Shellsec - Nyheder

Vigtigt: Tjek dine konto-indstillinger

Sun, 11 Apr 2021 20:46:10 +0200

Der har været problemer med MyBB, som har været skyld i, at ændringer til dine indstillinger ikke har været gemt rigtigt. Når man besøgte siden, var alle checkboxes ryddet. Dette betyder at mange ved et uheld har slået forskellige funktioner til eller fra.

Jeg opfordrer derfor alle til at gå ind og dobbelttjekke deres indstillinger her:
https://www.shellsec.pw/usercp.php?action=options

De vigtigste at kigge efter er:

Skjul mig fra "Hvem er online" listen
Skjul din email fra andre medlemmer.
Modtag privat beskeder fra andre medlemmer.
Sommertidskorrektion (Anbefales sat til auto)
Vis billeder/videoer/signaturer/profilbilleder/hurtigsvar.

Jeg gør opmærksom på at indstillingen "Skjul din email" ikke har noget med om din addresse bliver vist eller ej, men blot om der er et link til en formular der kan bruges til at sende en e-mail via forummet, så ingen oplysninger er lækket som følge af at have den box unchecked.

Noget tyder på at dette problem har stået på i noget tid, og vi beklager at vi ikke har fanget hvad der var galt før nu. Husk endelig at sige til, hvis der er noget på siden der opfører sig underligt. Hvis der opstår behov for at kontakte mig direkte, så er der et mailto: link i sidens footer, men ellers er Forslag & Fejl sektionen det nemmeste, da du også kan få hjælp af andre medlemmer.

Brand i datacenter

Wed, 10 Mar 2021 14:01:01 +0100

Grundet brand i OVHs datacenter i Strasbourg har siden været nede endnu engang. Jeg har gendannet en backup fra i går nat, så indlæg der er lavet i det sidste døgns tid er ikke kommet med.

I samme omgang har der været et par ændringer i sidens opsætning, så hvis I støder på funktioner der ikke længere virker, så må I gerne sige til, så jeg kan få dem ordnet.

Ovenstående betyder i øvrigt at IRC-serveren er død. Medmindre der er et brændende ønske om at få den tilbage, så får den nok lov til at forblive død. Det var ikke min umiddelbare opfattelse at den blev brugt ret meget, hvis overhovedet.

For de nysgerrige, kan yderligere oplsyninger findes her:
http://travaux.ovh.net/?do=details&id=49484
https://www.facebook.com/ovhcom/posts/1634881120028601

Nedetid

Mon, 15 Feb 2021 13:40:01 +0100

Der har været lidt problemer ifm. betaling. Derfor har siden (og IRC) været nede i en lille times tid.

Beklager eventuelle gener det måtte have medført.

Invites forum

Fri, 08 May 2020 02:45:36 +0200

Der er oprettet et nyt forum til at købe, sælge, bytte og give invitationer til diverse sites, heriblandt andre fora, torrent trackers, usenet indexers m.fl.

Alle tråde der omhandler invitationer, skal ind under dette nye forum. Jeg har fuld forståelse for, at man vil give en eller to invitationer væk, og derefter ikke længere vil høre om det. Der er mange der skriver svar, så hvis man gerne vil have en tråd derinde lukket, kan man rapportere sin egen tråd, og angive i beskrivelsen at den ønskes lukket.

Vi håber at det giver lidt mere pusterum til andre emner i resten af forummet. Husk at i altid kan anmelde ting der strider imod reglerne. Det hænder, at der er beskeder vi ikke ser.

Problemer med oprettelse af posts

Mon, 13 Apr 2020 17:40:11 +0200

Grundet en fejl i et plugin, har der været problemer med at oprette nye indlæg, og svar på indlæg.
Problemet skulle gerne være løst nu, beklager ulejeligheden.

Ny Hashingalgoritme

Wed, 23 Jan 2019 03:47:39 +0100

I stedet for at gå i seng på et fornuftigt tidspunkt, har jeg i stedet valgt at opgradere lidt på sikkerheden. Jeg kan ikke huske om det er MD5 eller SHA-1, som MyBB bruger, men nu har jeg byttet den ud med Argon2id (og i den forbindelse også opgraderet til PHP 7.3).
Dit password bliver lavet om næste gang du logger ind, så et relog kan anbefales.

Der er desuden tilføjet en cookie-advarsel. Den skulle meget gerne blive fanget af "I don't care about cookies" hvis man har det installeret, men nu lever vi da op til det krav :)

Husk, at der er mulighed for at aktivere 2FA med en TOTP app inde i brugerkontrolpanelet.
https://www.shellsec.pw/usercp.php?action=mybb2fa

Tråd til diskussion: https://www.shellsec.pw/traad-ny-hashingalgoritme

Skulle der opstå problemer med at logge ind, kan jeg kontaktes på doctorblue@shellsec.pw.

Visninger er fjernet

Mon, 29 Oct 2018 17:14:26 +0100

Siden viewbotting åbenbart er et problem og der alligevel er vanvittig inflation i thread views, har jeg valgt at skjule tallet.
Jeg mindes også, at det har været efterspurgt før.

Beklager nedetiden

Thu, 01 Mar 2018 15:35:33 +0100

Jeg beklager meget for nedetiden. Det var en lækker cocktail af DDoS angreb, firewall fails (Havde glemt #!/bin/sh i rc.local) og en fejl jeg havde efterladt i en konfigurationsfil men ikke opdaget før jeg genstartede serveren i dag.
Det viser sig at angrebet var det mindste problem. Det hele virkede igen med det samme efter jeg fik indlæst de regler der manglede.

Post counts

Sun, 05 Mar 2017 22:58:08 +0100

Hvis man er typen der holder øje med den slags, har man nok opdaget en ændring i sin post count.
Svar i introduktionsforummet tæller ikke længere med, og jeg har desuden lavet en recount.
Jeg er ikke helt sikker på om slettede indlæg rent faktisk tæller, nu hvor de reelt set stadig eksisterer som soft deletions siden MyBB 1.8, men det er nok også ligegyldigt.

Derudover har jeg fjernet grænseværdien for views der flagger tråde som hot, da antallet af views ikke rigtigt er en brugbar værdi på Shellsec. Derfor er der nu et mere fornuftigt antal "populære" tråde. Bare se på Off-topic forummet.

Automatisk VIP Køb

Sat, 24 Dec 2016 03:00:24 +0100

Så skete det endelig :)

Nu kan man købe VIP med betalingskort og helt uden at behøve at skrive til mig først.
Måske åbner jeg det også for Bitcoin - måske ikke. Hvis man har lyst til at bruge dem, så kan man naturligvis bare skrive, det virker bare som en del ekstra arbejde at udvide det jeg har indtil videre, så det venter nok "lidt".

Jeg erfarer, at det er ret sjældent, at brugere køber VIP til andre, så derfor udgiver jeg det før jeg får tilføjet den funktionalitet.
Det hele kører gennem Stripe, så det skulle være sikkert nok :)

Til de nysgerrige VIP-brugere ser formularen således ud:

Som en lille by-the-way, så har jeg endelig fået IPv6 til at spille (Det krævede lige at jeg fik en IP først) og jeg har tilføjet en streg over signaturen, som ikke ser alt for dum ud.

Kryptering i Private Beskeder

Sun, 24 Jul 2016 12:16:20 +0200

Der er noget jeg har villet gøre i lang tid, og nu er det endelig sket. Jeg er netop blevet "færdig" med at implementere OpenPGP i PM-systemet. Det vil sige at man nu kan kryptere og dekryptere private beskeder med PGP direkte på siden.
Der er naturligvis altid nogle ting man skal tage i betragtning. Den ene er, at funktionen kræver at du gemmer din private key i browseren for at kunne signere og dekryptere beskeder. Nu har jeg forsøgt at gøre det så gennemsigtigt som muligt, så jeg har valgt ikke at bruge minified versioner af openpgp.js, som er det library der benyttes til de kryptografiske operationer. Dette har gennemgået et par audits og man kan med nogenlunde sikkerhed sige, at det fungerer som det skal.

For at bruge systemet, er du nødt til at offentliggøre din public key. Dette kan gøres på den nye side https://www.shellsec.pw/pgp.php. Hvis du ikke allerede har et keypair, kan du også generere et på siden (Det er vigtigt at du husker at trykke på "gem" efterfølgende). Din public key vil blive gemt i Shellsec's database og din private key bliver gemt i browserens localstorage. Det anbefales at du tager en backup af dit keypair, hvis du en gang skulle få brug for at skifte browser eller reinstallerer dit styresystem. Du har også mulighed for at angive en passphrase, som bruges til at kryptere din nøgle, idet din localstorage ikke er krypteret. Jeg anbefaler at man benytter sig af denne funktion når nu muligheden er der :)
Det er også muligt kun at uploade en public key, hvis man ikke ønsker at angive sin private key på en hjemmeside (en forståelig bekymring). Det har naturligvis bare den konsekvens at du er nødt til selv at dekryptere beskederne udenfor browseren.

For at kryptere din besked, trykker du blot på knappen til venstre i PM systemet.

Det er ikke nødvendigt at angive adgangskoden, men feltet er der fordi jeg arbejder på muligheden for at signere beskeden i samme omgang (Dette virker dog ikke endnu).

Når du modtager en krypteret besked, vil der nederst til højre være en knap til at dekryptere den. Resten af fremgangsmåden kan man nok gætte sig til.

Det er stadig meget work in progress, men systemet virker, så jeg vil ikke afholde jer fra at lege lidt med det og komme med feedback.

I fremtiden kunne det være fedt at lave et web of trust, hvor man kan signere andre brugeres public keys, så det ikke bare er muligt at ændre den og signere ting med den på ny uden at folk bliver opmærksomme på at den er ændret. Jeg har dog ikke undersøgt hvor meget af dette der er understøttet af openpgp.js, men har kigget på muligheden for at bruge en HKP server :)
Før jeg kigger på det, vil jeg dog lige have tilføjet krypter-knappen til quick reply og få lavet et billede til dekrypter-knappen, samt kigge på en modal hvor jeg kan maske den adgangskode man indtaster (I stedet for en javascript prompt, jeg ved det er slemt :))

EDIT: Så er der kommet ikon på knappen :)
EDIT2: Blue Wide og Blue er merget, så der nu kun er Blue, men den indeholder også den nye opsætning.

S88 og andre småting

Fri, 10 Jun 2016 07:37:32 +0200

Sig hej til S88, vores nye server :)
Jeg blev træt af Debian 7 og den måde jeg havde sat serveren op på og samtidig kunne jeg få betydeligt bedre performance (Næsten en fordobling) for under en 10'er ekstra om måneden. Derfor mente jeg at det var på tide at migrere til en ny server.
Vi kører nu Debian 8, og det har bragt lidt godt med sig. Det betyder nemlig, at jeg også kunne opgradere nginx, som nu understøtter HTTP/2, OCSP Stapling og en håndfuld nye cipher suites. SSL certifikatet skulle gerne kunne forny sig selv (Endelig).

Alt dette er i øvrigt grunden til, at alle er blevet logget ud. Jeg håber ikke at det har generet nogen mens siden har været nede, men eftersom jeg har arbejdet omkring 5-7 om morgenen, så tror jeg ikke det har været så slemt.
Det IRC library jeg har brugt til min bot virker ikke umiddelbart på den nye server, så den kommer lige til at være nede lidt indtil jeg har overskud til at se på det.

Sidst men ikke mindst, ser det ud til at siden er blevet endnu hurtigere end den var før :)

Forbedring af tema

Wed, 30 Mar 2016 05:00:03 +0200

Nu har jeg endelig fundet en løsning på noget jeg har haft på min todo-liste i over et år. Jeg synes selv, at det er blevet meget godt.
Hvis man vælger temaet Blue Wide frem for Blue, vil man på skærme over 1900 pixels brede se, at forumkategorierne stiller sig op ved siden af hinanden. Dette er for at løse problemet med alt for meget tomrum på 4K skærme, men også for at siden ikke skal række for langt ned i browseren hvis det kan undgås.

Jeg vil gerne høre hvad i synes om det. Der er et lille problem med ubalance i den blå header, som får det til at se lidt forskudt ud. Jeg er åben for idéer til hvordan dette kan løses :)

Preview (FHD) (Click to View)

Preview (4K) (Click to View)

Responsive kommer måske på meget meget lang sigt.

Opdatering

Mon, 14 Mar 2016 13:52:34 +0100

Vi kører lige med et lidt mystisk design mens jeg fikser templatet efter en opdatering.
Beklager ulejligheden.

Ekstra godter

Wed, 02 Mar 2016 21:10:11 +0100

Jeg har lige siddet og lavet et par småting på siden de sidste par dage. Ikke noget stort men alligevel godt at have.
For det første har jeg pillet lidt i webserveren så Shellsec nu understøtter IPv6 fuldt ud. Det tog et par minutter så jeg synes det var det værd.
For det andet har jeg konfigureret DNSSEC, hvilket egentlig er noget jeg burde have gjort for længst, men bare har glemt.
Sidst men ikke mindst har jeg tilføjet et webm tag, så du nu kan embedde webm filer i dine posts. Det er ganske simpelt at bruge:

Kode:
[webm]http://video.webmfiles.org/elephants-dream.webm[/webm]

Umiddelbart tænker jeg også at jeg vil tillade MP4, da jeg bare tror at det kræver en lille ændring i min regular expression.

Opgradering af MyBB

Tue, 22 Dec 2015 14:19:23 +0100

Nu skal det endelig ske. Jeg opgraderer til MyBB 1.8.
Der kommer helt sikkert til at opstå nogle fejl, men jeg har patchet alle plugins og forhåbentligt det meste af mine templates så det hele fungerer når siden bliver opgraderet.

Derfor vil der komme noget downtime en gang i aften. Det skal lige siges at der mangler en del oversættelser i vores nuværende sprogpakke, så derfor har jeg hentet en ny en, der passer til den nye version. Det er en elendig oversættelse, men jeg tror at jeg har fået ordnet det værste.

Hvis du efter opgraderingen ser noget der er lidt mærkeligt i sproget eller udseendet, så sig endelig til, så vil jeg se om det er nogenlunde let at rette :)
Jeg vil desuden stadig værdsætte enhver hjælp med oversættelsen her: https://shellsec.pw/traad-ny-dansk-oversaettelse
Det er jo rarest hvis det ikke ser ud som om det hele er udviklet af en ordblind ;)

Egen IRC Server

Thu, 26 Nov 2015 20:00:11 +0100

Mange har efterspurgt en IRC server.
I har doneret penge til Shellsec, så Shellsec giver naturligvis igen.

Som de fleste efterhånden har opdaget (host, TheMagTime), så har den været oppe i en dags tid nu. Jeg er ikke helt færdig med at sætte den op endnu, så jeg genstarter den nok ind i mellem. Den er dog funktionel og det eneste der umiddelbart ser ud til at mangle er SSL.

Serverens logs indeholder ident, nick og forbindelsestidspunkt. Derudover er service commands såsom ChanServ REGISTER logget med ident og timestamp. Derudover naturligvis dlines, klines, xlines, oper commands og en bunke andre ting som I alligevel ikke har adgang til (Så jeg kan se når folk prøver alligevel). IP adresser er spoofet til guest.shellsec.pw. Der er mulighed for at anmode om vhosts via HostServ, min eneste regel er, at disse ikke indeholder "shellsec.pw" og så godkender jeg den sandsynligvis. Jeg er den eneste der kan se folks IP adresser.

Du kan finde serveren på irc.shellsec.pw:6667. De fleste hænger ud i #shellsec. Hvis du er VIP kan du desuden joine #vip med adgangskoden der findes i en sticky i VIP sektionen.
Der er tilføjet et link til IRC guiden under banneret og så har jeg lige oprettet nogle hurtige URLs: https://shellsec.pw/vip, https://shellsec.pw/irc samt https://shellsec.pw/udfordringer.

Ændringer i tilladelser

Sun, 12 Jul 2015 01:30:48 +0200

Da jeg er blevet opmærksom på nogle fejl i brugertilladelserne, har jeg ændret dem.
1. Almindelige medlemmer har været i stand til at give reputation, det er de ikke længere. Når man når over 3 reputation kommer man ind i brugergruppen "Aktive Medlemmer" og får mulighed for at give -1, 0 eller +1 (VIPs har -2 til +2). Man bliver ikke fjernet fra gruppen hvis man kommer under 3 igen.
2. Aktive medlemmer har været i stand til at slette egne beskeder og tråde. Dette er en VIP funktion, så denne mulighed er fjernet.
3. Super Moderatorer (Ash...) kan give -3 til +3 reputation og Administratorer (mig) giver -5 til +5

Desuden er gruppernes navne ændret til dansk og aktive medlemmer får automatisk en ny brugertitel.
Hvis du ikke kan give reputation men har 3 eller mere, så skriv til mig. Det er ikke sikkert at jeg har fået alle med inden jeg fik automatiseret det.

Tilføjelse af regel

Tue, 31 Mar 2015 02:59:27 +0200

Der er tilføjet en ny regel:
5. Det er ikke tilladt at fjerne eller redigere indhold, der er redigeret ind i dine eller andres indlæg af forum-teamet.

Du kan læse alle sidens regler her: https://shellsec.pw/misc.php?action=help&hid=8

Syntax Highlighting

Sat, 21 Feb 2015 15:37:22 +0100

Det er næppe nogen nyhed, men jeg synes det trænger til at blive fremhævet.
Shellsec har et alternativt code tag med syntax highlighting. Der er samtlige brushes og tagget er nemt at bruge. Tagget hedder shcode (Tænk syntax highlighted code), og har følgende sprog installeret:

Spoiler (Click to View)

For at bruge dem, skriver man bare [shcode =jscript] (Uden mellemrum) i stedet for [code] og så virker det ellers præcist som de code tags i er vant til. Man kan erstatte jscript med sprogets navn. De sprog hvor "brushens" navn ikke er helt nemt at gætte, har jeg skrevet det i parentes.


    $var = "Hello world
";

    echo $var;

    exit();

?>