мая 04 2013
0

Отправка анонимной статистики и идентификатор сайта

PSNet    4 мая 2013, 05:43    в избранное в избранном    19 комментариев
Вопросы, проблемы и их решения   
В ЛС отправка на сервер анонимной статистики и списка используемых плагинов отключается в конфиге. Почему этого нельзя сделать в Альто и зачем идентифицируется сайт?
Теги:

19 комментариев

0
Примерно тоже самое я спросил тут altocms.ru/blog/questions/33.html
Подозрение на отправку данных.
0
Нет, вы не правы, curl не используется.
+1
Весь код движка открыт. Все CURL-функции начинаются с префикса curl_ (см. www.php.net/manual/ru/book.curl.php). Поэтому подозрения решаются элементарно: выполняется поиск по всему проекту на наличие CURL-функций. Пожалуйста, найдите время, сделайте такое дело, и, если не трудно, сообщите о результатах
0
Вадим, вот именно такого ответа я не ожидал увидеть. От вас обоих. Не в методе дело (курл-не-курл). Я же не просто так спрашиваю.
0
Юзером pixellife был задан вопрос именно относительно «курл-не-курл» (см. его топик по ссылке выше), и я конкретно на него ответил. Что тут неожиданного?
Отредактирован:
0
Вадим, мне интересно — ты искренне не понимаешь о чем я говорю?
Очень бы не хотелось начинать знакомство с Альто с того, что мой вполне простой вопрос встретили стеной недопонимания.
0
самое интересное что меня спрашивают о «желтых» заголовках. отправка существует, только не через curl, а ЖС.
0
В альто нет ЛСовской отправки статистики и самое главное вставки своего счетчика на все страницы движка(что действительно неприятно и удивительнов ЛС для многих), они вырезаны, об этом неоднократно писалось. Потому и выключалки нет.

Единственное что используется — подгрузка новостей с сайта в админке, скоро будут работать уведомления об обновлениях плагинов. Если паранойя сильно мучает, то эти блоки можно тоже убрать в шаблонах админки, но совсем незачем, степень их полезности будет в скором времени значительно расти.

PS Для вопросов — есть блог вопросов.
0
Единственное что используется — подгрузка новостей с сайта в админке, скоро будут работать уведомления об обновлениях плагинов.
Вот. Рядом, с новостями, в base64 кодируется урл, в котором записан id сайта и список плагинов. Для обновлялки плагинов — ок. зачем идентифицировать сайт?
Вы же видели реакцию окружающих на внедрение похожего ф-ла в ЛС, зачем наступать на эти же грабли?
0
Вы же видели реакцию окружающих на внедрение похожего ф-ла в ЛС
Извини, Сергей, но это уже откровенная туфта. Я не знаю, как это иначе назвать и искренне не понимаю, зачем тебе это нужно.

Давай сравним «похожий» (как ты утверждаешь) функционал.

Что имеем в ЛС:
— внедрение счетчика, который фиксирует URL всех страниц сайта, сделанного на ЛС, по которым бродят юзеры
— отправка на сервер ЛС явной информации о реальном домене и используемом скине сайта

Что имеем в Альто:
— для сайта генерируется уникальный код с многократным вложением md5 и sha1, да еще с «солью» (которая, как правило, отличается на разных сайтах), т.е. информация о сайте (о его домене/адресе) в принципе не может быть получена никаким способом!

Т.е. в одном случае — вполне конкретная информация, однозначно идентифицирующая не только сайт, но и отслеживающая поведение юзеров на нем, в другом — некий абстрактный код, который вооще никак ни разу не указывает на что-то конкретное.

И давай теперь покажи, где тут «похожесть»?

На вопрос «зачем» отвечу: задача стоит лишь в кешировании данных. У нас весьма амбициозные планы, и я не вижу смысла дергать сервак буквально по каждому запросу.

Я доступно излагаю?

Для чего еще можно юзать ключ, который абсолютно никак нельзя увязать с каким-либо конкретным сайтом — я лично не могу представить. Если есть соображения, что как-то может быть раскрыта информация о сайте — поделись, как. И тогда вместе подумаем, как этого избежать.
Отредактирован:
0
Что имеем в Альто:
— для сайта генерируется уникальный код с многократным вложением md5 и sha1, да еще с «солью» (которая, как правило, отличается на разных сайтах), т.е. информация о сайте (о его домене/адресе) в принципе не может быть получена никаким способом!
сайт отсылает идентификатор + список плагинов.
это не «туфта», как ты выразился, а вполне нормальный вопрос, без «желтизны» (снова твое предположение), и весь текст и заголовок не содержит ничего выдуманного: сайт имеет идентификатор и к вам на хост (сюда) отправляется список плагинов и идентификатор сайта, на котором это все установлено. Мой вопрос заключался в том, почему нельзя сделать опцию отключения этого ф-ла в конфиге, как это сделано в ЛС, и почему бы об этом честно не сказать.
А то, что это не похоже на реализацию в ЛС, где есть ГА и curl — это не столь важно.
Отредактирован:
0
Во-первых, если у нас диалог, то предлагаю отвечать на задаваемые вопросы. Думаю, это будет честно. Если нет желания отвечать на вопросы — давай закроем дискуссию.

Во-вторых, идентификатор — это признак, который позволяет однозначно идентифицировать объект. Каким образом можно идентифицировать сайт по уникальному ключу?

Наконец, раз возник такой разговор вообще, то для особо параноидальных юзеров сделаем опцию отключения всех информеров — это ни разу не проблема (хотя я, например, не увидел, где такое отключается в WP, как, впрочем, не видел и рассуждений на тему «WP следит за нами!»)
-1
Во-первых, если у нас диалог, то предлагаю отвечать на задаваемые вопросы. Думаю, это будет честно.
какие именно я пропустил? укажи, пожалуйста.
Во-вторых, идентификатор — это признак, который позволяет однозначно идентифицировать объект. Каким образом можно идентифицировать сайт по уникальному ключу?
не в этом дело. есть понятие «политика конфиденциальности», некоторые сайты даже про установку куков уведомляют пользователей. хотя это вполне нормальная и обыденная вещь. важно открыто предоставить такую информацию.

почему ты воспринимаешь это в штыки?

(хотя я, например, не увидел, где такое отключается в WP
убирается виджет с главной админки.
как, впрочем, не видел и рассуждений на тему «WP следит за нами!»
я говорил где-либо о слежке?..

P.S. Почему такая бурная реакция на нормальный вопрос? никого не обвинили ни в чем несуществующем. вопрос по факту.
Отредактирован:
+3
Вот не спора ради, а исключительно истины для.

какие именно я пропустил? укажи, пожалуйста.
Вообще-то, любое предложение, оканчивающееся знаком вопроса — это вопрос. И тут в коментах они не риторические, а вполне конкретные. И ты не ответил ни на один мой вопрос. Но сейчас это уже неважно, ниже объясню, почему.

есть понятие «политика конфиденциальности», некоторые сайты даже про установку куков уведомляют пользователей. хотя это вполне нормальная и обыденная вещь. важно открыто предоставить такую информацию.
Очень хорошо понимаю, что такое «политика конфиденциальности» в отношении сайта/сервиса. А что это применительно к движку — не знаю. Что-то не припомню такого применительно к движку (не к сайту!!!) Wordpress, Joomla, Drupal. Все они (во всяком случае WP и Joomla точно, насчет Друпала не помню наверняка) подгружают в админке инфу с официальных сайтов и проверяют установленную версию, чтобы предложить обновиться. И это без всякого согласия с какой-либо «политикой». И, согласись, опираться на опыт работы этих CMS больше оснований, чем на опыт LS. Более того, было 100500 просьб от самих юзеров, чтоб сам движок проверял актуальность версии как ядра, так и плагинов, и позволял бы в один клик (условно говоря) ставить обновления. Мы в этом направлении и работаем. Но как я уже сказал выше — обязательно сделаем эту опцию отключаемой.

Почему такая бурная реакция на нормальный вопрос?
Могу легко это объяснить:
1) Вопрос был опубликован не в блоге «Вопросы», что было бы логичным, а в блоге с максимальным рейтингом.
2) Текст подан подан так, что у людей, не анализирующих внимательно код, может сложиться ложное представление, будто на сервер отправляется какая-то статистика об их сайтах, и проводится явная аналогия с ЛС, что является в корне неверным.
3) В вопросе речь идет об идентификации сайта, что опять же есть неправда.
4) Сама формулировка вопроса «почему нельзя...?» выглядит несколько странной — любому более-менее вменяемому разработчику ясно, что можно.
5) Наконец, мы оба знаем о некоих «экспериментах по социальной инженерии»

Любой из этих факторов в отдельности не вызвал бы у меня никакой особой реакции (максимум — удивление). Но все вместе в одной точке они как бы навевают на некоторые нехорошие мысли.

Но мусолить дальше эту тему я смысла не вижу. Поэтому предлагаю считать все это лишь недоразумением. Я готов согласиться с тем, что ты был просто неточен в формулировках, а я не вполне верно тебя понял. А на самом деле ты предположил, что каким-то админам сайтов на Альто совсем неважно знать, актуальны ли у них версии самого движка и плагинов, а посему нужно сделать эту опцию отключаемой. Ок, я тебя услышал — сделаем.

Если будут еще какие-то предложения — пожалуйста, высказывай, нам очень важен фидбек, но, желательно делать это более корректно, чтоб это не вызывало двусмысленного толкования.
комментарий был удален
0
Я сказал уже, что мусолить эту тему дальше не вижу смысла. Функционал, отключающий получение информации с сервера Alto CMS, как архиважный, уже реализован в девелоперской версии.

Тему закрываю.
комментарий был удален
+1
Сергей, а для чего нужно постить топик в заведомо неверный блог и при это формулировать вопрос в духе «желтой прессы», формируя у людей заведомо ложное представление? Я бы понял, если б такой вопрос исходил от нуба, который не может разобраться в коде движка, но не ожидал этого от профи, вроде тебя. Или это очередное твое мероприятие в духе социальной инженерии?

Еще раз повторю, на всякий случай, чтоб не было неясностей и инсинуаций:
1) в Альто не втыкается свой счетчик на все страницы, как в это делается в ЛС
2) в Альто не отправляется куда-то никакая статистика по сайту, ни название сайта, ни используемый скин, как в ЛС
3) в Альто не используются никакие «секретные» запросы с использованием CURL-функций (у нас вообще нет кода, где бы эти функции вызывались, и ни в одной из сторонних библиотек, используемых в проекте, я подобных функций не обнаружил).

И, как выше уже было сказано, в Альто есть подгрузка новостей в админке, как это сделано, например, в Wordpress.
0
Сергей, а для чего нужно постить топик в заведомо неверный блог и при это формулировать вопрос в духе «желтой прессы», формируя у людей заведомо ложное представление?
Вадим, ты ли это? Мне код показать или ты перестанешь делать вид что не понимаешь о чем дело?
но не ожидал этого от профи, вроде тебя.
я бы не спрашивал если такого не было бы.
Еще раз повторю, на всякий случай, чтоб не было неясностей и инсинуаций:
как в это делается в ЛС
реализация действительно не «как в ЛС», факт наличия есть.
Автор статьи запретил добавлять комментарии