✉️ Saņem šito visu e-pastā. Tā vietā, lai palaistu garām kaut ko no tā, ko es rakstu savā blogā, tagad vari pierakstīties un saņemt e-pastā visu, ko es te rakstu. Tas nav bieži.

← Uz sākumu

E-klase - pozitīvais efekts

2014. gada 22. janvārī, 42 komentāri

Vakar ļāvos emocijām un uzrakstīju par e-klasi. Izrādās, diena ir aizritējusi notikumiem bagāta. Un ne visi ir slikti. Labi, puslīdz pēc kārtas.

Savu pozīciju DEAC turpina aizstāvēt, lielu publisko attiecību neveiklību pārvēršot vēl lielākā. Diezgan labi vēstuli komentēja Endijs. Ja slinkums lasīt, tad neko. Man trūkst vārdu, lai skaidrotu to, ka šinī publikācijā viņi elementāri nodarbojas ar faktu sagrozīšanu un nezinošāko lietotāju elementāru iebiedēšanu caur hiperbolām un spekulācijām.

Aleksejs apgalvo, ka rupjības savās atbildēs izmantojis neesot. DEAC, tiesa, stāsta pretējo. Kuram ticēt?

Vispirms "E-klases" izstrādes daļas vadītājs Jānis Kaģis e-pasta veidā A. Popovu informēja, ka šādu paplašinājumu nepieciešams izņemt no publiskā piedāvājuma, tomēr pēc rupjībām, kuras no A. Popova tika saņemtas, lietas risināšana nodota juristiem.

Vienā brīdī man ienāca galvā jautājums pašam sev (jā, es runāju ar sevi) - Kaspar, kā tu rīkotos šādā situācijā, esot DEAC pusē? Pāris sekunžu aizdomāšanās un ir skaidrs tikai viens. Es izmantotu to, ka paplašinājuma izejas kods bija brīvi pieejams vidē (Github), kurā jebkurš var tam piedāvāt savus uzlabojumus. Ja mani kā ēklases izstrādes vadītāju satrauktu tas, ka paplašinājums nozog daļu funkcionalitātes, es palūgtu kādam no štata izstrādātājiem iekš github izveidot issue un pull request ar atbilstošajiem labojumiem, lai, piemēram, paplašinājums neslēptu tik svarīgo paroles atjaunošanas saiti. Un pateiktu paldies. Bet es neesmu.

Lai gan ar paplašinājumu teorētiski un loterijveidīgu apstākļu sakritības rezultātā, būtu iespējams kaut ko nozagt, tai ir jābūt mērķtiecīgai rīcībai un atbildība par šādiem gadījumiem ir jāuzņemas datoru saimniecības administratoram. Un te nu jebkuru paplašinājumu var izmantot ļaunprātīgi. Kur nu. Jebkurš nepieredzējis datorlietotājs daudz reālāk iegūs kādu vīrusu nekā naidīgu Chrome paplašinājumu. Sistēmas administratori var liegt iekš Chrome instalēt dajebkādus paplašinājumus un tieši šis ir veids, kādā problēma, kuru ilustrē DEAC, ir risināma.

Paralēli visai jezgai uzradās arī kāds uzņēmums, kurš vēlējās uz tās rēķina apsedlot PR zirgu. Man gan izskatās mazliet pēc parazitēšanas mēģinājuma. Lai piedod man Olimpa dievi, ja tā nav.

Bet, negaidīti izrādījās, ka visai šai ņemtnei ir arī pozitīvi blakus efekti. Visa kašķa gaitā viņiem tika norādīts uz kaudzīti ar diezgan acīmredzamām drošības problēmām. Un, ak tu brīnums, tās tiek lēnām novērstas, lai gan to esamība spītīgi tika noliegta pat tad, kad uz tām tika norādīts ar pirkstu.

Vakar pats pārbaudīju - izdzēšot vienu simbolu no pirmās lapas (nomainot formas elementa action vērtības sākumu no https uz http) varēja panākt efektu, ka pieslēgšanās ēklasei notiek nešifrētā veidā caur nedrošu savienojumu. Un man nav ne mazākās nojausmas, kas tā tāda par akadēmisko vidi, par kuru runāja Andris. Šodien šī iespēja beidzot ir liegta. Amizantā veidā gan, bet, iespējams, tas ir saistīts ar nepieciešamību problēmu labot veikli.

Neveiklā kārtā viņi gan bija piemirsuši par ēklases mobilo versiju, atstājot to bez drošā savienojuma. Vakarā viņiem uz to vērsa uzmanību, savukārt, stundu vēlāk jau tā izskatījās tā, kā tas attēlots zemāk iekļautajā attēlā. 21:25 lapa nevērās vaļā vispār, taču tagad jau visā savā SSL spozmē nepacietīgi gaida apmeklētājus.

Tāds, lūk, drošs pieslēgums.
Tāds, lūk, drošs pieslēgums.

Tauta padiskutēja par alternatīvām. Alternatīvu, ja precīzāk. Kāds kaut ko pateica par skolas.lv, bet par to neviens tā īsti neko nezin. Daži minēja Mykoob, taču, diemžēl, izskatās, ka produkts ir tik baiss, ka labāk visi paliek pie ēklases.

Žēl, ka diskusija ar atsevišķiem pārstāvjiem aprobežojas ar ko līdzīgu šim:

\- Klau, jums tas tur ir apaļš!

\- Nē, tas ir kantains! \- Nu, kā ta nav. Raugi, tas jūsu apelsīns ir apaļš! \- Ā, bet es, takš, par trapecēm runāju! \- Bet visi runā par apelsīnu! \- Tas nekas. Es par trapecēm.

Tu atbildi augstāk redzamajam komentāram. Atcelt

Gravatar BTW

2014. gada 22. janvārī, plkst. 22:41

Mykoob ir analogs, kādreiz bija nedaudz sarežģītāk to sagatavot mācību gada sākumam, nezinu kā ir tagad, bet visumā šī alternatīva pat ir ērtāka par e-klasi. Tomēr tajā visā ir viens liels bet - skolotāji liela daļa ir stagnāti un viņi staigās un pukstēs cik visi ir savādāk/sarežģīti. E-klase ir maksimāli tuvu nokopējusi skolas papīra žūrnālu un tas ir viņu lielākais trumpis Skolas.lv ir miljonus vērta skolu datubāze bez līdz galam izdomāta racionāla mērķa, šis mans viedoklis noteikti nav objektīvs, bet tā es šo projektu esmu redzējis visu laiku.

Gravatar lol

2014. gada 22. janvārī, plkst. 23:00

skolas.lv šķiet ir bijis tik efektīvs naudas iešņaukšanas pasākums, ka neviens tā arī līdz galam nav sapratis, kas tur ir domāts un kāpēc tas vajadzīgs, bet miljoni ir veiksmīgi iztērēti. Augstākā pilotāža, tā teikt.

Gravatar hu_ha

2014. gada 23. janvārī, plkst. 08:50

par skolas.lv - patiesībā tur ir stipri piestrādāts par funkcionalitāti no pasniedzēju puses (veidot materiālus, uzdot tos, vērtēt utt), daudz sinhronizācijas ar dažādām sistēmām utt., bet tur trūkst galvenā - žurnāla. Un tur visa lieta ir vienkārša - ja kaut kas tiek taisīts par eiropas naudām, tad tad projekts nedrīkst izkonkurēt privātu biznesu - šajā gadījumā tika aizstāvēta e-klase un no projekta izstrādes gaitā tika izņemts žurnāls. Tā vietā ir uzdevumu vērtējumu nodošana uz e-klasi. Bet tā kā visi grib tikt vaļā no e-klases, bet šis risinājums līdz galam to neļauj, tad arī projektam grūti iegūt popularitāti...

Gravatar jautājiens

2014. gada 23. janvārī, plkst. 12:47

Tu būtu kā skolotājs pārkopēt visas atzīmes kādas ievadītas par 120 skolēniem 5 gados, lai varētu salīdzināt katra izaugsmi?

Iet runa par desmitiem tūkstošu ierakstu. Esi gatavs?

Gravatar Maadinsh

2014. gada 23. janvārī, plkst. 12:54

Tādu procesu var automatizēt.

Gravatar mamma

2014. gada 7. februārī, plkst. 10:28

Mykoob ir ļoti vienkārši lietojams un nav jāpērk nekādi ģimenes komplekti, nav jāmaksā par to, lai varētu redzēt visas sava bērna atzīmes. Liecību arī var apskatīt. Samaksāju to naudiņu par ģimenes komplektu, lai gan man ir 1 bērns šajā e-klasē un nekādas milzu ģimenes nav. Nu štrunts par to naudu, bet par to neieguvu nekādas privilēģijas, tikai raibas tabulas. Bezjēdzīgi. 3 gadus lietoju Mykoob , tagad otro gadu e-klasi, jo mainījām skolu. Ieraksti par kuriem jāmaksā nauda ir tādi pat kā bezmaksas tabuliņa. Skumji.....

Gravatar Tom

2014. gada 22. janvārī, plkst. 22:58

Es sākumā pat nepiefiksēju, ka viņu mobilajai versijai nav SSL. Tas vien jau norāda uz viņu kompetenci. Patiesībā arī tas, ka viņu login forma ir http, ir drošības caurums. Tas nekas, ka pēc tam login forma tiek redirektēta uz https, jo teorētiski ir iespējams MitM starp http un https.

Un tas viņu salīdzinājums ar bankas drošību vispār manī smieklus izraisīja. Lai e-klase kaut mazliet drošības ziņā līdzinātos bankas sistēmai, būtu jāievieš:

  • 2F autorizācija
  • Hashotas paroles (ar Salt, protams)
  • HTTPS everywhere (nevis pēc kautkāda mistiska redirecta)
  • Neatkarīgi drošības auditi regulāri

Bet es stipri apšaubu DEAC kompetenci, izskatās, ka viņi pat nesaprot ko nozīmē IT sistēmas drošība...

Gravatar eses

2014. gada 22. janvārī, plkst. 23:59

Tīri personīgai zināšanai, par cik sāku padziļināti interesēties... kā nodrošināt paša pirmā redirekta drošību, ja sākotnēji adresi ievada ar HTTP? Neservēt HTTP un prasīt manuālu HTTPS pieprasījumu no sākuma? Jo, tiklīdz kaut vienā vietā nav S, tā visa drošība vējā, no MitM viedokļa.

Gravatar Mārtiņš

2014. gada 23. janvārī, plkst. 04:16

Vajag redirektēt ar HTTP 302. Nevis no loginformas logoties uz https. MitM uzbrukumā ļaundaris aizvietos 302 redirektu html formu, lai submits notiek uz viņa serveri. Taču prātīgam lietotājam būtu jāpārliecinās, ka logina lapā viņam ir https savienojusm, un servera sertifikāts ir korekts (uz URL'i, kuru lietotājs sagaida). Ļaundaris varēs tikai redirektē uz citu URL'i, bet tajā, protams, prātīgam lietotājam nevajadzētu logoties iekšā.

Gravatar eses

2014. gada 23. janvārī, plkst. 14:29

Tas viss paģēr to, lai uzbrukuma upuris būtu prātīgs. :D

302? Kāpēc ne 301, lai to uztvertu kā permanentu notikumu? 302 ķipa skaitās temp, kas nozīmē, ka pēc kāda laika HTTP atkal var būt pieejams.

Gravatar Mārtiņš

2014. gada 23. janvārī, plkst. 19:24

Jā, 301 vajag. Sajaucos.

Papildus var pielikt "Strict-Transport-Security" HTTP headeri: https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security Diemžēl ne visi browseri to supportē.

Gravatar Krišs

2014. gada 23. janvārī, plkst. 09:29

Savulaik bija ieteikums tiešām parādīt HTTPS adresi kā tekstu bez linka un aicināt ar roku iekopēt URL.

Realitātē tas netiek ievērots, paskatāmies, piemēram, uz http://ib.swedbank.lv/private

Cik skatos, tagad no OWASP ieteikumu saraksta šī ideja ir "removed" - https://www.owasp.org/index.php/Transport_Layer_Protection_Cheat_Sheet#Rule_-_REMOVED_-_Do_Not_Perform_Redirects_from_Non-TLS_Page_to_TLS_Login_Page

Gravatar eses

2014. gada 23. janvārī, plkst. 00:01

Par Marolind un "izskatās mazliet pēc parazitēšanas mēģinājuma".

Lieku galvu ķīlā, ka tā nav. Tas vienkārši Matīsa Roberta Treiņa taisni nostiepts vidējais pirksts stulbu piepju virzienā.

PS: Ja kādam šķiet, ka es esmu kaut kāds viņu pārstāvis, tad nē. MRT vispār ir krāns, bet ar mugurkaulu un dažkārt runā viedi.

Gravatar Maadinsh

2014. gada 23. janvārī, plkst. 09:47

Nu pus punkts deacam atpakaļ par to, ka kamēr vadība blamējās internetos, kāds tomēr ļoti operatīvi pielaboja kliedzošākās drošības problēmas.

Ja pie viena vēl būtu novākts tas, ka logojoties iekšā atveras jauns logs (es piemēram vispār nemēdzu lietot vairākus pārlūka logus un tāda lapas darbība ir pilnīgi negaidīta un neloģiska), būtu vesels punkts.

Gravatar minka

2014. gada 23. janvārī, plkst. 16:57

Ko jus tur njematies. Nav tur nekadu caurumu, viss smuki ciet...

Gravatar

2014. gada 23. janvārī, plkst. 17:09

Nu jā, paroļu rādīšana plaintekstā trešajām personām noteikti ir labā prakse.

Gravatar minka

2014. gada 23. janvārī, plkst. 17:13

sapipejies? kur ir pieradi, anonimais atradies

Gravatar A.

2014. gada 23. janvārī, plkst. 13:38

"Vakar pats pārbaudīju – izdzēšot vienu simbolu no pirmās lapas (nomainot formas elementa action vērtības sākumu no https uz http) varēja panākt efektu, ka pieslēgšanās ēklasei notiek nešifrētā veidā caur nedrošu savienojumu. Šodien šī iespēja beidzot ir liegta."

Tas neko nerisina. MITM uzbrucējs var izmainīt action vērtību uz http://url.owned.by.attaker.com, vai iekļaut JS, kurš lietotājvārdu un paroli papildus aizpostē uzbrucējam. Pareizais veids kā šo salabot ir HSTS, lai principā novērstu iespēju, ka lietotāja pārlūks varētu iegūt index.html izmantojot http.

Gravatar Piemetam malku

2014. gada 23. janvārī, plkst. 13:56

Otrais paragrāfs vistiešākajā veidā atbilst situācijai, kad "jaunais talants" Skaista paplašinājuma lietotājiem pārlūkā samaina HTML, CSS, JS.

Gravatar Tom

2014. gada 23. janvārī, plkst. 14:10

Bet vai tad DEAC tā vietā, lai draudētu ar tiesu un krimināllietu, nevajadzēja veltīt laiku un resursus, lai nodrošinātu savu servisu pret potenciāli kaitīgiem spraudņiem?

Gravatar A.

2014. gada 23. janvārī, plkst. 14:22

Lato Lapsas komentārs par "iespējamo" paplašīnājuma ļauno dabu ir pamatots un reāls. Bet tad būsim konsekventi un attiecināsim to uz visiem paplašinājumu un mobilo aplikāciju autoriem.

Bez pierādījumiem un pamata apvainot konkrētu aplikācijas autoru noziedzīgās darbībās ir noziedzīgi.

Gravatar ebbb

2014. gada 23. janvārī, plkst. 17:32

Jus labaak savus projektus salaapiet hakery junnije, golovy chugunnije

Gravatar Taka

2014. gada 24. janvārī, plkst. 09:05

e-klases rakstu komentāros ir maza nepilnība: teksts, kurš ievadot ir sadalīts rindās: aaa bbb ccc pēc komentāra pievienošanas izskatīsies tā: aaabbbccc

Es tur uzrakstīju labu, glīti noformētu tekstu un ieguvu "estekautkorunāju" . Nu ziniet :(

Gravatar Takai

2014. gada 24. janvārī, plkst. 10:01

Nu ziniet! Vai par šo ir jāraksta laacz bloga komentāros vai tomēr jāsazinās ar e-klasi? :)

Gravatar usver

2014. gada 24. janvārī, plkst. 13:06

Visiem šitiem "suņiem" u.c nikiem, kam nekas nav labi un kas no DEAC puses komentē, mēģinot attaisnoties ar to, ka "lietotājam pazudīs svarīga informācija" - takš vienojieties ar izstrādātāju, ka DEAC čekauto konkrētas revīzijas, uzliek savu rezolūciju, ka "deac ar šito ir apmierināts, jo paroles atjaunošanas saite ir redzama" un publicē ar DEAC kontu Chrome vietnē.

Vai sekot līdzi revīzijām un saskaņot spraudņa laidienus.

Visi pēc sabiedrības reakcijas tik daudz resursu gatavi veltīt lai līstu pie puiša uz mājām, celtu kājās advokātus un interesantā veidā spītēties forumos utml, bet elementāri konstruktīvi sadarboties un nodrošināt dzīvē to, par ko paši publiski uztraucas - spraudņa drošību - laikam nav ienācis prātā.

Gravatar Visi šitie

2014. gada 24. janvārī, plkst. 13:25

Puisis pirms sava extension publicēšanas Google Chrome Webstore varēja kārtīgāk izlasīt Developer Program Policies, kur melns uz balta stāv rakstīts:

"Packaged apps should not: Provide a webview of a website that is not owned or administered by you. "

Gravatar usver

2014. gada 24. janvārī, plkst. 13:38

Tur nekāda webview nav. Ja nezināji - webview html-pratēju valodā ir ifreims. Nav tur tādu, nav, iebildums ne pa ķeksi.

Gravatar usver

2014. gada 24. janvārī, plkst. 13:58

Webview ir android pasaules termins, un liela sērga ir "feisbuka, ask.fm" utml aplikācijas, kas vienkārši uztaisa iframe, saucas "facebook/ask.fm app" un cauri. Ar reklāmām, protams. Un tas ir tas, pret ko cīnās gūgle. Bet ir milzums "better gmail" utml chrome spraudņu https://chrome.google.com/webstore/detail/enhancements-for-gmail/mgdnblnolcinnndenjnollpiplgkbjcn - gūgle tos netaisās banot, jo to uzvedība ir analoģiska topikspraudnim. Pagūglē, redzēsi, ka nav ko aiz matiem pievilkt noteikumus, kas attiecas uz ko pavisam citu.

Gravatar usver

2014. gada 24. janvārī, plkst. 14:12

Pie tam, kādēļ Tu met android linku diskusijā par chrome? Tur par androīdu pateikts tieši tas pats, ko jau teicu.

Gravatar Visi šitie

2014. gada 24. janvārī, plkst. 14:20

Tāpēc, ka pēdējais ieraksts ir par tēmu.

Gravatar usver

2014. gada 24. janvārī, plkst. 15:12

pēdējais ieraksts ir lietotāja individuāla žēlošanās par to, ka "aplikāciju saites/parastie linki uz mūsu mājaslapu zog mūsu naudu" kā linku iespējamu blakusefektu, nevis atsauce uz kādu konkrētu Google noteikumu punktu.

Gravatar Visi šitie

2014. gada 24. janvārī, plkst. 14:15

Vispārīgi Google Developer Program Policies attiecas gan uz extensioniem, gan packaged apiem. Šis punkts attiecas tikai uz packaged app (http://developer.chrome.com/extensions/apps.html) [be ne obligāti tas ir android]. Tev taisnība, jo topikspraudnis ir extension.

Gravatar Aldis

2014. gada 24. janvārī, plkst. 17:43

Gribētos teikt tā, protams DEAC pāršāva pārs trīpu ar to ka puišeli pa daudz sabaidīja-nenovērtēja. Nenovērtēja arī to, ka cilvēki neiedziļinās būtībā. Nenovērtēja arī to ka nedaudz savādāk jārunā ar tautu.

Ja skatās no autortiesību viedokļa tur viss ir tik slidens... Kautvai no tā ka uz sava datora OK, bet izplatīt kautko kas citur maina... Kurš vinnētu tiesā nav zināms, ASV par šitām lietām cīnās visu laiku un ar mainīgiem panākumiem.

Tagad apvainot DEACu par pk nelikumīgu izmanošanu arī nav gudri, pirmkārt lai DVI izskata un pierāda, citādi nēesat labāki par apspriesto deacu/eklasi.

Ja runājam par tautas histēriju, tas, kas lec acīs ir pašu IT blogeru, " gudro" viedoklis, brīziem nevar saprast, ķērc kā tādas tantītes, "naših bjut" un pofig ka teorētiski pa lietu!

Ja reiz esat tādi gudrinieki, pieņemam, ka strādājat katrs savā darbā, piemēram, viens LMT, otrs Nokia, trešais VIDā, tad uztaisiet LEPNI spraudni, kas to visu darba deveja lapu pārveido, ieliekat publiski pieejamu, reklamējat un ttt. Gribu redzēt cik no jums tāda drosme būs un cik no jums ilgi tur nostrādās!!!

Gravatar kgb

2014. gada 27. janvārī, plkst. 20:39

  1. "izplatīt kautko kas citur maina…" - vai nu Tev nav ne mazākās nojēgas kā Chrome spraudņi strādā, vai Tu apzināti nodarbojies ar FUD.
  2. "Kurš vinnētu tiesā nav zināms, ASV par šitām lietām cīnās visu laiku un ar mainīgiem panākumiem" - kaut vienu linku, lūdzu? Pēc manām ziņām, neviens no adblockeriem ASV tiesās nav zaudējis, tāpat kā Stylish un līdzīgie paplašinājumi.

Gravatar avot

2014. gada 25. janvārī, plkst. 00:44

Līdzīgs sviests izvērtās par youtubes embed kodiem Latvijā.

Gravatar Jānis

2014. gada 26. janvārī, plkst. 13:45

Varbūt puika neatbildēja ar rupjībām, bet ar noteiktu pusaudža bravūrību un augstprātību noteikti!

Ja kāds sadomātu parakņāties pa Jūsu pašu sistēmām, gan jau ka tur arī visādi brīnumi uzpeldētu. Kļūdas ir un būs visās sistēmās svarīgi ir cik ātri šīs problēmas tiek novērstas!

Būs jāsāk pārdomāt vai jēga lasīt LV top blogus, šķiet visi tā kā aitas raksta vienu un to pašu, reti kurš paskatās uz situāciju no citiem skatu punktiem.

Gravatar kgb

2014. gada 27. janvārī, plkst. 20:31

@Jānis: un tas cits skatu punkts būtu?.. a. Radīsim produktu, spraudīsim tur reklāmas, kāsīsim naudu, un draudēsim jebkuram, kurš uz savām ierīcēm negribēs reklāmas skatīties? b. Mēs rūpējamies par jūsu drošību - izmantojot draudus, advokātus un preses relīzes. c. Mūsu produkts ir caurumains, bet jūsējais noteikti arī!

Gravatar frodits

2014. gada 31. janvārī, plkst. 09:48

Skolas.lv pēc kašķa ar DEAC vairs nekonkurē uz elektroniskā žurnāla statusu. Tika cilāts arguments, ka valsts ar savu skolas.lv elektronisko žurnālu grauj konkurenci privātajā sektorā. Pēc šī kaška DEAC vairs nehostē IZM serverus :)

Vienīgā skolas.lv plānotā funkcionalitāte ir gala vērtējumu iesūkšana no e-klases un mykoob.

Mykoob starp citu ir ok, esmu ieviesis skolās gan mykoob gan e-klasi. E-klase ir vairāk piemērota Latvijas izglītības sistēmas vispārējām izglītības iestādēm. Viņi ir padomājuši par visām atskaitēmu un citām fīčām. Mykoob atkal ir ļoti elastīgs un ērti piemērojams arī prof iestādēm. Mykoob džeki starp citu ir ļoti atsaucīgi un pretīmnākoši.

Gravatar raro

2014. gada 29. aprīlī, plkst. 17:11

Kā tad nekonstruē, cik zinu visiem viss atīstās, tas ka viena tente kko teica, nenozīmē, ka viss tā arī ir!