laacz.lv

Kaspara F. neoficiālā mājaslapa (Anno 1997)

E-klase – pozitīvais efekts

Vakar ļāvos emocijām un uzrakstīju par e-klasi. Izrādās, diena ir aizritējusi notikumiem bagāta. Un ne visi ir slikti. Labi, puslīdz pēc kārtas.

Savu pozīciju DEAC turpina aizstāvēt, lielu publisko attiecību neveiklību pārvēršot vēl lielākā. Diezgan labi vēstuli komentēja Endijs. Ja slinkums lasīt, tad neko. Man trūkst vārdu, lai skaidrotu to, ka šinī publikācijā viņi elementāri nodarbojas ar faktu sagrozīšanu un nezinošāko lietotāju elementāru iebiedēšanu caur hiperbolām un spekulācijām.

Aleksejs apgalvo, ka rupjības savās atbildēs izmantojis neesot. DEAC, tiesa, stāsta pretējo. Kuram ticēt?


Vispirms “E-klases” izstrādes daļas vadītājs Jānis Kaģis e-pasta veidā A. Popovu informēja, ka šādu paplašinājumu nepieciešams izņemt no publiskā piedāvājuma, tomēr pēc rupjībām, kuras no A. Popova tika saņemtas, lietas risināšana nodota juristiem.

Vienā brīdī man ienāca galvā jautājums pašam sev (jā, es runāju ar sevi) – Kaspar, kā tu rīkotos šādā situācijā, esot DEAC pusē? Pāris sekunžu aizdomāšanās un ir skaidrs tikai viens. Es izmantotu to, ka paplašinājuma izejas kods bija brīvi pieejams vidē (Github), kurā jebkurš var tam piedāvāt savus uzlabojumus. Ja mani kā ēklases izstrādes vadītāju satrauktu tas, ka paplašinājums nozog daļu funkcionalitātes, es palūgtu kādam no štata izstrādātājiem iekš github izveidot issue un pull request ar atbilstošajiem labojumiem, lai, piemēram, paplašinājums neslēptu tik svarīgo paroles atjaunošanas saiti. Un pateiktu paldies. Bet es neesmu.

Lai gan ar paplašinājumu teorētiski un loterijveidīgu apstākļu sakritības rezultātā, būtu iespējams kaut ko nozagt, tai ir jābūt mērķtiecīgai rīcībai un atbildība par šādiem gadījumiem ir jāuzņemas datoru saimniecības administratoram. Un te nu jebkuru paplašinājumu var izmantot ļaunprātīgi. Kur nu. Jebkurš nepieredzējis datorlietotājs daudz reālāk iegūs kādu vīrusu nekā naidīgu Chrome paplašinājumu. Sistēmas administratori var liegt iekš Chrome instalēt dajebkādus paplašinājumus un tieši šis ir veids, kādā problēma, kuru ilustrē DEAC, ir risināma.

Paralēli visai jezgai uzradās arī kāds uzņēmums, kurš vēlējās uz tās rēķina apsedlot PR zirgu. Man gan izskatās mazliet pēc parazitēšanas mēģinājuma. Lai piedod man Olimpa dievi, ja tā nav.

Bet, negaidīti izrādījās, ka visai šai ņemtnei ir arī pozitīvi blakus efekti. Visa kašķa gaitā viņiem tika norādīts uz kaudzīti ar diezgan acīmredzamām drošības problēmām. Un, ak tu brīnums, tās tiek lēnām novērstas, lai gan to esamība spītīgi tika noliegta pat tad, kad uz tām tika norādīts ar pirkstu.

Vakar pats pārbaudīju – izdzēšot vienu simbolu no pirmās lapas (nomainot formas elementa action vērtības sākumu no https uz http) varēja panākt efektu, ka pieslēgšanās ēklasei notiek nešifrētā veidā caur nedrošu savienojumu. Un man nav ne mazākās nojausmas, kas tā tāda par akadēmisko vidi, par kuru runāja Andris. Šodien šī iespēja beidzot ir liegta. Amizantā veidā gan, bet, iespējams, tas ir saistīts ar nepieciešamību problēmu labot veikli.

Neveiklā kārtā viņi gan bija piemirsuši par ēklases mobilo versiju, atstājot to bez drošā savienojuma. Vakarā viņiem uz to vērsa uzmanību, savukārt, stundu vēlāk jau tā izskatījās tā, kā tas attēlots zemāk iekļautajā attēlā. 21:25 lapa nevērās vaļā vispār, taču tagad jau visā savā SSL spozmē nepacietīgi gaida apmeklētājus.

Tāds, lūk, drošs pieslēgums.

Tauta padiskutēja par alternatīvām. Alternatīvu, ja precīzāk. Kāds kaut ko pateica par skolas.lv, bet par to neviens tā īsti neko nezin. Daži minēja Mykoob, taču, diemžēl, izskatās, ka produkts ir tik baiss, ka labāk visi paliek pie ēklases.

Žēl, ka diskusija ar atsevišķiem pārstāvjiem aprobežojas ar ko līdzīgu šim:

- Klau, jums tas tur ir apaļš! - Nē, tas ir kantains! - Nu, kā ta nav. Raugi, tas jūsu apelsīns ir apaļš! - Ā, bet es, takš, par trapecēm runāju! - Bet visi runā par apelsīnu! - Tas nekas. Es par trapecēm.

BTW

Mykoob ir analogs, kādreiz bija nedaudz sarežģītāk to sagatavot mācību gada sākumam, nezinu kā ir tagad, bet visumā šī alternatīva pat ir ērtāka par e-klasi.
Tomēr tajā visā ir viens liels bet – skolotāji liela daļa ir stagnāti un viņi staigās un pukstēs cik visi ir savādāk/sarežģīti.
E-klase ir maksimāli tuvu nokopējusi skolas papīra žūrnālu un tas ir viņu lielākais trumpis
Skolas.lv ir miljonus vērta skolu datubāze bez līdz galam izdomāta racionāla mērķa, šis mans viedoklis noteikti nav objektīvs, bet tā es šo projektu esmu redzējis visu laiku.

lol

skolas.lv šķiet ir bijis tik efektīvs naudas iešņaukšanas pasākums, ka neviens tā arī līdz galam nav sapratis, kas tur ir domāts un kāpēc tas vajadzīgs, bet miljoni ir veiksmīgi iztērēti. Augstākā pilotāža, tā teikt.

hu_ha

par skolas.lv – patiesībā tur ir stipri piestrādāts par funkcionalitāti no pasniedzēju puses (veidot materiālus, uzdot tos, vērtēt utt), daudz sinhronizācijas ar dažādām sistēmām utt., bet tur trūkst galvenā – žurnāla.
Un tur visa lieta ir vienkārša – ja kaut kas tiek taisīts par eiropas naudām, tad tad projekts nedrīkst izkonkurēt privātu biznesu – šajā gadījumā tika aizstāvēta e-klase un no projekta izstrādes gaitā tika izņemts žurnāls. Tā vietā ir uzdevumu vērtējumu nodošana uz e-klasi. Bet tā kā visi grib tikt vaļā no e-klases, bet šis risinājums līdz galam to neļauj, tad arī projektam grūti iegūt popularitāti…

jautājiens

Tu būtu kā skolotājs pārkopēt visas atzīmes kādas ievadītas par 120 skolēniem 5 gados, lai varētu salīdzināt katra izaugsmi?

Iet runa par desmitiem tūkstošu ierakstu. Esi gatavs?

mamma

Mykoob ir ļoti vienkārši lietojams un nav jāpērk nekādi ģimenes komplekti, nav jāmaksā par to, lai varētu redzēt visas sava bērna atzīmes. Liecību arī var apskatīt. Samaksāju to naudiņu par ģimenes komplektu, lai gan man ir 1 bērns šajā e-klasē un nekādas milzu ģimenes nav. Nu štrunts par to naudu, bet par to neieguvu nekādas privilēģijas, tikai raibas tabulas. Bezjēdzīgi. 3 gadus lietoju Mykoob , tagad otro gadu e-klasi, jo mainījām skolu. Ieraksti par kuriem jāmaksā nauda ir tādi pat kā bezmaksas tabuliņa. Skumji…..

Tom

Es sākumā pat nepiefiksēju, ka viņu mobilajai versijai nav SSL. Tas vien jau norāda uz viņu kompetenci. Patiesībā arī tas, ka viņu login forma ir http, ir drošības caurums. Tas nekas, ka pēc tam login forma tiek redirektēta uz https, jo teorētiski ir iespējams MitM starp http un https.

Un tas viņu salīdzinājums ar bankas drošību vispār manī smieklus izraisīja. Lai e-klase kaut mazliet drošības ziņā līdzinātos bankas sistēmai, būtu jāievieš:

– 2F autorizācija
– Hashotas paroles (ar Salt, protams)
– HTTPS everywhere (nevis pēc kautkāda mistiska redirecta)
– Neatkarīgi drošības auditi regulāri

Bet es stipri apšaubu DEAC kompetenci, izskatās, ka viņi pat nesaprot ko nozīmē IT sistēmas drošība…

eses

Tīri personīgai zināšanai, par cik sāku padziļināti interesēties… kā nodrošināt paša pirmā redirekta drošību, ja sākotnēji adresi ievada ar HTTP? Neservēt HTTP un prasīt manuālu HTTPS pieprasījumu no sākuma? Jo, tiklīdz kaut vienā vietā nav S, tā visa drošība vējā, no MitM viedokļa.

Mārtiņš

Vajag redirektēt ar HTTP 302. Nevis no loginformas logoties uz https.
MitM uzbrukumā ļaundaris aizvietos 302 redirektu html formu, lai submits notiek uz viņa serveri. Taču prātīgam lietotājam būtu jāpārliecinās, ka logina lapā viņam ir https savienojusm, un servera sertifikāts ir korekts (uz URL’i, kuru lietotājs sagaida). Ļaundaris varēs tikai redirektē uz citu URL’i, bet tajā, protams, prātīgam lietotājam nevajadzētu logoties iekšā.

eses

Tas viss paģēr to, lai uzbrukuma upuris būtu prātīgs. :D

302? Kāpēc ne 301, lai to uztvertu kā permanentu notikumu? 302 ķipa skaitās temp, kas nozīmē, ka pēc kāda laika HTTP atkal var būt pieejams.

eses

Par Marolind un “izskatās mazliet pēc parazitēšanas mēģinājuma”.

Lieku galvu ķīlā, ka tā nav. Tas vienkārši Matīsa Roberta Treiņa taisni nostiepts vidējais pirksts stulbu piepju virzienā.

PS: Ja kādam šķiet, ka es esmu kaut kāds viņu pārstāvis, tad nē. MRT vispār ir krāns, bet ar mugurkaulu un dažkārt runā viedi.

Maadinsh

Nu pus punkts deacam atpakaļ par to, ka kamēr vadība blamējās internetos, kāds tomēr ļoti operatīvi pielaboja kliedzošākās drošības problēmas.

Ja pie viena vēl būtu novākts tas, ka logojoties iekšā atveras jauns logs (es piemēram vispār nemēdzu lietot vairākus pārlūka logus un tāda lapas darbība ir pilnīgi negaidīta un neloģiska), būtu vesels punkts.

A.

“Vakar pats pārbaudīju – izdzēšot vienu simbolu no pirmās lapas (nomainot formas elementa action vērtības sākumu no https uz http) varēja panākt efektu, ka pieslēgšanās ēklasei notiek nešifrētā veidā caur nedrošu savienojumu. Šodien šī iespēja beidzot ir liegta.”

Tas neko nerisina. MITM uzbrucējs var izmainīt action vērtību uz http://url.owned.by.attaker.com, vai iekļaut JS, kurš lietotājvārdu un paroli papildus aizpostē uzbrucējam. Pareizais veids kā šo salabot ir HSTS, lai principā novērstu iespēju, ka lietotāja pārlūks varētu iegūt index.html izmantojot http.

A.

Lato Lapsas komentārs par “iespējamo” paplašīnājuma ļauno dabu ir pamatots un reāls. Bet tad būsim konsekventi un attiecināsim to uz visiem paplašinājumu un mobilo aplikāciju autoriem.

Bez pierādījumiem un pamata apvainot konkrētu aplikācijas autoru noziedzīgās darbībās ir noziedzīgi.

Taka

e-klases rakstu komentāros ir maza nepilnība:
teksts, kurš ievadot ir sadalīts rindās:
aaa
bbb
ccc
pēc komentāra pievienošanas izskatīsies tā:
aaabbbccc

Es tur uzrakstīju labu, glīti noformētu tekstu un ieguvu “estekautkorunāju” . Nu ziniet :(

usver

Visiem šitiem “suņiem” u.c nikiem, kam nekas nav labi un kas no DEAC puses komentē, mēģinot attaisnoties ar to, ka “lietotājam pazudīs svarīga informācija” – takš vienojieties ar izstrādātāju, ka DEAC čekauto konkrētas revīzijas, uzliek savu rezolūciju, ka “deac ar šito ir apmierināts, jo paroles atjaunošanas saite ir redzama” un publicē ar DEAC kontu Chrome vietnē.

Vai sekot līdzi revīzijām un saskaņot spraudņa laidienus.

Visi pēc sabiedrības reakcijas tik daudz resursu gatavi veltīt lai līstu pie puiša uz mājām, celtu kājās advokātus un interesantā veidā spītēties forumos utml, bet elementāri konstruktīvi sadarboties un nodrošināt dzīvē to, par ko paši publiski uztraucas – spraudņa drošību – laikam nav ienācis prātā.

Visi šitie

Puisis pirms sava extension publicēšanas Google Chrome Webstore varēja kārtīgāk izlasīt Developer Program Policies, kur melns uz balta stāv rakstīts:

“Packaged apps should not:
Provide a webview of a website that is not owned or administered by you. “

usver

Webview ir android pasaules termins, un liela sērga ir “feisbuka, ask.fm” utml aplikācijas, kas vienkārši uztaisa iframe, saucas “facebook/ask.fm app” un cauri. Ar reklāmām, protams. Un tas ir tas, pret ko cīnās gūgle. Bet ir milzums “better gmail” utml chrome spraudņu https://chrome.google.com/webstore/detail/enhancements-for-gmail/mgdnblnolcinnndenjnollpiplgkbjcn – gūgle tos netaisās banot, jo to uzvedība ir analoģiska topikspraudnim. Pagūglē, redzēsi, ka nav ko aiz matiem pievilkt noteikumus, kas attiecas uz ko pavisam citu.

usver

pēdējais ieraksts ir lietotāja individuāla žēlošanās par to, ka “aplikāciju saites/parastie linki uz mūsu mājaslapu zog mūsu naudu” kā linku iespējamu blakusefektu, nevis atsauce uz kādu konkrētu Google noteikumu punktu.

Aldis

Gribētos teikt tā, protams DEAC pāršāva pārs trīpu ar to ka puišeli pa daudz sabaidīja-nenovērtēja. Nenovērtēja arī to, ka cilvēki neiedziļinās būtībā. Nenovērtēja arī to ka nedaudz savādāk jārunā ar tautu.

Ja skatās no autortiesību viedokļa tur viss ir tik slidens… Kautvai no tā ka uz sava datora OK, bet izplatīt kautko kas citur maina… Kurš vinnētu tiesā nav zināms, ASV par šitām lietām cīnās visu laiku un ar mainīgiem panākumiem.

Tagad apvainot DEACu par pk nelikumīgu izmanošanu arī nav gudri, pirmkārt lai DVI izskata un pierāda, citādi nēesat labāki par apspriesto deacu/eklasi.

Ja runājam par tautas histēriju, tas, kas lec acīs ir pašu IT blogeru, ” gudro” viedoklis, brīziem nevar saprast, ķērc kā tādas tantītes, “naših bjut” un pofig ka teorētiski pa lietu!

Ja reiz esat tādi gudrinieki, pieņemam, ka strādājat katrs savā darbā, piemēram, viens LMT, otrs Nokia, trešais VIDā, tad uztaisiet LEPNI spraudni, kas to visu darba deveja lapu pārveido, ieliekat publiski pieejamu, reklamējat un ttt. Gribu redzēt cik no jums tāda drosme būs un cik no jums ilgi tur nostrādās!!!

kgb

1) “izplatīt kautko kas citur maina…” – vai nu Tev nav ne mazākās nojēgas kā Chrome spraudņi strādā, vai Tu apzināti nodarbojies ar FUD.
2) “Kurš vinnētu tiesā nav zināms, ASV par šitām lietām cīnās visu laiku un ar mainīgiem panākumiem” – kaut vienu linku, lūdzu? Pēc manām ziņām, neviens no adblockeriem ASV tiesās nav zaudējis, tāpat kā Stylish un līdzīgie paplašinājumi.

Jānis

Varbūt puika neatbildēja ar rupjībām, bet ar noteiktu pusaudža bravūrību un augstprātību noteikti!

Ja kāds sadomātu parakņāties pa Jūsu pašu sistēmām, gan jau ka tur arī visādi brīnumi uzpeldētu. Kļūdas ir un būs visās sistēmās svarīgi ir cik ātri šīs problēmas tiek novērstas!

Būs jāsāk pārdomāt vai jēga lasīt LV top blogus, šķiet visi tā kā aitas raksta vienu un to pašu, reti kurš paskatās uz situāciju no citiem skatu punktiem.

kgb

@Jānis: un tas cits skatu punkts būtu?..
a. Radīsim produktu, spraudīsim tur reklāmas, kāsīsim naudu, un draudēsim jebkuram, kurš uz savām ierīcēm negribēs reklāmas skatīties?
b. Mēs rūpējamies par jūsu drošību – izmantojot draudus, advokātus un preses relīzes.
c. Mūsu produkts ir caurumains, bet jūsējais noteikti arī!

frodits

Skolas.lv pēc kašķa ar DEAC vairs nekonkurē uz elektroniskā žurnāla statusu. Tika cilāts arguments, ka valsts ar savu skolas.lv elektronisko žurnālu grauj konkurenci privātajā sektorā.
Pēc šī kaška DEAC vairs nehostē IZM serverus :)

Vienīgā skolas.lv plānotā funkcionalitāte ir gala vērtējumu iesūkšana no e-klases un mykoob.

Mykoob starp citu ir ok, esmu ieviesis skolās gan mykoob gan e-klasi. E-klase ir vairāk piemērota Latvijas izglītības sistēmas vispārējām izglītības iestādēm. Viņi ir padomājuši par visām atskaitēmu un citām fīčām. Mykoob atkal ir ļoti elastīgs un ērti piemērojams arī prof iestādēm. Mykoob džeki starp citu ir ļoti atsaucīgi un pretīmnākoši.

Iesniegt savu viedokli

Atruna par moderāciju. Daži vārdi, var gadīties, ka ir iz melnās listes (viagra and stuff). Tādi komentāri tiek aizturēti, pirms parādās lapā. Ja Tavs komentārs neparādās uzreizi, būs vien jāpagaida, līdz es jamo izlasīšu. Protams, ka paturu tiesības sev netīkošos komentārus dzēst, iemeslu neminot.