* Potrebno generalno testiranje / komentari / predlozi.

* Potrebna pomoć oko threadovanja (da li je dobro ovo što sam stavio u in-reply-to i references headere) i potvrda funkcionisanja toga u različitim mail klijentima.

* Za sada read only. Potrebni predlozi oko mogućih načina autorizacije pri postovanju, a da to ne bude paintext slanje passworda negde u okviru maila. Možda poseban secure smtp server na samom ES hostu - to komplikuje slanje, onemogućava prosto reply i send.

Notes:

Slanje ide na 10 minuta tako da vas ne začudi delay, to je NAMERNO, da ima i moderator vremena da reaguje ako je neki spam u pitanju.

Biće lepo kad se ovo završi i proradi 100% funkcionalno.

ES će onda imati sledeće načine praćenja:

www
wap
news (isto sređujemo trenutno)
mail

Smislite još neki?

1) imamo i RSS.. ;)
a videću kada prođu ispiti da ga još poboljšamo.. ;)

2) a što mora onako prijava/odjava. zar ne može lepo dva checkbox-a?
i još bolje, umesto da potvrđuje i refrešuje posle svakog klika, da lepo ima dugme "snimi izmene"?
i sredi text na vrhu stranice..

3) za autentifikaciju, ovako nešto je prilično prosto, ne opterećuje, a dovoljno sigurno (tj sigurnije od čuvanja plain passworda u kukiju browsera ;).

napravi string od IDa teme, korisničkog imena, možda šifre, i neke tvoje tajne šifre. uradi md5() svega toga, i pošalji u mailu. mislim da ćeš morati da šalješ i ID teme na koju se odgovara (pošto naslovi mogu da se menjaju), tako da možeš pored toga da pošalješ ovaj md5, ovako nekako:



mada, ako se ispostavi da svi klijenti uredno vraćaju Message-Id, In-Reply-To, i References, onda možeš da koristiš i neki od tih hedera za md5, a da po mogućstvu, i dalje ostane tredovanje kako treba.. recimo, vidim da ti je References čisto duplikat polja In-Reply-To. možda možeš to da iskorisitš..

kad ti stigne mail, opet izračunaš taj md5() i proveriš da li se nalazi u mailu.. tako na mail može da odgovori samo onaj ko ga je primio (hash će biti različit za svaki poslati mail)..

// i btw, kao sa nntp, da razmisliš o konvertovanju iz/u UBBC u mailovima koje šalješ i (naročito) koje primaš..

Ovo za md5 je naizgled kul ideja ali kad bolje razmisliš shvatićeš da nije ništa sigurnije od slanja plaintext username/password kombinacije ili držanja iste u browseru (šta bi se dobilo držanjem md5 hasha u cookieima?).

Dovoljno je saznati taj md5 hash (tj celu tu liniju) i možeš da pišeš po toj temi u ime tog korisnika. Isto važi i za plaintext cookies koje toliko ne volite. I da je md5 unutra, dovoljno je da se sazna isti taj md5 i na isti način se uloguje, samo staviš taj md5 u cookie kod sebe. :)

md5 umesto plaintext passworda u kukiju je sigurniji za korisnika (za tebe nije bitno), jer nekome ES nije toliko važan da izmišlja i pamti posebnu šifru za njega, nego koristi isti pass za kao i na 10tak drugih sajtova.

to, u kombinaciji sa lakoćom krađe kukija iz IEa, daje vrlo nesigurnu situaciju..


md5 umesto plaintext passa u mailu je sigurniji jer će onaj ko pročita jedan mail moći da piše samo na jednoj temi, a ne i na drugim temama, forumima, da briše korisnikove poruke, ili čak i tuđe ako je korisnik moderator..

takođe, umesto IDa teme, može se koristiti i ID poruke, pa još ograničiti da se na jednu poruku može odgovoriti samo jednom porukom (ima malih problema ako se poruka na koju se odgovara obriše, ali sve se da razraditi), tako da će šteta ako neko pročita jednu poruku biti vrlo ograničena (uljez će moći da napiše jednu jedinu poruku).

ako pak neko može da pročita više poruka, onda može i da lepo zatraži lozinku preko "lost pass" formulara, tako da bilo kakva zaštita nije bitna..


naravno, ovo nije savršen metod zaštite (da li takav postoji?), ali je sa jedne strane dovoljno jednostavan da ne smeta korisniku, a sa druge je sigurniji od plaintext passa u kukiju..

da bi napravio dvosmernu komunikaciju mailom:

mogao bi svakom korisniku da dodelis neki broj i da taj broj upisujes recimo u subject liniju...

kada covek odgovori putem emaila, tvoj sistem proveri taj broj i izvuce korisnika iz baze, zatim proveri sa koje adrese je poslat email i vidi da li se slaze sa adresom na koju je covek prijavljen...

posto su i email adresa i taj broj tajni, to bi trebalo da zastiti od zloubotreba...

Ok, sredio sam sinoć i pisanje odgovora mailom!

Detalji ovde: http://www.elitesecurity.org/tema/52400

Možete isprobati kako radi pa javiti utiske.

Hvala svima na dosadašnjim sugestijama i idejama.

Vidim da ovo fino radi Poslao sam jednu malu test porukicu

test...1...2..3... :) Izgleda da radi.....

lepo sam ja pričao da treba otvoriti test forum, ali neeee.....

Ja cu koncizno:
1) Imena foruma su predugacka. Npr. [elitesecurity.hardware.pc-hardware.storage] pa se subjecti tesko uocavaju. Mozda je bolje imati neku internu sifru npr. [S074] pri cemu bi 74 bio br. foruma. Teze za setup, ali lakse za pracenje
2) Outlook (a najverovatnije i OE) se ne snalazi dobro kada je reply u formi "[elite....] Re: <subject>" jer "Re:" nije na pocetku subject-a i onda stavi prvu poruku (jedinu bez Re:) u drugi thread. Ako bi moglo "Re: [elite....] <subject>" bilo bi bolje
3) do pre nekoliko dana nisam skoro uopste pratio ES upravo zbog web interfejsa koji mi ne odgovara. Pokusavao sam vise puta (bezuspesno) da pisem skripte/programe koji ce skidati html i parsirati poruke kako bi bile u boljoj formi za mene. Tek sada sam krenuo da citam forume. Drugim recima: MNOGO MI SE SVIDJA OVAJ MAIL SUBSYSTEM! I zeljno iscekujem da postavite news, za koji mislim da je mnogo odgovarajuci protokol od maila (bar za konkretnu primenu)

over and out

1. S074 u subjectu stvarno ne bi bilo indikativno, ja bih se prvi pogubio u tome. Ovako je mnogo lepše i priznaćeš korisnije kad znaš kojoj listi mail pripada. Mogu na primer da pomerim naziv na KRAJ subjecta, posle teksta, i da se subject seče na nekom 40tom karakteru za slučaj da je mnogo dugačak. Šta kažete na to?

2. Ovo sam uradio. Kako je sada?

3. Ovakva reakcija mi se zaista dopada! :) I cilj je bio omogućiti pristup ljudima koji nemaju vremena da redovno posećuju www verziju.

Sada threadovanje radi odlicno...

Ideja da naziv foruma ide na kraj subjecta je odlicna. Ne znam ni sam kako mi je pala na pamet tako glupa ideja sa S074 ;)

Ja sam inace stidljivi korisnik M$ Outlook-a, pa iako pretpostavljam da vecina ovde korisni neki linux mail klient, pokusacu posle ispita (18. maj) da napravim neki skript koji ce automatski kreirati posebne foldere i definisati Email Rules kako bi se odgovarajuci forumi prebacivali u odgovarajuce foldere. To je mukotrpan zadatak da se odradi, pogotovu ako pratite dosta foruma.

Gojko evo par predloga vezanih za mailing liste.

1.Kada korisnik postuje attachment uz poruku ne bi bilo pametno slati isti uz svaki email, zbog protoka, a takodje ne bi bilo pametno ne obavestiti primaoca email-a o postojanju attachment-a.

Resenje: U email-u naglasiti da postoji attachment i ukljuciti URL preko koga se moze skinuti isti.

2.Kada korisnik zeli da postuje poruku odgovorom na email, treba omoguciti da se eventualni attachment koji se salje uz email automatski dodaje poruci.
Korisno bi bilo dodati skracenicu, npr.: [att_url], koja bi se automatski u poruci zamenila URL-om dodatog attachment-a. Dodatno, omogucivanje ovakve skracenice pri postovanju poruke preko sajta bi ponistilo potrebu za editovanjem poruke nakon dodavanja attachment-a, ako korisnik zeli da ukljuci URL attachment-a u poruku.
Primer:
[img][att_url][/img]

3.Ako korisnik zeli da otvori novu temu preko email-a, najbolje bi bilo da svaki forum ima svoj email, kako je to neko ranije rekao. User bi se identifikovao preko email-a sa kojeg je poslao poruku, koji se mora slagati sa onim u profilu. Subject poruke bi odgovarao nazivu teme koja se otvara. Da bi se sprecila zloupotreba, korisnik bi mogao otvoriti najvise x tema dnevno po forumu (x<3 npr.). Drugi mehanizam zastite bi, kako je to neko rekao, ukljucio obaveznu potvrdu otvaranja teme: Nakon sto korisnik posalje email kojim otvara temu, usledio bi BRZ odgovor email-om, koji je potrebno reply-ovati bez izmene, da bi se otvorila tema na forumu.

4.Ako korisnikova poruka ne bude postovana iz bilo kog razloga (npr. nema pravo za pisanje - otvaranje teme na forumu Ankete, ako je naziv teme kraci od 16 karaktera, ako je attachment veci od 100kb i sl.) korisnik bi dobio poruku da mu je zahtev odbijen uz naveden razlog.

5.Ako korisnik zeli da izmeni neku od poruka koje je postovao, dovoljno je izvrsi reply email ovavestenja mailing liste o svojoj poruci, ali da u subject ukljuci broj poruke koju zeli da menja (broj poruke moze da procita iz email-a), da ne menja one dve linije, te da ispod tih linija napise novu poruku koja ce zameniti staru. Ako korisnik ne napise nista ispod te dve linije (sem eventualno SPACE, TAB, CRLF i sl. karaktera), poruka se brise. Na analogan nacin bi i moderatori mogli da obavljaju svoj (nepopularan) posao - da menjaju i brisu tudje poruke.

6.O premestanju tema iz foruma u forum i menjanju naziva tema treba jos malo razmisliti.

Da li ti znas koliko je "tesko" falsifikovati adresu sa koje saljes? :) To nedolazi u obzir... ali zato ovo sa replay moze da prodje...

email adrese nisu javne, npr ti ne znas kojom sam se ja adresom prijavio pa zato ne mozes ni da je falsifikujes...

da, ali ako se malo potrudim da stupim sa tobom u kontakt mailom velike su sanse da saznam...

Ej, Gojko, evo problema.

Korisnik koji uključi "E-mail obaveštavanje" na nekoj temi neće dobiti poruke sa te teme koje su poslate preko mail liste. Iako će celokupni koncept obaveštavanja uskoro biti menjan, šta kažeš za ovaj problem?

Ta mi se svidja... :)

P.S. Gde nestade citat ?

Bojane, da to je tačno, za sada se ne šalju obaveštenja o tim porukama. Biće to sređeno verovatno sad za vikend.

Pretplatio sam se na neke forume, da li ću obaveštenje putem e-maila da dobijam jednom dnevno ili svaki put kada se napravi nova tema ili novi odgovor?

Gojko, opet ne dobijam(o) poruke preko email liste. :(

Lažna uzbuna, do mene je. :(

Prekinuo se IMAP, a piglu klijent nikakvu grešku nije javio.

http://www.elitesecurity.org/liste i odjavi se sa onih foruma koje ne želiš da pratiš. Za pojedinačne teme ovde klinki: http://www.elitesecurity.org/pracenje