Hello, All!

Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

Здравствуйте, Andir, Вы писали:

A>Здравствуйте, der Igel, Вы писали:

DI>>Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
DI>>Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

A>Что-то как-то эти рандомные буквочки не сильно удобно смотрятся. А может стоит сделать более запоминаемо, по типу [буква][цифра], мне кажется a1, l5, q9 удобнее чем Nm или 8O ...

- Вы вот болеть изволили, а тут без вас, без начальства, вчера, можно
сказать, — происшествие.
— Происшествие?
— Ну да! Звонок, кончили, стали всех с эллинга выпускать — и
представьте: выпускающий изловил ненумерованного человека. Уж как он
пробрался — понять не могу. Отвели в Операционное. Там из него, голубчика,
вытянут, как и зачем...

(с) Евгений Замятин. "Мы"

Здравствуйте, Слава Шевцов, Вы писали:

СШ>Да лучше просто пронумеровать.

Четырёхзначным числом.
А ещё лучше ip адресом целиком, а не его хэшем.

Здравствуйте, Serjio, Вы писали:

S>вот плохо, что автор сообщения не может его редактировать после того как отправил
S>ссылочка у меня завалялась, захотелось ей дополнить слово подсолить, а приходиться дописывать новое сообщение

Если на сообщение еще никто не ответил, то можно его удалить и написать заново, с исправлениями. Это обсуждалось не раз.

Здравствуйте, stele, Вы писали:

S>Ща полезу в исходники смотреть от куда беруться именованные анонимы, чтобы аргументированно крыть идеями.

Берутся они из таблицы messages, там есть есть поле usernick наряду с uid. Для случая смены имени (одинаковый uid) или именованного анонима (uid==0). Наследие простейших бэбэшек, когда весь форум хранился в одной таблице и в одном текстовом файле.

Здравствуйте, akasoft, Вы писали:

A>Берутся они из таблицы messages, там есть есть поле usernick наряду с uid. Для случая смены имени (одинаковый uid) или именованного анонима (uid==0). Наследие простейших бэбэшек, когда весь форум хранился в одной таблице и в одном текстовом файле.

Это не наследие, это специально так задумано.

Hello, AndrewVK!

S>> А при таком раскладе раздавая хэш ip всем вы очередную волну праведного
S>> гнева в которую вылилось осуждение первоапрельской шутки adonz и ко не
S>> вызовете.

A> Главная отмазка, этот номер идентифицирует абонента, не работает.
A> Обратное преобразование приприличном хеше выполнить невозможно.

Если алгоритм хэширования будет известен (например, будет генерироваться динамически и янусом), то можно будет заранее составить словарь хэшей по всем ипишникам (ну или по часто используемым регионам, их не так много) и элементарно сравнивать.
Дабы усложнить такую атаку хэш нужно "подсаливать".
Но если подсаливать чем-то постоянным, например User-Agent (хотя он конечно совсем не постоянен),- то такой информации в базе не хранится, а если чем-то переменным, например временем сообщения, то для одного и того-же анонима он каждый раз будет разным.
Это можно победить генеря хэш только раз, подсаливая его чем угодно, но его придётся хранить.
Я это уже почти всё реализовал. Постоянная идентификация анонима осуществляется через ASP.NET Profile (с включенной анонимной идентификацией, отслеживает через куки). Для сообщений пометки хранятся в UserTitle и UserColor. По идее вся нужная инфраструктура в Янусе уже есть, ибо они сейчас как раз для этого и используются, типа пометок "jetbrains", "mvp" & etc.

Здравствуйте, der Igel, Вы писали:

DI>Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
DI>Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

А эти 2 буквоцифры берутся от балды (вычислчются согласно криптостойкого совсем не случайного алгоритма) или аноним их сам вводит?
ЗЫ А как же Янус? Нас обманули!

Здравствуйте, stele, Вы писали:

S>А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 в виде @"<Аноним_XXXXX>"

Это все изврат. Единственный разумный вариант — отдавать хеш IP отдельным полем.

Здравствуйте, Mamut, Вы писали:

M>Если сервер генерирует на лету, то пусть и Янус генерирует на лету — делов-то

Ты предлагаешь отсылать при синхронизации IPшники?

Здравствуйте, der Igel, Вы писали:

DI>Hello, All!

DI>Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
DI>Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

А что эта индивидуальность значит?

Здравствуйте, stele, Вы писали:

S>Здравствуйте, der Igel, Вы писали:

S>А эти 2 буквоцифры берутся от балды (вычислчются согласно криптостойкого совсем не случайного алгоритма) или аноним их сам вводит?
S>ЗЫ А как же Янус? Нас обманули!
Угу
Предлагаю организовать сообщество Ущемленных Янусоводов и бороться за свои права

Здравствуйте, der Igel, Вы писали:

DI>Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
DI>Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

Что-то как-то эти рандомные буквочки не сильно удобно смотрятся. А может стоит сделать более запоминаемо, по типу [буква][цифра], мне кажется a1, l5, q9 удобнее чем Nm или 8O ...

С Уважением, Andir!

Здравствуйте, Andir, Вы писали:

DI>>Как некоторые из вас, наверное, заметили у анонимов на сайте появилась некоторая индивидуальность.
DI>>Надеемся, это не сильно ущемит их чувство приватности, но сильно облегчит участие в жарких баталиях с несколькоми анонимами одноврменно в одном топике.

A>Что-то как-то эти рандомные буквочки не сильно удобно смотрятся. А может стоит сделать более запоминаемо, по типу [буква][цифра], мне кажется a1, l5, q9 удобнее чем Nm или 8O ...

Да лучше просто пронумеровать.

Hello, King!

DI>> Hello, All!

KO> А что эта индивидуальность значит?

Ничего.Просто отличие одного анонима от другого.
Но, нет абсолютной гарантии, что сообщения от одного и тоже анонима будут помечаться одним значком, и сообщения от разных анонимов — разными значками. Но, в среднем по больнице — вполне.

Hello, !

СШ> Да лучше просто пронумеровать.

При расщеплении ветки анонимы перенумеруются. И тот который был в оригинальной ветке, например, 23-им, станет 1-ым. Запоминать для каждого анонима каким он был по счёту в оригинальном топике, а уж тем более, вести сквозную нумерацию анонимов по всему сайту — увольте. Пускай регистрируются.

Здравствуйте, der Igel, Вы писали:

СШ>> Да лучше просто пронумеровать.

DI>При расщеплении ветки анонимы перенумеруются. И тот который был в оригинальной ветке, например, 23-им, станет 1-ым. Запоминать для каждого анонима каким он был по счёту в оригинальном топике, а уж тем более, вести сквозную нумерацию анонимов по всему сайту — увольте. Пускай регистрируются.

Не, нумерацию в рамках топика случайным числом. То есть тоже самое, что сейчас, но не кодом, а случайным числом. Я исхожу их юзабилити. Сравни обращения "Уважаемый аноним х/" и "Уважаемый аноним номер 666"

Здравствуйте, der Igel, Вы писали:

DI>При расщеплении ветки анонимы перенумеруются. И тот который был в оригинальной ветке, например, 23-им, станет 1-ым. Запоминать для каждого анонима каким он был по счёту в оригинальном топике, а уж тем более, вести сквозную нумерацию анонимов по всему сайту — увольте. Пускай регистрируются.

Так их можно нумеровать в их же куках.

1. Если куки нет, генерим код из блоков A, B, С, D Далее под хэш я подразумеваю настоящий хэш или шифр.
A хэш ip адреса
B хэш строки браузера
С сюда можно для большей селективности ещё и через JavaScript дополнительных параметров нагрести.
присваиваем следующий номер
D хэш номера
и пишем в куку номер и код.

2. Если кука есть генерим код (D генерим по значению номера из куки) и сравниваем с тем, что есть в куке. если отличие только в A — то это тот и пользуем для метки номер из куки.
Если код не совпадет полностью, значит либо обновлялся, либо куки портит. Переходим к пункту 1.

Куки хранить дня 2 — 3 нумеровать покругу 5 — 6 значным числом, неполиткоррекные числа из него можно убрать.
На сервере хранится только текущее значение счётчика номера анонимов.

С безопастностью тут есть проблемы. Для взлома достаточно узнать алгоритм получения кода D или получить коды для всех анонимов, но его можно переиодически менять. Или записывать код в куку переставив байты местами и зашифровав. Аноним может чистить куку перед каждым постом. Менять браузер. Но от этого я думаю и нынешняя система не застрахована.

Hello, stele!

s> Так их можно нумеровать в их же куках.

[Sorry, skipped]

Ох, не втыкнул.
Аноним с одним номером должен быть под этим номером для всех.
Если у каждого будут свои куки, будут свои номера для анонимов.
Т.е., следствие, хранить всё на севере. Спасибо, не надо.

Здравствуйте, der Igel, Вы писали:

DI>Hello, stele!

s>> Так их можно нумеровать в их же куках.

DI>[Sorry, skipped]

DI>Ох, не втыкнул.
DI>Аноним с одним номером должен быть под этим номером для всех.
DI>Если у каждого будут свои куки, будут свои номера для анонимов.
DI>Т.е., следствие, хранить всё на севере. Спасибо, не надо.

Нет. Если пишет аноним проверяем куку, если там есть номер и код из куки валиден, берём в имя анонима номер из куки. Если куки нет или код не валиден, генерим новый. На сервере лежит только счётчик типа int, который при присвоении нового номера увеличивается на 1. Ну и неполиткорректные числа (13, 666...) для того что бы не оскорблять чувства пишущих.

Hello, stele!

s> Нет. Если пишет аноним проверяем куку, если там есть номер и код из куки
s> валиден, берём в имя анонима номер из куки. Если куки нет или код не
s> валиден, генерим новый. На сервере лежит только счётчик типа int,
s> который при присвоении нового номера увеличивается на 1. Ну и
s> неполиткорректные числа (13, 666...) для того что бы не оскорблять
s> чувства пишущих.

Имя анонима сейчас не хранится на сервере.
Он везде просто Аноним. Пометки генерируются на лету. Каждый раз.

Здравствуйте, der Igel, Вы писали:


DI>Имя анонима сейчас не хранится на сервере.
DI>Он везде просто Аноним. Пометки генерируются на лету. Каждый раз.

Храните у сообщений много допполей из запроса браузера и сессии?
Хм, а откуда тогда берутся именованные анонимы (имена пользователей, которые приходят вместе с синхронизацией с иных форумов) они же в базе есть. Тамже можно хранить и эти номера. Но согласен, я не зная как на RSDN на самом деле, могу строить любые планы, а к чему их прикладывать будет главной проблемой реализации. Как в том анекдоте про дохнущих курей, а у меня было ещё столько рецептов.

Чуть-чуть в дополнение по поводу именованных анонимов. У сообщения Где купить RSDN Magazine

Автор: RSDN Magazine
Дата: 20.07.04

автор с с одной стороны аноним, а с другой стороны с именем. Значит имя анонима где-то хранится. Так туда можно номер записывать. И проблема для Янусоводов будет решена к ним это имя придёт.

Здравствуйте, stele, Вы писали:

S>Чуть-чуть в дополнение по поводу именованных анонимов. У сообщения Где купить RSDN Magazine

Автор: RSDN Magazine
Дата: 20.07.04

автор с с одной стороны аноним, а с другой стороны с именем. Значит имя анонима где-то хранится. Так туда можно номер записывать. И проблема для Янусоводов будет решена к ним это имя придёт.

Подозреваю, что имя привязано к сообщению (см. сообщение от шестиглазого Сфинска в юморе).

Здравствуйте, Слава Шевцов, Вы писали:

S>>Чуть-чуть в дополнение по поводу именованных анонимов. У сообщения Где купить RSDN Magazine

Автор: RSDN Magazine
Дата: 20.07.04

автор с с одной стороны аноним, а с другой стороны с именем. Значит имя анонима где-то хранится. Так туда можно номер записывать. И проблема для Янусоводов будет решена к ним это имя придёт.

СШ>Подозреваю, что имя привязано к сообщению (см. сообщение от шестиглазого Сфинска в юморе).

Конечно привязано. Мне кажется, что для решения "проблемы Януса" нужно немного сервис подправить. Я прав, что немного или нет?

Здравствуйте, Demiurg, Вы писали:

D> Конечно привязано. Мне кажется, что для решения "проблемы Януса" нужно немного сервис подправить. Я прав, что немного или нет?

Как я понял из разговора с der Igel янусоводы попали. Эта метка в явном виде в базе не присутствует и генерится на лету. Передать эти данные для генерации янусу нельзя по техническим и процессуальным проблемам (хотя я могу ошибаться в догадке откуда берутся буквоцифры). В общем команда веб интерфейса обошла команду януса. Счёт сравнялся.

Но мы не сдадимся!
Ща полезу в исходники смотреть от куда беруться именованные анонимы, чтобы аргументированно крыть идеями.
Нет произволу и ущемлению прав янусоводов!

Здравствуйте, AndrewVK, Вы писали:


AVK>Это не наследие, это специально так задумано.

А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 в виде @"<Аноним_XXXXX>" тем самым можно избежать переделывания Януса и все версии включая бету и релиз получат возможность различать анонимов. Из минусов загадим базу псевдоименами анонимов. А к следующему релизу готовить отдельную поле для номера анонима и механизм его вывода. Правда остаётся вопрос

При расщеплении ветки анонимы перенумеруются. И тот который был в оригинальной ветке, например, 23-им, станет 1-ым.

Но я думаю это не принципиально анонимов всё равно до некоторой степени рассортировали и уж какой он первый в янусе или тридцатый на сервере не принципиально.

Здравствуйте, stele, Вы писали:

Тополнение предложение
S>А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 в виде @"<Аноним_XXXXX>" ...
читать так
А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 и отсутствии оригинального usernick в виде @"<Аноним_XXXXX>" ...

Здравствуйте, AndrewVK, Вы писали:


AVK>Это все изврат. Единственный разумный вариант — отдавать хеш IP отдельным полем.

А вы сделали хеш только по IP, а я предполагал первый символ хеш ip, второй хеш Browser ID (User-Agent) Strings или их хитрая сумма какая так поселективней будет деанонимизирование тех кто за проксёй.

Здравствуйте, stele, Вы писали:

S>А вы сделали хеш только по IP, а я предполагал первый символ хеш ip, второй хеш Browser ID (User-Agent) Strings или их хитрая сумма какая так поселективней будет деанонимизирование тех кто за проксёй.

Это не фиксируется в БД.

Здравствуйте, AndrewVK, Вы писали:

AVK>Это не фиксируется в БД.
Вот речь как раз о том, чтобы фиксировать. генерить 2-х (или 4-х) байтовый хеш из IP, x-forwarded-for, user-agent и т.п. и класть его в базу.
Плюс можно класть его в пирожки. Тогда Dialup-щики с бегающими адресами будут распознаваться.

Здравствуйте, stele, Вы писали:

S>А вы сделали хеш только по IP...

По моему, в большинстве случаев вполне достаточно REMOTE_ADDR и HTTP_X_FORWARDED_FOR.

S>А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 в виде @"<Аноним_XXXXX>" тем самым можно избежать переделывания Януса и все версии включая бету и релиз получат возможность различать анонимов. Из минусов загадим базу псевдоименами анонимов. А к следующему релизу готовить отдельную поле для номера анонима и механизм его вывода. Правда остаётся вопрос
S>

S>При расщеплении ветки анонимы перенумеруются. И тот который был в оригинальной ветке, например, 23-им, станет 1-ым.

S>Но я думаю это не принципиально анонимов всё равно до некоторой степени рассортировали и уж какой он первый в янусе или тридцатый на сервере не принципиально.

Если сервер генерирует на лету, то пусть и Янус генерирует на лету — делов-то

Здравствуйте, AndrewVK, Вы писали:

S>>А может быть теперь сервер будет отдавать usernick клиентам при uid == 0 в виде @"<Аноним_XXXXX>"

AVK>Это все изврат. Единственный разумный вариант — отдавать хеш IP отдельным полем.

Значит в Янусе в ближайшее время не будет

А при таком раскладе раздавая хэш ip всем вы очередную волну праведного гнева в которую вылилось осуждение первоапрельской шутки adonz и ко не вызовете. Одно дело уже обработанный и обезличенный номер, который может повторяться с течением времени и верен в некоторый интервал времени. А другое дело хэш ip, по которому можно прослеживать действия на протяжении всего времени. Как то это стрёмно с разных точек зрения.

Здравствуйте, stele, Вы писали:

S>А при таком раскладе раздавая хэш ip всем вы очередную волну праведного гнева в которую вылилось осуждение первоапрельской шутки adonz и ко не вызовете.

Главная отмазка, этот номер идентифицирует абонента, не работает. Обратное преобразование приприличном хеше выполнить невозможно.

S> Одно дело уже обработанный и обезличенный номер, который может повторяться с течением времени и верен в некоторый интервал времени. А другое дело хэш ip, по которому можно прослеживать действия на протяжении всего времени. Как то это стрёмно с разных точек зрения.

Стремно это только и исключительно с точки зрения того, кто периодически занимается пакостями (а чем еще можно оправдать длительное хождение из под анонима?).

M>>Если сервер генерирует на лету, то пусть и Янус генерирует на лету — делов-то

AVK>Ты предлагаешь отсылать при синхронизации IPшники?

Эээээ... Торможу

Здравствуйте, der Igel, Вы писали:

DI>Если алгоритм хэширования будет известен (например, будет генерироваться динамически и янусом),

Во-первых янусу этого делать не нужно, а во-вторых к информации можно подмешивать секретный salt, так что произвести операцию хеширования не выйдет, даже если алгоритм известен.

DI>Дабы усложнить такую атаку хэш нужно "подсаливать".

Ага.

DI>Это можно победить генеря хэш только раз, подсаливая его чем угодно, но его придётся хранить.

Именно.

DI>Я это уже почти всё реализовал. Постоянная идентификация анонима осуществляется через ASP.NET Profile (с включенной анонимной идентификацией, отслеживает через куки). Для сообщений пометки хранятся в UserTitle и UserColor. По идее вся нужная инфраструктура в Янусе уже есть, ибо они сейчас как раз для этого и используются, типа пометок "jetbrains", "mvp" & etc.

А янус их не подерживает

>Дабы усложнить такую атаку хэш нужно "подсаливать".

обычно говорят подсолить (ну или подсоливать)
а то звучит как-то немного не так, сассоциировалось с кабинетом липосакции


P.S. самого раздражают борцы за чистоту языка.
но это чтобы новый термин случайно не родился,
а за одно и часто спрашиваемую тему поднять

вот плохо, что автор сообщения не может его редактировать после того как отправил
ссылочка у меня завалялась, захотелось ей дополнить слово подсолить, а приходиться дописывать новое сообщение

Hello, Serjio!

S> обычно говорят подсолить (ну или подсоливать)
S> а то звучит как-то немного не так, сассоциировалось с кабинетом
S> липосакции

Согласен, сало оставим.
А вообще перевод, новые термины и т.д. у нас обсуждают в "Проблемах перевода". Там можно поднять эту тему.

раз уж анонимов посчитали (что есть очень гут)
и здесь было бы удобно видеть номер анонима




а поскольку я иногда просмариваю форумы RSDN в Outlook Express
то хорошо бы еще и в поле From поставить номер анонима






P.S. а также совсем замечательно если еще и оценка message будет
при просмотре сообщения как html