на иных языках, кроме русского.

Об удалении комментариев

+259
в блоге /dev/stories
В последние несколько дней в библиотеке были удалены комментарии у нескольких рассказов, что вызвало бурное обсуждение. Высказывались даже предположения, что удаление этих комментариев — это такая новая политика, которую можно условно описать как «запрещено любое обсуждение рассказов». Конечно, это не так. Просто одному из модераторов указали, что обсуждение в комментариях к рассказу других рассказов, не связанных с текущим, является неправильным. По каким-то причинам он решил, что это относится к любым обсуждениям вообще и, следовательно, всякое обсуждение является нежелательным. После чего он, будучи твёрдо уверен в своей правоте, принялся активно действовать, а дальше вы уже всё сами знаете.

Как итог данных событий:
— Данный модератор покинул пост.
— Обсуждение рассказов в комментариях, естественно, разрешено (за исключением произведений, не имеющих связи с рассказом, как и обсуждение любой не связанной с рассказом темы)

О птичках

+12
в блоге /dev/stories
2. Все рассказы перед публикацией проходят предмодерацию, в процессе которой отсеиваются неподходящие рассказы. К публикации не принимаются:

2.5. Рассказы с плохой орфографией, пунктуацией и оформлением – без их базового уровня рассказ не будет принят;


Читать дальше →

О кривизне и импотенции

+101
в блоге /dev/stories
2. Все рассказы перед публикацией проходят предмодерацию, в процессе которой отсеиваются неподходящие рассказы. К публикации не принимаются:

2.5. Рассказы с плохой орфографией, пунктуацией и оформлением – без их базового уровня рассказ не будет принят;

Между тем можно наблюдать следующую картину:
Вот это — страница редактирования:


Читать дальше →

Всетабунский опрос по Сторизу! Промежуточный отчёт и повторное приглашение

+143
в блоге /dev/stories

Taxing by Siansaar

И снова здравствуйте, дорогие писатели, читатели и все так или иначе причастные к пони-литературе.
В прошлую пятницу стартовал Всетабунский опрос по Сторизу, и мы хотели бы провести небольшие промежуточные итоги. За прошедшие шесть дней в опросе принял участие 121 человек. Спасибо вам за это!
Число участников с одной стороны внушительное и показывает, что тема волнует умы, а с другой… Прямо скажем, для такой массовой вещи, как Табунская Библиотека, она маловата и картину отражает не в полной мере.
А потому, возьму на себя смелость обратиться к тем, кто ещё не принял участие в анкетировании. Не пожалейте времени, поучаствуйте, ведь именно ваш голос может повлиять на будущее библиотеки.
Обращусь и к тем, кто опрос уже прошёл: возможно, у вас есть друзья и знакомые, которым Сториз не безразличен. Расскажите об анкетировании им, распространите информацию. Это действительно важно.

>>>Пройди опрос, порадуй Табуняшу!<<<

>>>Пройти опрос на альтернативной площадке!<<<

С полным отчётом по результатам можно будет ознакомиться через пару недель, когда собранная информация будет обработана и структуризована. А пока — краткие итоги по некоторым позициям:
Милости прошу под спойлер!Нередко звучала критика в адрес существующих правил Сториза. В то же время, раздел опросника, посвящённый их доработке, остался почти без внимания — высказалась по ним примерно пятая часть респондентов. Жаль, что возможность высказаться по этому вопросу и внести свои предложения на рассмотрение была многими проигнорирована. С другой стороны, не могу не отметить, насколько обстоятельными и конструктивными были многие из озвученных предложений — они будут учтены в обязательном порядке.
Что касается штрафов, то тут большая часть табунчан высказалась за сохранение существующей системы. Голосов за ужесточение тоже не мало, но всё же ощутимо меньше, а вот смягчать её пользователи практически не хотят.
Зато вопрос с публикацией стихотворений и зарисовок мало кого оставил равнодушным, и большая часть респондентов высказалась или за создание отдельного раздела для подобных произведений, где нижний порог будет отсутствовать, или за введение подобного «послабления» для соответствующих жанров. Обязательно всесторонне обдумаем этот вопрос!
Положительным оказался отклик на предложение о создании сервиса Бета-ридеров. Две трети респондентов сообщили, что воспользовались бы этой системой в случае её появления, а о своём желании записаться в ряды редакторов и корректоров сообщила ровно половина участников опроса. Приложим все усилия, чтобы подобный сервис увидел свет в нашей Библиотеке.
Истосковались пользователи Сториза и по разнообразным конкурсам, а также иным мероприятиям подобного рода, что также не может не радовать. А вот вопрос о том, какую помощь могут оказать Сторизу респонденты, вызвал у них затруднения — по большей части его просто проигнорировали. Впрочем, все они уже совершили огромное дело одним тем, что заполнили нашу громадную анкету. Спасибо вам, дорогие друзья!


Разумеется, вышеизложенное трудно назвать отчётом. Данный текст не претендует ни на научность, ни на аналитику — ей мы займёмся, когда последний респондент опустит свою анкету в ящик для приёма заявлений (приём, кстати, продлится до 8го мая включительно). Пока же мы опубликовали лишь небольшую подборку фактов, на которую обратили внимание при прочтении ваших ответов.
Итак, просим всех непрошедших принять участие в анкетировании.
Вместе мы сделаем наш ресурс лучше!