oggi, per chi se ne fosse accorto, si è presentato un problema non da poco col sitoz.
ho ricevuto sulla mia email personale una nota dagli amministratori di servage che sottolineavano la presenza nel mio sito di codice malevolo:

Dear davide,
A Servage system administrator has made the following note to your account:

------- Note -------

admin note: hosting phishing site, please check your security settings, passwords and installed scripts/tools (like joomla)

Search for .html /.php / .zip files in image / upload folders.

[...]

ho pensato subito a un'email di spam, anche perché io non utilizzo joomla per il mio sito. navigando nella mia cartella dello spam ho trovato un'email della RSA che mi diceva più o meno le stesse cose. in men che non si dica non sono riuscito più a loggarmi nel backoffice del mio account per aprire un ticket di segnalazione né ad utilizzare l'ftp per esplorare le mie cartelle.
dopo un'ora sono riuscito a loggarmi nel backoffice di servage e ho notato (non ho salvato lo screenshot purtroppo): "your account is suspended". aaaaaaaaaaaaaaaaaargh!!! perchè? mi fiondo nell'area filemanager e mi accorgo che qualcuno ha violato il mio spazio ftp riuscendo ad uploadare le cartelle in questione (contrassegnate dal punto di domanda rosso):

all'interno? file php con codice malevolo per salvare dati bancari della "Lloyds Banking Group"... azz! il tempo di andare sul sitoz e...

doppio azz... per venirne a capo apro un ticket di assistenza chiedendo la riattivazione del mio account: lo spazio del mio sito non per colpa mia è stato violato e loro mi chiudono il sito così, aggratis senza dirmi nulla? hanno avuto segnalazioni di codice malevolo e fraudolento eseguito sul mio spazio, ma la colpa di chi è? io ho un solo account ftp di cui sono gelosissimo, non l'ho mai condiviso né tantomeno ho mai scritto via email le credenziali di accesso. qualcuno avrebbe potuto rubarmele? può darsi, magari un malware al lavoro (visti i problemi che vi raccontai un mese e mezzo fa...). fatto sta che mi sono ritrovato senza sito per quasi tutta la giornata. una volta cambiate le password di accesso dell'ftp e impostato permessi più restrittivi sulle cartelle, l'amministratore ha riattivato il mio account. peccato che per riavere il sito funzionante ho dovuto aspettare tre ore.

tra un mese scade il rinnovo... vedrò cosa fare, non è la prima volta che servage ha dei problemi (spesso di sicurezza) che cerca quasi sempre di mascherare come non suoi. ma io dico: se una cosa funziona un giorno, mentre il giorno dopo no... di chi sarà la colpa? mia che non ho modificato nulla o loro che sono i maintainers (e che quindi devo mantenere l'ambiente funzionante)? possibile che non ci sia un log dell'ftp con dati come l'ip da cui vengono inviati dati e codici malevoli da bannare? possibile che non mi si avverta entro un quarto d'ora e che poi non si aspetti neanche venti minuti prima di bannarmi l'account per cui pago 130 euro l'anno? non me ne faccio alcunché delle scuse a testa bassa dell'ennesimo galoppino (poveraccio anche lui) che si prostra virtualmente per un errore che alla fine sembra proprio essere loro...

da quando ho reso pubblica la nuova versione del sitoz ho notato alcuni problemi dovuti allo spam. persone registrate con nomi assurdi del tipo "sdlkjefhjhgj", email abbastanza farlocche, attacchi compiuti postando centinaia di commenti di spam nel giro di trenta/quaranta minuti.

ieri nel tardo pomeriggio sono stato testimone in diretta di un attacco di alcuni (secondo me è uno solo) spammers nei miei confronti. hanno iniziato ad arrivare un centinaio di commenti nei post meno recenti, ma non solo, con parole inesistenti. ipotesi mia: è un bimbominkia (o bitchecker) che si crede un gran figo, peccato per lui che non riesca a superare un semplice login. peccato per lui che tanta, ma veramente tanta gente sia più furba di lui. addirittura io.

scoperto l'attacco ho incluso nella mia applicazione la libreria scritta da un tale alex per akismet, un servizio dai creatori di wordpress che permette tramite una chiamata REST di valutare se il commentatore sia uno spammer o meno in base all'ip, al contenuto, all'email. in meno di dieci minuti tutti i contenuti postati illegalmente dall'attaccante sono finiti sì nel database, ma flaggati come spam. davide 1 - spammer 0.

non mi basta, non voglio che comunque il mio database si appesantisca o le operazioni di accesso degli altri utenti (legittimi, loro) rallentino perché un sedicenne deficiente possa provare i suoi giochini. in poco meno di un'oretta ho sviluppato una libreria apposita per il mio framework per creare un'immagine cosiddetta captcha, sì, quelle fastidiose con le righe e le lettere distorte con cui ti cavi gli occhi cercando di capire cosa possa rappresentare: "un 5?", "una ESSE?". naturalmente il codice da inserire è solo per gli ospiti che vogliano postare il commento, non per gli iscritti e loggati. questo controllo è stato aggiunto anche in fase di registrazione. davide 2 - spammer 0.

captcha image @ sitoz.org

se notate dei problemi (impossibilità di scrivere, attacchi ulteriori, etc...) fatemelo sapere quanto prima! certo che bisogna essere proprio dei bei falliti per definirsi spammer...

risorse utili:
http://akismet.com/
http://www.achingbrain.net/stuff/php/akismet
http://www.stopforumspam.com/ (spammers alla berlina, "forum banlist")

benvenuti nella nuova versione del sitoz.org! molte cose sono cambiate a parte la nuova grafica. partiamo dal principio: in quest'ultimo anno ho fatto passi da gigante in php5, scoprendo la potenza dei frameworks e di soluzioni database mai veramente approfondite in precedenza. potevo esimermi dal reinventare la ruota ancora una volta privando il mondo dell'ennesimo framework in php? ovviamente no, così è nato il progetto need coffee on mondays (e non solo i lunedì, ahimè)!

tutta la struttura del nuovo sitoz è basata su un framework model-view-controller (mvc per gli amici nerd) scritto da zero in php5 + database mysql5, anche se il layer di astrazione che ho introdotto dovrebbe permettere l'utilizzo di ogni tipo di database  supportato da php, ma non ne ho avuto ancora la riprova. finalmente un codice pulito, facile da mantenere, riutilizzabile. futuri impegni lavorativi mi hanno costretto ad un rilascio affrettato dopo solo pochi mesi di lavoro nei ritagli di tempo. dire che sia una versione beta è fare un complimento, io propenderei per una alpha se non addirittura unstable... a questo punto solo con l'uso riuscirò a capire eventuali problematiche e a risolverle nel tempo, di test ne ho fatti proprio pochi.

le sezioni non variano granché dalla versione precedente. esistono sempre il mio blog e il forum per le nostre serate e quant'altro. ho inserito una barra di ricerca che nella mia idea di usabilità (ci ho pensato a lungo, che credete!!) integra e completa lo scarno menù di navigazione, potendo così rinunciare all'onnipresente sidebar.
la nuova homepage è un aggregatore delle ultime attività del sitoz: blog, commenti, tags e forum (quest'ultimo solo da loggati).
la sezione people elenca tutti gli iscritti di sempre al sitoz, ma senza profili dettagliati, quelli non mi interessano, vi conosco abbastanza bene ormai. però potete inserire un vostro avatar se gradite :)
novità a cui tengo molto sono i feed RSS per (quasi) ogni sezione del sito, anche quelle sotto login (forum). d'ora in avanti sarà possibile tenervi aggiornati senza dover navigare fino a qui, magari anche col cellulare per sapere se la serata allo giunion è stata organizzata e chi ci sarà!

ho cercato di strizzare l'occhio sia all'aspetto grafico sia alla comodità d'uso, sperando di aver ben coniugato due aspetti che a volte (anche troppo spesso) sono in contrasto nello sviluppo di una piattaforma web. a parte l'impianto grafico di mia creatività devo ringraziare alcuni progetti open source che mi sono stati estremamente d'aiuto:

• tinymce: ormai lo standard de facto degli editor wysiwyg online
• tango project: splendide icone
• famfamfam: dove non arriva tango
• jquery: basta il nome, veramente

in rapida sequenza senza gerarchia altre migliorie/novità apportate per le quali non è necessario spendere troppe parole:

• url compatti e brevi, senza titoli lunghi e difficili da ricordare, qui basta un id!
• url parlanti (ad esempio quelli delle ricerche)
• introduzione dei tags nei post (wow, già introdotti nel 2009? sigh...)
• ricerche coerenti finalmente,
• ho cercato di seguire due principi di sviluppo: less is more e keep it simple stupid (kiss)
• elementi grafici ricorsivi e facilmente distinguibili
• usabilità (eliminazione della sidebar a favore di una struttura verticale della pagina)
• url redirect corretto dopo il login
• estrema coerenza tra i link interni alla stessa pagina

ah, già! da adesso solo io posso scrivere nel blog, ho detto! >:) nella fase di import nella nuova struttura di database ho deciso di escludere i vecchi topic del forum (io naturalmente ho copie di backup di tutto), partiamo leggeri! ho ri-detto!

ps: ovviamente e credenziali di accesso restano le stesse di prima per i vari account.

pps: ho sistemato l'odioso baco dell'ora sbagliata!

sembra che non stia pensando al sitoz dal mio assenteismo nella pubblicazione (anche se credo sia meglio scrivere meno e meglio che stronzate ogni dì). in realtà ci saranno delle novità al nostro ritorno dalle vacanze , stay tuned

riposatevi!

sintomo del poco tempo di questo periodo: buon compleanno sitoz, e sono tre! anche se era ieri ! di solito mi organizzo per inserire delle novità, sostanziose o meno, alla grafica o alle funzionalità del sito, quest'anno ci ho provato, ho fatto qualcosa, ma non completa, quindi ho preferito non stupirvi con effetti speciali!!! è tempo di recessione , meglio stare schisci! tanto questa scusa vale per tutto: dagli stipendi alla casa, alle spese!
stay tuned!

magari non tutti l'hanno notato dalla mia totale assenza dal sitoz ma novembre è stato un mese fin troppo pieno anche per i miei gusti:

- al lavoro è partito un progetto molto importante in php e ho voglia di dimostrare il mio valore anche come programmatore, non solo come web-developer.
- due cuori in affitto: io e matteo stiamo cercando a tempo pieno per affittare la casa della nostra proprietaria in cambio della NON imbiancatura a carico nostro.
- due (nuovi) cuori in affitto: io e nadia abbiamo trovato casa , ma c'è tanto da fare. dalle pulizie, all'imbiancatura, al comprare la cucina, all'incastrare le date degli operai .
- ho smesso di giocare il giovedì sera perché non ho più un attimo libero .

ho voglia di dormire. ma non è periodo...