[Solaris]

Citat:

Ursprungligen postat av lunarmys

Kan bara hålla med om engelskan, man blir lite mörkrädd.

Att sen döpa en klass till "Request" känns lite optimistiskt. Varför inte EinardsRequest eller nånting som garanterat inte redan används på sidan?

Står inte heller nånting om pris på business-versionen.. ?

Som sagt, ska ta tag i engelskan så fort jag får tid och hittar någon duktig vän som har dolda engelskakunskaper.

Förvisso sant angående Request, ska skriva opp det.

Det står inte pris någonstans eftersom just nu (vet inte ifall du har loggat in och kollat runt) upptäckt att under beta-versionen kan man bara ha en hemsida aktiv, inte editera sina hemsidor samt att det står både vid registrering och index att allting är helt gratis under betan.

Så just nu finns det ingen "business" eller "private" version att tillgå.

[lunarmys]

Citat:

Ursprungligen postat av Solaris

Det står inte pris någonstans eftersom just nu (ifall du hade loggat in och kollat runt) upptäckt att under beta-versionen kan man bara ha en hemsida aktiv, inte editera sina hemsidor samt att det står både vid registrering och index att allting är helt gratis under betan.

Så just nu finns det ingen "business" eller "private" version att tillgå.

Jajo, det antog jag. Men vore ändå bättre om det står pris och sedan med en liten notis om att fram till produkten är klar så är det gratis.

Skulle ge mig mer förtroende för tjänsten SAMT vore det fint att kunna veta vad man kommer behöva betala OM man fortsätter använda tjänsten efter betan är slut.

[Solaris]

Citat:

Ursprungligen postat av lunarmys

Jajo, det antog jag. Men vore ändå bättre om det står pris och sedan med en liten notis om att fram till produkten är klar så är det gratis.

Skulle ge mig mer förtroende för tjänsten SAMT vore det fint att kunna veta vad man kommer behöva betala OM man fortsätter använda tjänsten efter betan är slut.

Fast jag har faktiskt ingen aning om vad jag ska ta för pris ifall nu tjänsten går ur sin beta-version och blir redo att slussas ut "in public" på ett seriöst marknadsplansperspektiv. Just nu tycker jag det bara är kul att ha skapat ett stort projekt som fungerar + att jag har lärt mig en jäkla massa.

[AndersN]

Hm, går inte så bra att köra för mig (ligger på Binero 1.0)

Warning: curl_setopt() [function.curl-setopt]: CURLOPT_FOLLOWLOCATION cannot be activated when safe_mode is enabled or an open_basedir is set in /einards.core.php on line 92

[Solaris]

Citat:

Ursprungligen postat av AndersN

Hm, går inte så bra att köra för mig (ligger på Binero 1.0)

Warning: curl_setopt() [function.curl-setopt]: CURLOPT_FOLLOWLOCATION cannot be activated when safe_mode is enabled or an open_basedir is set in /einards.core.php on line 92

Hmm ok.

I einards.core.php, testa ta bort raden

"curl_setopt($ch, CURLOPT_FOLLOWLOCATION, true);"

Tack för infon förresten, kan vara bra att veta om.

[AndersN]

Fungerar om jag kommenterar bort den raden, min följdfråga är då om detta lilla ingrepp inte påverkar funktionen på din tjänst?

[Solaris]

Citat:

Ursprungligen postat av AndersN

Funderar om jag kommenterar bort den raden, min följdfråga är då om detta lilla ingrepp inte påverkar funktionen på din tjänst?

Nej då, det ska det inte göra. Klassen du laddar ner anropar bara Einards, du får skriva en helt egen metod ifall du så vill. Hur du anropar Einards spelar ingen roll, bara tjänsten anropas med rätt parametrar så är det lugnt.

D.v.s du kan använda cURL, fopen eller vad som nu behagar dig.

[Solaris]

Sådär, gjort lite uppdateringar nu, suttit igår och idag.

• Ändrat diverse stavfel och konstiga formuleringar (Har försökt så gott jag kan, förhoppningsvis så är det lite mindre farligt nu).
• Uppdaterat FAQn
• Lagt till ett demokonto, uppgifter finns vid login. Har även satt min egen portfolio (http://www.alexander-ljungstrom.com) som mål där man kan testa intrångsförsök och se hur det uppdateras i realtid på demokontot. Demokontot har dock en begränsad funktionalitet, man kan inte ändra lösenord, man kan inte ändra mail, generera nya pass keys m.m.
• Utökat stödet för att identifiera RFI attacker.
• Gjort systemet som övervakar hemsidor mer effektivt, loading time förminskats rejält.
• Effektiviserat vissa saker, såsom trigger levels m.m.
• Lagt till mer information om vad Einards kollar efter och gör, hur vi hanterar data m.m

Har fått mycket god respons på sidan hittills, både här på WN, via mail samt PMs. Kul att se, och det är underbart att ni rapporterar in buggar och dylikt.

[MMC]

Bra med ett demokonto, har tittat runt lite i det nu.

Lite förbättringsförslag:
* Varför måste jag "choose a website" för varenda funktion jag tittar på? Jag tror att det vore bättre att man kunde välja att jobba med en sajt på ett ställe, ungefär som Google Analytics gör. Ännu bättre vore så klart att inte fråga vilken sajt man ska jobba med förrän man lagt till två eller fler.

* Jag saknar förklaringar på vad "Einards status" innebär. Det är massor med röda kryss där på demokontot men det förklaras inte vad det betyder eller vad jag kan göra åt det.

* Försök vara konsekvent med namn på typer av attacker osv. Om ena typen heter XSS så kanske det räcker att kalla SQL-injektioner för SQL och inte "SQL-injections" (ska inte vara ett bindestreck där btw) eftersom det då ser märkligt ut i listan över attacker.

--

Men jag måste bara fråga en sak nu. Du sparar alltså bara URL:en för varje sidvisning, och får därmed GET-variabler som du troligtvis kör genom ett antal regexar för att upptäcka "misstänkt" input. Vad händer med POST-variabler? Jag kan ju lika gärna göra ett SQL-injektionsförsök genom ett POSTat formulär. Om din tjänst inte stödjer det så vore det kanske bra att förtydliga detta.

Ett tips på funktion som kan vara bra för att upptäcka och förhindra XSS: spara Referer-strängen för alla anrop och skriv lite kod som upptäcker när t.ex. ett formulär POSTas med en Referer som skiljer sig från vad det brukar vara för det formuläret.

Slutligen vill jag bara poängtera att jag tycker att det är skitkul att se ett sådant här ambitiöst projekt från någon så ung, så se mina synpunkter som konstruktiv kritik och tappa inte sugen. Du kommer att lära dig sjukt mycket genom att arbeta med detta även om du kanske inte tar över världen med just denna tjänst.

[Solaris]

Citat:

Ursprungligen postat av MMC

Bra med ett demokonto, har tittat runt lite i det nu.

Lite förbättringsförslag:
* Varför måste jag "choose a website" för varenda funktion jag tittar på? Jag tror att det vore bättre att man kunde välja att jobba med en sajt på ett ställe, ungefär som Google Analytics gör. Ännu bättre vore så klart att inte fråga vilken sajt man ska jobba med förrän man lagt till två eller fler.

* Jag saknar förklaringar på vad "Einards status" innebär. Det är massor med röda kryss där på demokontot men det förklaras inte vad det betyder eller vad jag kan göra åt det.

* Försök vara konsekvent med namn på typer av attacker osv. Om ena typen heter XSS så kanske det räcker att kalla SQL-injektioner för SQL och inte "SQL-injections" (ska inte vara ett bindestreck där btw) eftersom det då ser märkligt ut i listan över attacker.

--

Men jag måste bara fråga en sak nu. Du sparar alltså bara URL:en för varje sidvisning, och får därmed GET-variabler som du troligtvis kör genom ett antal regexar för att upptäcka "misstänkt" input. Vad händer med POST-variabler? Jag kan ju lika gärna göra ett SQL-injektionsförsök genom ett POSTat formulär. Om din tjänst inte stödjer det så vore det kanske bra att förtydliga detta.

Ett tips på funktion som kan vara bra för att upptäcka och förhindra XSS: spara Referer-strängen för alla anrop och skriv lite kod som upptäcker när t.ex. ett formulär POSTas med en Referer som skiljer sig från vad det brukar vara för det formuläret.

Slutligen vill jag bara poängtera att jag tycker att det är skitkul att se ett sådant här ambitiöst projekt från någon så ung, så se mina synpunkter som konstruktiv kritik och tappa inte sugen. Du kommer att lära dig sjukt mycket genom att arbeta med detta även om du kanske inte tar över världen med just denna tjänst.

Ska besvara varje punkt nu.

Choose a website är ren lathet från min sida, detta kan absolut finslipas.
Förklaringar för Einards status känns väl ibland lite överflöda, men vissa saker kan vara oklara. Såsom E.S.P, Filter, Encryption m.fl. Ska lägga till det på "to do list".
Kan också ta bort bindestrecket på texten "SQL-injection" bland graferna.

Det är alldeles korrekt att jag tar URLen och kör genom ett antal regexar, har dock även en del andra äss i rockärmen för att förfina metoderna att urskilja skadliga URLer från "ok" URLer. Exakt vad det är vill jag inte gå in på.

Men, angående POST. I alphan utav Einards så fanns det faktiskt en funktion där man kunde kontrollera sin POST-data, så den funktionen fanns/finns på det gamla systemet.

Felet låg dock i följande:

1.) Folk känner sig lite nojiga ifall dom skickar ut känsliga värden från deras forms till einards, d.v.s folk kanske inte vill skicka ut lösenord, kunduppgifter etc till oss.
Sen det största problemet var att kontrollera POST-datan, tänk dig bara denna forumspost. Ifall allt detta skulle kontrolleras så blir det massiva strängar att skicka som parametrar till Einards, detta klarade inte Einards av och det blev en jävla massa errors hit och dit.

Går ju dock att lösa på vissa sätt, exempelvis en funktion där man kan kontrollera input-forms som har en maxlimit mindre än 50 tecken eller dylikt. Fast som sagt, privacyn är också lite nojig.

Tack för tipset angående referersträngen! Riktigt bra idé, ska försöka implementera detta.

Och slutligen, tack för den underbara feedbacken. Och det du skrev värmer verkligen i mitt hjärta.