DW Теперь - безопасно. Отключение логирования.

Waca · 07.10.2021

Уважаемые пользователи. Была идея отключить полностью логирование на сервере, что бы не связывать пользователей ни с какими IP адресами, так как многие заходят на форум не через ТОР, не через VPN - а со своего домашнего адреса.
Помните - безопасность важнее всего.
Но мы столкнулись с проблемой, что при отключении логирования падал Антидосс сервис, что не допустимо для форума.
В данный момент проблему получилось обойти, и в дальнейшем IP адреса не будут закрепляться за аккаунтами - логирование IP адресов полностью отключено. Так же очищены все IP адреса, которые копились на форуме от 15 года.
Так же выставлена функция автоудаление личных сообщений на форуме по происшествию 365 дней - то есть все сообщения, которые старше года - будут автоматически удалены.
Единственный момент который не удалось обойти - сервер периодически необходимо будет чистить руками от всяких других логов, и мы взяли за традицию - очищать сервер раз в месяц.

Теперь - безопасно!

darkaydl · 07.10.2021

Новость хорошая, но как будете бороться с мультами?

Waca · 07.10.2021

darkaydl написал(а):
Новость хорошая, но как будете бороться с мультами?

У нас есть специальная мультоловка которая не зависит от айпи адресов, да и айпи адреса это сомневное попадание по мульту.

Eric_Cartman · 08.10.2021

Хорошее решение, рад что у вас получилось.
У некоторых форумов далеко все не так :)
Не забывайте про личную гигиену интернета - VPN
особенно если вы тут работаете, а не заходите потеребонькать на сливы :P

витяш · 12.10.2021

Это конечно очень круто, но если пользователь авторизован в яндексе - яндекс цепляет айпишник. Ваши логи не имеют прям уж серьезный вес. Если у товарища Доигралеса будет желание выцепить типичного скамера - он в первую очередь сделает запрос в яндекс, клаудфлейр какой-нибудь и итог очевиден.
Сама идея - збс, но было бы круто отказаться как минимум от яндексМетрики и прочих сервисов)

Мое всратое мнение скорее всего никому не нужнО, но всё же

upd.: с клаудфлейром я прям в точку

Waca · 12.10.2021

витяш написал(а):
Это конечно очень круто, но если пользователь авторизован в яндексе - яндекс цепляет айпишник. Ваши логи не имеют прям уж серьезный вес. Если у товарища Доигралеса будет желание выцепить типичного скамера - он в первую очередь сделает запрос в яндекс, клаудфлейр какой-нибудь и итог очевиден.
Сама идея - збс, но было бы круто отказаться как минимум от яндексМетрики и прочих сервисов)

Мое всратое мнение скорее всего никому не нужнО, но всё же

upd.: с клаудфлейром я прям в точку
Посмотреть вложение 115769
Посмотреть вложение 115770

Если через яндекс метрику реально привязать айпишник к какому либо пользователю - с удовольствием уберем яндекс метрику.
Благодарю за информацию, проверю так ли это и отпишусь здесь обязательно.
Ваше "всратое" мнение очень важно для нас, потому что оно несет контент, над которым можно подумать.

Waca · 12.10.2021

витяш написал(а):
Это конечно очень круто, но если пользователь авторизован в яндексе - яндекс цепляет айпишник. Ваши логи не имеют прям уж серьезный вес. Если у товарища Доигралеса будет желание выцепить типичного скамера - он в первую очередь сделает запрос в яндекс, клаудфлейр какой-нибудь и итог очевиден.
Сама идея - збс, но было бы круто отказаться как минимум от яндексМетрики и прочих сервисов)

Мое всратое мнение скорее всего никому не нужнО, но всё же

upd.: с клаудфлейром я прям в точку
Посмотреть вложение 115769
Посмотреть вложение 115770

Кстати, если Вы специалист в этой области и можете указать нам на недоработки - укажите, пожалуйста.

витяш · 12.10.2021

Waca написал(а):
Если через яндекс метрику реально привязать айпишник к какому либо пользователю - с удовольствием уберем яндекс метрику.
Благодарю за информацию, проверю так ли это и отпишусь здесь обязательно.
Ваше "всратое" мнение очень важно для нас, потому что оно несет контент, над которым можно подумать.

Более чем реально. У яндекса уже очень давно целая экосистема, а особенно их сервисы "метрика", "директ" и "вебмастер" - они прям как единое целое.
В качестве эксперимента попробуй авторизоваться в той же яндекс почте (очевидно будешь авторизован во всех яСервисах), зайди на дв и удали из под дв куки яндеса (скрин в прошлом сообщении). Как итог - тебя выкинет из яАккаунта. То что они собирают максимум логов - факт. Они видят когда ты заходил на сайт, с какого устройства, подменил-ли ты юзерагент, какое у тебя разрешение экрана, какая рабочая область браузера и целую кучу параметров. Имхо - логи ведутся более чем обширные. А если еще учесть, что часть пользователей форума пользуются с этого же аккаунта сервисом яТакси - яндекс знает еще и данные банковской карты, номер телефона и т.д. Очень сложно сделать форум супер-анонимным в клирнете. Всегда будет способ сдеанонить пользователя, даже если убрать метрику и отказаться от услуг прочих сервисов а-ля клаудфлейра (который, к слову, проксирует весь трафик и знает примерно столько же, сколько и яндекс). Проще уже забить на это и поднять зеркало в торе. Кто хочет прикрыть свою попу - будет заходить через луковый браузер, кому скрывать нечего - будет продолжать сидеть на борде с основной машины)

витяш · 12.10.2021

Waca написал(а):
Кстати, если Вы специалист в этой области и можете указать нам на недоработки - укажите, пожалуйста.

Не скажу, что специалист, но относительно своих знаний могу дать совет
Повторюсь - зеркало в торе
Настроить всё можно таким образом, чтобы пользователям не приходилось запоминать длиннючие зеркала форума
Касательно нового onion v3 подсказать не могу, но думаю инфа есть в интернете
Грубо говоря пользователь должен вбить в торе домен форума, на стороне сервера нужна проверка. Если юзер зашел из тор браузера/сети тор - делаем редирект на необходимый .onion домен
Только стоит учесть, что весь JS будет недоступен. Хз как у ксенфоро с этим дело, но, думаю, что-то придумать можно

bimmer · 12.10.2021

давно пора!

DW Теперь - безопасно. Отключение логирования.

bimmer