Volunia for geeks

No, you’re not drunk. This is my first english post: i planned to start writing in english a while ago but have never done that, as my audience is mainly italian. But i’ve decided to try and see what happens.

I’ve already written about Volunia, before and after trying it out. I plan to go deeper in details in the next few days, but now I want to show you some “geeky” things i’ve noticed in this search engine. I’m a sys/net admin, you know, so i couldn’t avoid opening WireShark to check what Volunia was doing and sending trough my computer (yes, this is the first time i’m really concerned about my privacy).

The first point: altough all POST data (profile and so on) is sent trough HTTPS to secure.volunia.com, the chat system (both public and private) is using Jabber trough HTTP (chat.volunia.com).

Searches too are using GET trough HTTP. This could be a concern, so I hope a full-HTTPS version will be released in the next months (they’re years that Google is available over HTTPS).

Second point: do you see something strange in the following screenshots (click on it to see a larger version)?

Have you noticed that “wp-content”? It’s the default WordPress directory to store themes and uploads! That’s… strange. Looks like it’s only used for their news page (http://en.volunia.com/news/), but i’m not sure: why leave the WP login page open to the world? It’s just matter of some .htaccess lines.

Hope WordPress is up-to-date, at least.

I decided to check active connections using “netstat” and this way I noticed that… The Volunia team doesn’t know what PTR records are. All their IP are still using the default Tiscali reverse records. Not a real concern, right, but a proper reverse dns records use makes netadmin’s work of monitoring their networks simplier. You can check what your users are connected to with a click, configure your firewalls to always accept outgoing traffic for hosts whose PTR ends in *volunia.com, and so on.

Anyway, this forced me to further study DNS records. I discovered that, while the main Volunia website (www.volunia.com) is behind Level3’s CDN, other services aren’t.

Both chat.volunia.com and secure.volunia.com are located in Italy. Is this only for testing purposes or is the system set to be used by the public this way?

Latency could be another concern, as I said in my first post: Italy is not the best place to put servers that need to be reachable all over the world. But, let’s look at NS records:

Do you see that? Those are default NameCheap (or Enom)’s DNS servers. Why not use an in-house solution or a more professional service, like dyn.com or Route 53? Everything but not lowcost services, please: Route53 is only $6 per year!

Some other random notes:

Received: from [127.0.1.1] (pitps004.volunia.net [172.27.38.204])
	by pitsrv03.volunia.net (8.13.8/8.13.8) with ESMTP id q19F4dJj031611
	for <GiorgioBonfiglio>; Thu, 9 Feb 2012 16:04:39 +0100

Ouch. I tought they were planning to grow and become a little bigger than 172.16.0.0/20 :(

I’m also wondering how many Power Users have been given access to Volunia as of today. Marchiori spoke about 100.000 PU, but, Volunia’s statistics tell a different story. How many users are using Volunia if only 200 are in the homepage?

Finally, I STRONGLY hope this “.NET” is just a “fake” header to prevent sites from blocking their bot and that Volunia is not Windows-based. Windows is killing big websites.

94.32.111.29 - - [09/Feb/2012:11:59:02 +0100] "GET /volunia.txt HTTP/1.0" 200 33 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR 3.5.30729)"

I’ve reported to Volunia’s team everything the WordPress thing and asked to properly set PTR records.

Giorgio

reCAPTCHA & WP Update

Ormai da anni il mio blog è protetto, per quanto riguarda i commenti, da Akismet.

Ultimamente ho però notato una nuova forma di spamming, decine utenti registrati da bot in automatico. Probabilmente nella speranza che l’antispam non fosse attivo sui commenti dei registrati. Ovviamente è attivo anche su questi ultimi, ma trovavo comunque molto fastidioso il dover cancellare 10/20 utenti a settimana.

Per questo, ho attivato reCAPTCHA su tutte le registrazioni. Per ora non serve anche sui commenti.

Per finire, update di tutti i plugin e del core.

Giorgio

Giorgio’s (Cloud) Blog

CloudFobia. Credo di esserne malato: perdo continuamente fiducia in tutte quelle strutture che non soddisfino certi requisiti, primi fra tutti ridondanza e scalabilità.

Fino a inizio 2010, grg-web.eu è stato completamente ospitato su un singolo server, DNS compresi. Era lì anche la mia casella email principale, quella con cui lavoro, quella che non può andare MAI down. C’è da dire che il servizio di hosting, da sempre offerto da Eticoweb, ha funzionato egregiamente per 4 anni. I down di fatto si contano sulle dita di una mano: la maggior parte di questi non erano neanche imputabili al fornitore del servizio stesso bensì alla webfarm che ospita i server di Eticoweb (Seeweb).

Considerato però il rischio, ho deciso mesi fa di trasferire il servizio EMail su Directi, noto provider americano. Dietro alle email dovevano andare per forza gli NS autoritativi del dominio (è chiaramente insensato utilizzare una struttura email ridondanta se poi il sistema DNS, da cui dipende quello EMail, è ospitato su un singolo nodo), e così è stato. Le uniche cose rimaste sul vecchio server erano il blog ed il suo database.

Da quel momento ho iniziato a valutare lo spostamento del mio blog su WordPress.com o Blogger: oltre ad una struttura di livello chiaramente più alto ci guadagnerei anche diversi servizi come antispam, maggiore possibilità di interazione sociale e, soprattutto, aggiornamenti automatici della piattaforma (che non sono di per sè complicati, sono solo lunghi e stancanti, a causa dei backup da fare e verificare ogni volta).

Ho scartato Blogger perchè WordPress mi piace veramente tanto, è comodo semplice e l’area di amministrazione ha un design pulito. Blogger mi da poi una forte idea di staticità, l’ho usato per la prima volta nel 2005/2006 (forse non era ancora stato acquisito da Google al tempo) e l’interfaccia non è cambiata, mentre WordPress.com è in continuo sviluppo (e continua crescita). Oggi ho testato per la prima volta lo spostamento di tutti gli articoli e dei contenuti tramite l’apposito tool, ed è andato tutto liscio al primo tentativo.

Ho cercato servizi, magari anche italiani, dedicati all’hosting di blog, ma ho trovato ben poco: uno di questi è TopBlog di Tophost, basato su WordPress MU. Il servizo offerto da TopHost mi era però piaciuto ben poco (e la sitazione da quel momento non sembra cambiata). C’è poi Aruba Blog, ma non lo ritengo abbastanza ricco di funzionalità e la piattaforma fatta in casa di fatto mi vincolerebbe all’utilizzo di quel servizio in eterno a meno di non decidere di trasferire tutti i post a mano, nel caso. L’ultimo, ma non per importanza (anzi, è il più interessante) è Altervista Blog: basato su WordPress sembra più una installazione autonoma con tool di gestione sviluppati da loro che una installazione Multi User. Sembra ricco di temi e di funzionalità, con tool per semplificare update e backup. L’unico motivo che mi impedisce di spostare tutto su questa piattaforma è la natura gratuita del servizio.

Sto anche guardando con interesse a servizi come Tumblr, Posterous o LiveJournal, ma difficilmente rinuncerò alla totale possibilità di movimento offerta da WordPress.

In conclusione, mi prendo ancora qualche giorno (o, dipendentemente dagli impegni, settimana) per valutare il tutto ma ormai do quasi per certo lo spsotamento su WordPress.com.

Giorgio

Recensione – TOPHOST TopBlog

E’ da un pò che non mi sentite, e ho deciso di riapparire con una recensione. Giorni fa ho trovato su twitter (io sono @g_bonfiglio) un codice coupon TopHost per attivare un pacchetto ad 1 € per il primo anno. Ero curioso, ed essendo in vacanza ho deciso di provare un TopBlog. Il servizio si presenta come una piattaforma di blogging completa basata su WordPress, corredata di un dominio e di 1 GB di spazio per gli allegati ed una casella email di 200 MB di spazio con infiniti alias attivabili, al prezzo normale di 9.59 € + IVA annuali.

Ho ordinato il pacchetto con un dominio .net, nelle prime ore del pomeriggio ed è stato attivato la mattina dopo. L’attivazione non è istantanea (non azzarderei, forse non è automatica) ma è veloce. Ho impressione che giri un qualche tipo di cron per completare le attivazioni, quindi con forte probabilità sarebbe stato attivato alle 7 di mattina anche se lo aveste ordinato due ore prima.

TopBlog è corredato da due pannelli di controllo: uno, quello classico di TopHost (ridotto) tramite il quale posso gestire l’account e gli alias email ed accedere alla webmail Horde e alle statistiche del server, ed il pannello di WordPress MU tramite cui si lavora sul blog vero e proprio.

Come ho più e piùvolte ripetuto, trovo il servizio email di TopHost ottimo: i filtri antispam funzionano egregiamente, è disponibile accesso sia POP3 sia IMAP4, ed è offerto anche il servizio SMTP (autenticato ovviamente). I tempi di accesso e le prestazioni del servizio in generale sono ottimi.

Per quanto riguarda il blog, non sono altrettanto soddisfatto. La prima cosa che mi ha colpito è stato lo sfondo blu dell’area di amministrazione e il suo vecchio design: chi conosce WP saprà certamente che la grafica è stata rinnovata da più di 2 anni. Ne deduco quindi che la versione di WordPress usata sia qualcosa come la 2.3/2.5, entrambe datate a metà 2008. Da una azienda che parla spesso di CMS abbandonati (nel post promettono la sospensione dei siti con cms non aggiornati… spero solo non si auto-sospendano) e chiede ai clienti frequenti aggiornamenti degli script usati, mi sarei aspettato se non una latest almeno una versione recente.

Non parliamo infatti di un CMS vecchio di qualche settimana o mese, ma di qualche anno: i rischi per la sicurezza derivanti da CMS non aggiornati come loro stessi ricordano sono alti, e non solo, gli utenti potrebbero apprezzare le nuove features e la notevole semplicità delle nuove versioni di WordPress. Ho subito aperto un ticket chiedendo la data dell’aggiornamento, credendo fosse una procedura ovvia e pianificata: mi è stato risposto che al momento non ci sono piani per l’aggiornamento della piattaforma.

Ho poi fatto un giro tra i plugin disponibili, che sono datati ed in numero veramente limitato. La stessa cosa dicasi per i temi: non sono molti (una ventina), e sono decisamente scarni, semplici e molto simili. La scelta dunque non è molta.

Mi sono poi imbattuto in un bug: un plugin chiede l’aggiornamento e mi offre il link per effettuarlo, ma non ho i permessi per completare l’operazione.

Per quanto mi riguarda il servizio allo stato in cui è ora, è inutilizzabile: non trovo un tema fresco e decente, mi mancano alcuni plugin utili e non affiderei mai il mio blog ad una piattaforma così vecchia e a rischio (googlando si trovano diversi report di vulnerabilità XSS di WordPress MU, sempre prontamente corretti… per chi ha aggiornato).

Sono rimasto seriamente deluso dal servizio, e come risultato, dopo neanche 10 giorni di TopBlog (di cui 8 passati lontano dal pc) ho chiesto il passaggio a TopWeb che ho potuto completare rinnovando il pacchetto in anticipo, con l’idea di installare il CMS per conto mio. Per chi continuasse a preferire una piattaforma hosted per la sua semplicità, consiglio wordpress.com o blogger.com, a cui manca solo il dominio di secondo livello, che è acquistabile a circa 15 $.

A questo  punto sarei curioso di recensire le alternative (tra cui anche Aruba Blog e i servizi classici come Tiscali Blog o Libero Blog), potrebbe interessare come serie di articoli? Fatemelo sapere, grazie.

Buone Vacanze

Giorgio

Anche i più grandi…

…volano giù.

WordPress.com e i 10 milioni di blog che ospita in 3 datacenter su un migliaio di servers HP, down per 110 minuti il 19 Febbraio 2010. Il peggiore down di sempre per il secondo servizio di blogging mondiale (online dal 21 Novembre 2005).

La descrizione delle cause dell’accaduto non è proprio precisa e completa, ma il down è stato dovuto, stando al post pubblicato sul blog ufficiale del servizio, pubblicato qualche ora dopo l’accaduto, ad un problema di configurazione “hardware”: un cavo collegato nel posto sbagliato, che ha causato il routing del traffico di rete interno su un link che non poteva -sempre secondo la fonte- reggere nemmeno il 10 % del flusso dati.

Questa configurazione, non si spiega come, ha retto per diversi mesi, finchè la saturazione di questo link ha portato offline uno dei 3 datacenters. I sistemi di failover, non preparati a far fronte ad un problema di questo tipo, non hanno funzionato correttamente e hanno bloccato l’erogazione del traffico anche dagli altri due DC.

Certamente, fa riflettere. Io stesso ho considerato lo spostamento del mio blog su Blogspot o WordPress.com, a causa delle maggiori garanzie che danno rispetto ad un servizio di hosting.

A dire il vero, da diversi mesi mi faccio paranoie, definite da una amica “paranoie da scalasistemistanonrelazionale*”, sulla ridondanza e scalabilità dei sistemi, e stavo considerando lo spostamento di blog e tutto quello che ci sta dietro su una struttura SERIA. Questo vuol dire, dominio da Directi o Google. Email su Google Apps Premium. Blog su Blogspot. E qualunque tipo di applicazione su GAE. Per i documenti uso ormai da tempo Google Docs.

Questo down, non si direbbe, è per me una forte spinta in quella direzione.

Giorgio

* Non si è ancora capito se il nonrelazionale fosse dovuto al tipo di DBM’s su cui lavoro o proprio alle mie relazioni interpersonali O_O.