Bezpieczenstwo elementów wortalu php.pl Opcje

[wlamywacz]

Witam! (IMG:style_emoticons/default/winksmiley.jpg)

O godzinie 20:00 proszę adminów o obserwację planety, w delikatny sposób pokaże jej brak zabezpieczeń.

Pozdrawiam

Ten post edytował wlamywacz 30.11.2010, 19:06:51

[Wykrywacz]

Ciekawe czy zarząd na 20:01 zamówił ci wizytę smerfów do domu (IMG:style_emoticons/default/biggrin.gif) :D:D

[wlamywacz]

`mały` brak zabezpieczeń, może ktoś do tego czasu zareaguje i poprawi to ;P

[pyro]

A ja wątpię, że pokażesz jakikolwiek brak zabezpieczeń. Mało tego, nawet wiem dokładnie o czym mówisz (IMG:style_emoticons/default/smile.gif)

Ten post edytował pyro 30.11.2010, 19:49:02

[wlamywacz]

No i jest (IMG:style_emoticons/default/tongue.gif)

[pyro]

Co "jest"? Ja tam tylko jakiś wpis widzę o bezpieczeństwie, jeśli chodzi o zmiany propo ostatnich 5 minut. A co on ma do bezpieczeństwa planety? Czy przypadkiem nie została wykonana akcja normalna dla niej? Dodano wpis i się pojawił na stronie (IMG:style_emoticons/default/tongue.gif)

Ten post edytował pyro 30.11.2010, 20:06:23

[melkorm]

@pyro, logo.

P.S. Włączcie JS (IMG:style_emoticons/default/tongue.gif)

Ten post edytował melkorm 30.11.2010, 20:07:07

[pyro]

Aha... ja miałem wyłączone JS. Teraz widzę (IMG:style_emoticons/default/winksmiley.jpg)

// edit

Swoją drogą dosyć żmudne/tandetne zaniedbanie ze strony twórców planety. Może po alkoholu (IMG:style_emoticons/default/smile.gif)

Ten post edytował pyro 30.11.2010, 20:11:16

[wlamywacz]

Może by tak filtrowanie tagów ? (IMG:style_emoticons/default/tongue.gif)

[Daiquiri]

Bywa (IMG:style_emoticons/default/smile.gif) .

[hwao]

Ten kod jest tak stary że pamięta czasy PHP4 albo i 3 (IMG:style_emoticons/default/smile.gif)
Pierwotnie dodawane były tam blogi tylko osób z dev.php.pl i irc.php.pl stąd taka tolerancja.

Ale faktycznie problem jest, dziękuje za zwrócenie uwagi, nakładka dość restrykcyjna już jest.


@wlamywacz: Fajnie że pokazujesz że są takie 'rzeczy', tylko na początku mogłeś to zrobić w jakiś bardziej dyskretny sposób, by było milej - tak czy siak dziękujemy.

[wlamywacz]

Nadal źle, czemu usuwacie tagi linków itd ? Zróbcie wyjątki w striptags itd...

[hwao]

Nadal źle, czemu usuwacie tagi linków itd ? Zróbcie wyjątki w striptags itd...

script_tags nie wystarczy, script nam usunie ale nie:

[HTML] pobierz, plaintext 
<p onload="alert(1)">Ble</p>
[HTML] pobierz, plaintext 

Teraz ustawione są filtry na każde pole włącznie z loginem, ograniczona ilość tagów html i tylko parę atrybutów można ustawić, reszta obcinana.

[wookieb]

@wlamywacz: Fajnie że pokazujesz że są takie 'rzeczy', tylko na początku mogłeś to zrobić w jakiś bardziej dyskretny sposób, by było milej - tak czy siak dziękujemy.

To się nazywa "rozdmuchiwanie ego"

[pyro]

Ten kod jest tak stary że pamięta czasy PHP4 albo i 3 (IMG:style_emoticons/default/smile.gif)
Pierwotnie dodawane były tam blogi tylko osób z dev.php.pl i irc.php.pl stąd taka tolerancja.

A kod trzeba aktualizować. Nie wiedziałeś o tym?

// ADD

Ale faktycznie problem jest, dziękuje za zwrócenie uwagi, nakładka dość restrykcyjna już jest.

A ile to jest zrobienie prawdłowej nakładki do tego? Minuta? Dwie?

// ADD

Zwłaszcza, że teraz zepsuliście tagi do wiadomości. Wszędzie się pojawia "sTag"

[hwao]

A kod trzeba aktualizować. Nie wiedziałeś o tym?

Developer który wymyślił te usługę i ją prowadził już od lat nie piszę w PHP. (IMG:style_emoticons/default/smile.gif) Ale jeżeli chciałbyś zaopiekować się to usługa to daj znać, tylko najłatwiej będzie ją przepisać od nowa.

A ile to jest zrobienie prawdłowej nakładki do tego? Minuta? Dwie?

Sama poprawka to 2 minuty, ale znalezienie gdzie ją wstawić to już inna bajka, no chyba ze ob_start() simplexml i poprawić już samo wyjście. ;-)
Koniec końców nawet szybko została poprawiona (IMG:style_emoticons/default/smile.gif)

Zwłaszcza, że teraz zepsuliście tagi do wiadomości. Wszędzie się pojawia "sTag"

Dzięki, przeoczyłem - poprawione

[wlamywacz]

Chętnie się tą usługą zaopiekuje po godzinach. (IMG:style_emoticons/default/winksmiley.jpg)

[pyro]

Developer który wymyślił te usługę i ją prowadził już od lat nie piszę w PHP. (IMG:style_emoticons/default/smile.gif)

W banku, czy sklepie internetowym od tak się nie porzuca ich stron. Co prawda wortal nie należy do żadnych z dwóch wyżej wymenionych, ale chyba należało komuś przypisać tę część portalu. Zwłaszcza, że za wiele to tam do robienia nie ma (IMG:style_emoticons/default/winksmiley.jpg)

Ale jeżeli chciałbyś zaopiekować się to usługa to daj znać, tylko najłatwiej będzie ją przepisać od nowa.

Zaopiekować i przepisać to dwie różne rzeczy (IMG:style_emoticons/default/winksmiley.jpg)

Sama poprawka to 2 minuty, ale znalezienie gdzie ją wstawić to już inna bajka

Ta informacja mówi tylko, że należało znaleźć kogoś innego do napisania tego niż ten, kto to zrobił. Lub poprosić o czytelniejszy, obkomentowany kod.

Dzięki, przeoczyłem - poprawione

Nie ma sprawy (IMG:style_emoticons/default/winksmiley.jpg)

Ten post edytował pyro 30.11.2010, 23:14:08

[Pawel_W]

powie ktoś, co dokładniej się działo? bo fajerwerki mnie ominęły (IMG:style_emoticons/default/wstydnis.gif)

[wlamywacz]

Zaopiekować czyli wziąć się do roboty, nie widzę problemu przepisać (IMG:style_emoticons/default/smile.gif)