Онлайн агрегатор веб служб iSpidy

[foomer]

Думаю хабракат не помешал бы :)

[simeona]

Добавил. Что-то про хабракат я совсем позабыл.

[Dimka]

Сервис очень хороший! Но я, честно говоря, только из безопастности, не стал бы выкладывать все свои пароли )

[Victor_R]

Сервис похож на шпионский (Spy).
Такой функционал лучше реализовывать в браузере, например Flock,
или в качестве плагина к браузеру.
Зачем промежуточная обработка на стороннем ресурсе?

[goldeneye]

Плагин к браузеру имеет те же преимущества и те же недостатки, что и обычные десктопные приложения.
Плюсы: возможна большая юзабельность, секьюрность.
Минусы: необходимо устанавливать его на каждом используемом компе, апдейт плагина в общем случае непрозрачно.

Так что каждому своё.

PS: Мы планируем сделать для ispidy оффлайн режим на основе google gears. В этом режиме пароли будут храниться только на компьютере пользователя

[sigitov]

а реклама — гарантия того, что ресурс не финансируется госорганами? ;)

[kai]

Так думаешь, пока за шкирку не возьмут. Тогда оказывается, что даже такой хуй кому-то там нужен.

[monsterzz]

https я понять еще могу...
Но причем тут реклама?

[Setti]

А зачем люди делают и продолжают вести 3 аккуанта в жж, лиру и блоггере?

[Slavn]

Видимо, на каждом сервисе есть "друзья", для которых и продолжают вести.

[pudovkin]

попытка охватить ненужное?

[prmy]

Идея хороша, но слабо реализуема (как уже сказано выше, "нужно сообщать свои данные (логин и пароль) стороннему сервису"). + команде не помешал бы HTML-кодер/дизайнер. Картинки (не фотки!) 50-70 килобайт на индексе сервиса, претендующего на массовость - это моветон даже в эру 100М "выделенок".

[orloff]

В первом случае пользовательские пароли к подключаемым сервисам сохраняются на сервере в зашифрованном виде. Во втором - пароли не запоминаются на сервере вообще.
а как узнать, правда это или нет? оочень большие сомнения )

[meexa]

Интересно почему еще паспорт на входе не спрашивают, или ключи от квартиры.

Есть такое слово - openid.

[Alaska]

Вы такой интересный, а как эта система должна работать без ваших паролей?

[prmy]

http://en.wikipedia.org/wiki/Openid

[Alaska]

Хабр и Вконтакте вроде бы не поддерживают openid ;)

[prmy]

Но и паролей чужих не просят)

[pudovkin]

за это им большой минус

[meexa]

А вы почитайте:

"A site using OpenID doesn't need your password"

http://ru.wikipedia.org/wiki/OpenID
http://www.livejournal.com/openid/about.…
http://habrahabr.ru/blog/columns/6754.ht…
http://the-notebook.org/?p=4&cp=5

И вот на десерт:
http://openid.net/

[dbf]

ВМиК рулит =)

[MScoder]

да, перспектива оставить свои пароли от всех ресурсов не радует... не факт, что они там не хранятся
а если через месяц этот стартап рухнет, к кому попадут пароли?

[cjgrin]

Задумка хорошо
но пока мало эффективности
имхо rss давно уже не хватает
нада какойто более мощную штуку

[pudovkin]

или мотивацию

[glider]

Постороннему серверу не хочется доверять не только пароли, но и любую другую информацию, для него не предназначенную - посты в блогах, к примеру. По-моему, для кросспостинга правильным является подход, реализованный на blog.ru и beta.ya.ru, при котором один блогосервер сам ходит к другому за постами.

[Ypag]

да кому ваши пароли нужны от блогов, что злоумышленники смогут с ними сделать, максимум охинею накрапать в блогах.
смысл в них...

[ACTPOHABT]

Знаешь, особого смысла писать вирусы тоже нет. Например те, которые ещё на дискетах разносили. Ни паролей ни номеров кредитных карточек не забирали. Но делал же их кто-то.

[pudovkin]

вдумайтесь больше. а если аккаунт пропалчен на жж. а если вдруг недайбох пароль с жж совпадает с входом в аккаунт на жужуль. а если в checkout введены данные и сохранены? а если прикручены google applications и активированы google docs, calendar и, что хуже всего google talk?
можно идти и дальше

[Ypag]

для этого нужно делать свой алгоритм кодирования и декодирования и ни чего с ними сделать не смогут...

[goldeneye]

Я руководитель этого проекта, отвечу на вопросы о паролях.
1. Что происходит с паролями при входе под временным пользователем без регистрации нового аккаунта?
Пароли не хранятся в БД, они находятся во временной сессии.
2. Как шифруются пароли при регистрации нового пользователя?
а) Пароль пользователя ispidy шифруется в БД с использованием алгоритма md5. Для непосвященных, взлом такого хэша возможен только полным перебором всех вариантов.
б) Пароли к внешним системам шифруются в БД алгоритмом AES с ключем < незашифрованный пароль ispidy >. Их расшифровка выполняется только при входе пользователя в систему. Это означает, что злоумышленник, взломавший БД сервера в принципе не сможет расшифровать пароли пользователя от внешних систем.
3. Вопрос о доверии разработчикам ispidy.
Мы разрабатывали эту систему вчетвером более четырех месяцев, вложив в неё свои души и море усилий. Поверьте, что существует множество гораздо более простых и распространенных способов получить приватные данные.
4. О финансировании госструктурами.
Нет, нас не финансируют госструктуры :)

[goldeneye]

Пока пользователь находится в системе, расшифрованные пароли от внешних систем и введенный пользовательский пароль находятся только в оперативной памяти веб-приложения. Таймаут сессии пользователя - полчаса, после этого времени все расшифрованные пароли стираются из памяти веб приложения.

[ashmind]

По поводу md5 — salt есть? Или с помощью rainbow table всё можно расшифровать?

[goldeneye]

Хэш без salt. Придумаем как подсолить в следующем релизе, спасибо за комментарий.

[koct9i]

надо добавить соли и заменить md5 на какой-нить sha

[ssanjarr]

Вы пишите что все паролы зашифруется, а я когда зарегился у вас, вы мне по почте отправили свой парол не зашифрованный. как это понять?

[goldeneye]

Пароли шифруются в БД. Пароль от ispidy посылается на почту пользователю до зашифровки.

[ssanjarr]

А где же здесь форма для воствновление паролья??

[goldeneye]

Мы настолько сильно шифруем пароли (см ответы на вопросы о паролях), что не можем ни выслать пароль ispidy ни сгенерировать новый пароль.

[ssanjarr]

Ну если пользователь забудет свой пароль как он восстановить??? или это не возможно?

[goldeneye]

Был такой выбор: либо сделать систему более уязвимой ко взлому либо ограничить возможность восстановления пароля, мы выбрали второе.

[ssanjarr]

Ну давайте признавайтесь что вы забили форму восстановление. если вы уберете форму это не значит что вас никто не будет взломат. сделайте ползовательям удобно.

[trb]

Если вы вчетвером работали более четырех месяцев, и этот проект так много значит для вас, я бы вам настоятельно рекомендовал скинуться на работу достойного дизайнера. Сейчас дизайн просто НИКАКОЙ. А в таком агрегаторе один из главных факторов - адекватный внешний вид и юзабилити.

[foomer]

Во! Крута! С хабракатом лучше смотриться :)

[foomer]

Можно было бы лого проекта вынести в короткое описание, для узнаваемости

[AlexeyK]

Прикрутите OpenID, много людей придет, половина боится пароли выкладывать.
А так - ну ОЧЕНЬ хорошая вещь :)

[goldeneye]

К сожалению, я сейчас не вижу способов добавить поддержку OpenID.
Коммуникация с большинством внешних систем выполняется по xml протоколам, в которых не поддерживается аутенификация по openID.

[ashmind]

Иконки страшные. Даже и не припомню ни одного com-стартапа с такими страшными иконками.
Я не придираюсь, для меня это на самом деле имеет значение.

[kolyan]

Интересно, а "различные блоги" в курсе о существовании iSpidy? Я конечно не специалист, но, на сколько я знаю, использование их API денег стоит, а хакерские методы распарсивания их страниц время от времени обламываются из-за изменения дизайна и т.п.

[freehome]

вот еще в тему: http://swiftpen.ru

[UlyaNick]

Спасибо за iSpidy! Очень удобно =)

[terloger]

1. ExtJS можно было и получше сжать. В сети есть инструменты для этого.
2. «Входящая в поставку» тема конечно хорошая, но это не серьезно, когда она принимается как основное оформление... ее можно принять в CMS, но не на главной странице же сайта.
3.

Вообще спорный вопрос об необходимости для пользователя «пакетной» отправки.

[goldeneye]

1. Да, мы обязательно будем упаковывать extJS и добиваться минимизации траффика
2. Эффект "Нового сообщения" - издержка производства, будем искоренять :).

Спасибо за комментарий!

[Ypag]

по поводу паролей

можно хранить их через md5 добавив немного шума, тогда точно хрен кто взломает :)
а функцию восстановления тоже сделать не составить особого труда -
генерируется случайная комбинация и высылается на мыло юзера для подтверждения, после подтверждения - записывается в базу через тот же md5
даже если базу с паролями выложить в инете :)
вряд ли кто ее взломает :)

[goldeneye]

Есть такая проблема. Как я уже писал, пароли от внешних систем шифруются незашифрованных паролем iSpidy через AES. Поэтому если просто поменять пароль к iSpidy (сгенерировать новый), то невозможно будет расшифровать пароли от внешних систем.

[Ypag]

пароли внешних систем можно кодировать своим алгоритмом, что бы была возможность декодирования для подключения к внешним системам...

Главное, что бы не завалили сервер и не вытащили подпрограммку декодировщика.
Тут уже стоит вопрос надежности хостера...

[nikor]

Вообще-то это как бы правило - криптостойкость алгоритма должна определяться ключом, а не тем, что алгоритм "свой" и его никто не знает.
Поэтому обычно и шифруют широко-известными и публично-проверенными алгоритмами. Не всякий новый и оригинальный "свой" алгоритм без дыр. М.б. даже так, что автор алгоритма не достаточно компетентен, чтобы увидеть уязвимость. А вот вражеский криптоаналитик - запросто! :)

[barbuza]

ребята молодцы - давно хотел посмотреть на шустро работающий интерфейс на extjs.

[antonlyapunov]

Отличная штука. Для спамеров, конечно же. :)
Чтобы пачками публиковаться везде, где только можно.