Re: [Hackmeeting] Aquileaks

このメッセージを削除

このメッセージに返信
著者: boyska
日付:  
To: hackmeeting
題目: Re: [Hackmeeting] Aquileaks
vecna mc claudio ha scritto (mar 22 mag alle 14:46):

> Il giorno 22 maggio 2012 14:32, boyska <piuttosto@???> ha
> scritto:
> >        - l'accesso al materiale inviato deve essere limitato a chi ne ha i
> >        permessi.

> >
>
> per noi è: se ricevi il link, hai i permessi di download (un numero di
> download limitabile), se hai la ricevuta, hai i permessi di upload. fine.


ottimo. immagino che i commenti li possano fare sia quelli col link che
quelli con la ricevuta.

> > Meccanismi di paranoia:
> > * macchina che non logga niente
> >
>
> si disabilita da .conf, o si abilita per il debug


chmod a-rwx /dir/dove/dovrebbe/loggare
disabilitare ogni forma di logging di python, nginx o qualsiasi altra
cosa.
montare /var/log/ come tmpfs.
logrotate: rotate 3
Le solite robe, giusto così, perché ci fidiamo :P

> > * un hidden service per i più paranoici
> >
>
> E' creato di default


scusa che vuol dire che è creato di default? l'hidden service si crea
modificando il proprio torrc, mica lo puoi creare da python...

> non ha statistiche,


sticazzi.
Al massimo ci teniamo un log nel webserver che registra solo la data e
l'url, poi si fa wc -l e via.

> è stato auditato da un paio di conoscenze brave nel
> webhacking, ma si basa su web2py e per questo non è escluso possa aver
> problemi insiti.


già, ma questo è vero di ogni libreria, direi :)

> la cosa secondo me comoda in questa fase, è che se uno ha skill
> sistemistici e non di programmazione, puo' comunque aiutare sul concetto di
> "script che customizza, tuna e pulisce la macchina virtuale", partendo da
> una ubuntu server 11.10


altro requisito: c'è già la localizzazione in italiano? sennò tocca
farla.

> inoltre, la parte di interfaccia web in questo momento ne abbiamo 3. un
> template basato su web2py e sulle nostre modifiche, un template usato da un
> media serbo, un template sviluppato in nonricordocosaJS.


il nonricordocosaJS sarebbe server-side js o client-side?
tendenzialmente se vogliamo essere paranoici una roba tutta statica è
meglio, per ovvie ragioni di sicurezza.
Linkamele un po', che le vedo :)

> > Ne parliamo (anche) su irc? mufhd0/#hackit99
> >
> > volentieri, domani


k