Тестирао сам сајтове Менсе у Србији, Хрватској, Босни и Херцеговини и глобалу

Блог

Одлучим по наговору фамилије и осталих који мисле да нисам баш под винклу и да бих требао ићи у некакву установу на лечење, да одем на Менса тестирање своје „ентелегенцие“, одем на сајт српске Менсе, прочитам информације везане за тестирање, кад је и колико кошта, какав је тест уопште, видех неки пример, одем да видим где су у Београду па видех…

….ово ми је био сигнал да се мало удубим у сајтове ове организације, контам – тестираће они мене, зашто не бих и ја њих односно бар ово што је јавно свима 🙂 Сајт који представља топ 2% најинтелигентнијих људи у Србији (mensa.rs) – као прво нереспонзиван – са мобилног би морао да скролујеш до смрти и ради хотлинкинг фотки са туђих сајтова. Одем на сајт хрватске Менсе (mensa.hr) – исто нереспонзиван. Али хајд, то да оставимо по страни…

Хотлинкинг, је кад неко на свом сајту постави да се приказују фотке са туђих сајтова – некад је то плаћена варијанта па је ОК јер ето – штедиш своје ресурсе, некад бесплатна па се мислиш кад ли ће да укину бесплатан хостинг за слике а некад је нелегална – кад се повлачи са сајтова који нису дали потврду да то сме да се ради – а заједнично за сва три ‘кад’ је да се то ради како би се користили ресурси туђег сервера уместо свог – скидање његов саобраћај и користите његове ресурсе.

Оба сајта, и српски и хрватски имају SSL/TLS сертификат (то ти је оно https), српски има https али није цео сајт под https-ом има и http делова, бар на почетној коју сам гледао (фотке неке највероватније, мрзело ме да даље гледам изворни код) – а то се води као почетничка грешка, хрватски има https али није force-ован и https-only – онај ко хоће да га не снифују мора ручно да укуца https:// а и кад оде на https:// опет није цео сајт иза https-а него има и http делова.
Босанска менса (mensa.ba), нема неки убер-фенси дизајн али је бар на forced https-у, хостована на WordPress.com и сајт јој је респонзиван, све по правилу службе – тако да џаба они вицеви о Босанцима, то не важи, Босна кида.

Тај леп приказ сајта на мобилним и таблетима изгледа генерално не важи за Менсу било како било тако да је и главни сајт mensa.org исто нереспонзиван, али је фазон исто као и хрватски сајт – има SSL сертификат али није forceован, тако да онај ко оде на http://mensa.org а неко му иснифује саобраћај, имаће увид и у његову логин форму и у странице које посећује. Али је бар, кад се оде на https:// – цео сајт иза https-а.

А онда SSL labs – да видимо да ли су и ти такви SSL сертификати инсталирани ваљано и какве оцене има на овом тесту, те их ево у скриншотовима доле:

Српска Менса | Mensa.rs | Датум тестирања 21/07/2017 | Оцена НЕДОВОЉАН (1)

 

Хрватска Менса | Mensa.hr | Датум тестирања 21/07/2017 | Оцена ВРЛО ДОБАР (4)

 

Глобална Менса | Mensa.org | Датум тестирања 21/07/2017 | Оцена ДОБАР (3)
Босанска Менса | Mensa.ba | Датум тестирања 21/07/2017 | Оцена ОДЛИЧАН (5)

Дакле: српска Менса пала годину на SSL тесту, хрватска је ОК, глобална – прође једва и кроз иглене уши. Босанска има оцену А али је код њих све подешено од стране велике WordPress.com платформе (фирма Automattic) – па не чуди…али снашли се људи одлично. Постоји и црногорска Менса али на њу нисам бачио детаљније поглед јер и нема SSL/TLS – али не видех додуше ни логин форму – али је исто као све остале Менсе сем БИХ – нереспонзивног дизајна. Ово исто што важи за црногорску важи и за македонску Менсу.

А најбоље од свега је што није потребна нека лудило наука за правилну инсталацију сертификата и подешавање вебсервера, ево рецимо како сам ја наместио оцену А+ уз HTTP/2 и ALPN подршку.

Нисам хтео да тестирам сајтове којекаквим алатима из BackBox Linux-а да не бих оптерећивао њихов веб сервер или утичем на перформансе – а и то радим само кад ми неко затражи, јер се може десити да цео сајт пукне због тога – ако је на дељеном (shared) хостингу рецимо.

Позив члановима Менсе: Реците људима који држе сајтове Менсе да сајт на којем између осталог стоји и ваше име и презиме на листингу – не сме да има логин форму ван https-а а тај исти https би требало правилно инсталирати и приморати посетиоца да га користи а и да има бар оцену Бе на SSL Labs тесту ако ништа. Ако ви не умете то да поставите како ваља, цимните фирме или појединце који се тиме баве, рецимо MyCity Hosting или Нинет (поменуо сам их јер сам сарађивао са њима, наравно да нису платили рекламу овде а немам искуства са хостинг фирмама из ХРВ/БИХ) да се позабаве правилном инсталацијом SSL/TLS сертификата и подешавања сервера само имајте на уму и да ће свака хостинг фирма коју исцимате за ово одмах тражити да преселите сајт код њих, јер то им је пословање. Покривеност https-ом на вашем сајту мора бити на вашој страни, ту хостинг провајдери не смеју или бар не би требали да залазе јер садржај је ваш. Не би требало да користи хотлинкинг фотки са туђих сајтова (мајка му стара, има ваљда простора на хостинг серверу за пар фотки од по 100KB и стотинак гигабајта протока) и да је ово 2017-та а не 1995-година, сад постоје и мобилни и таблети са којих је могуће ићи на нет па би било ОК оптимизовати сајт и за приказе на тим дисплејима.

Узгред, ако сте и ви на својим сајтовима радили хотлинкинг са Photobucket-а – то већ од скора није бесплатно – и излазиће вам овакве фотке као у првој фотки горе. За хостинг фотки са Photobucket-а на вашим сајтовима мора да се искешира 400$ годишње, више нема ништа „free“, то што је било – пресекли су.

НАПОМЕНА: Овај текст није ни плаћен ни спонзорисан ни од кога нити је осмишљен као увреда или подсмевање било коме. Ово је напомена људима који раде на одржавању битних сајтова да дигну безбедност сајта на виши ниво, али ако је могуће и да пораде на имиџу фирме или организације на интернету, поготово ако сама организација има јаку репутацију као што је то Менса. Овај текст је био актуелан дана 21/07/2017, надам се да ће све ово бити измењено на боље ускоро. И да, надам се да ме због овог текста нећете олупати кад дођем на тестирање, било је добронамерно.