Перейти к публикации

Рекомендованные сообщения

Толь пора отдохнуть, толи глюки

но, публикую новость,

в ней код ява

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a href="java script:settaggio('/bretan/10107_s.jpg');"><img src="/stone/bretan/10107_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a href="java script:settaggio('/bretan/10510_s.jpg');"><img src="/stone/bretan/10510_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><p>10107 - розовая</p></div>

после публикации вижу такой код

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a><img src="/stone/bretan/10107_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><div class="image3"><div class="eins"><div class="zwei"><div class="drei"><div class="vier"><div class="funf"><div class="sechs"><a></stone/bretan/10510_s.jpg" alt="alt" border="0" /></a></div></div></div></div></div></div></div></div>

<div align="center"><p>10107 - розовая</p></div>

что-то не пойму, это что, движок вырезает? или поря в пивняк?

(абонент fisherman на дле-инфо - это чтобы не банили сразу)

Ссылка на сообщение
Поделиться на других сайтах

Если бы ты, прежде чем создать тему, воспользовался поиском, то ты бы понял, что скрипты в новостях не работают...

Ссылка на сообщение
Поделиться на других сайтах

Коняга,

можно... править прямо через ПХПМАЙАДМИН...

только учти, если после этого ты откроешь отредакрированную новость для внесения каких-либо изменений (через быстрое/полное редактирование), то скрипт будет опять вырезан....

Ссылка на сообщение
Поделиться на других сайтах

WMDrakon,

на моём сайте, который я сейчас перевожу на движок (вернее даже два сайта), использовались разные скрипты...

Одним из важных скриптов был скрипт расширенной навигации по подразделам...

Из-за того, что движок не поддерживает скрипты в новостях мне пришлось довольно долгое время помучаться, разрабатывая новую структуру сайта...

+ пришлось отказаться от некоторых вещей...

Ссылка на сообщение
Поделиться на других сайтах

Народ ! Надо точно писать петицию Celsoft.

Ну панятна , что выстрел в голову любому посту из PhpMyAdmin решает все наболевште проблеммы. .

С одной стороны.

Но .

Что мешает нашему уважаемому Мастеру в своих парсерах предусмотреть тривиальную проверку , что за юзер чего постит ?????

Ежели - администратор - то тот кусок парсера , отвечающего за анализ и замену символов хмуро идёт мима кода. Если не адин - то пусть проверяет , меняет и прочее. Причём, действительно . Не взирая , куда пишем . Статика , коменты, просто посты .. Если админ , то нефиг скрипту принимать какието решения - какой символ кашерный, какой - нет.

Давайте , чтоли , высказываться - по типу .

Я за подобный подход

или

Против

Ежели мастеру не сруки, то мож кто нить из маститых знатоков сих хак опубликует ? И будет ему вечный респеГт и уважение.

Ссылка на сообщение
Поделиться на других сайтах

dataman,

Уважаемому целсофту уже писались сии пожелания для новых версий... и от меня в том числе...

Ежели он посчитает нужным - то реализует это... ежели нет...

Полагаю, что всякие петиции не помогут...

Ссылка на сообщение
Поделиться на других сайтах

kosen, Ну тагда нам самим нужно как то с сиим хаком подразобраться .. В принципе, согласиь , ничё крамольного я ж не писал . Мож, эта , зделаем ? Для вящей славы DLE ?

Но, поскольку мы тут все законопослушные обладатели лицензии, считаю не лишним спросить всёже мнение Celsoft. Можно ли нам , в рамхах данного топика обменяться сделанными "улучшениями" относительно поднятой задачи.

Изменено пользователем dataman
Ссылка на сообщение
Поделиться на других сайтах

dataman,

Целсофт, полагаю, не будет отчитываться перед нами о том, что он будет или не будет вносить в следующую версию движка... это - коммерческая тайна...

Лично я надеюсь, что хотя бы некоторые из моих предложений, в том числе и эта, будут воплощены в жизнь...

Ссылка на сообщение
Поделиться на других сайтах

kosen,

Предполагалось получить не отчёт о т Celsoft, что от там делает, а ответ типа - "Да . попытайтесь, но я к этому никоим боком неотношусь. Погубите движок свой - ваши проблеммы, ко мне не обращайтесбь" , либо "Не сметь трогать , не ваше дело, читайте лицензию. "

Тогда можно былобы как то смело делиться уже и наработками по сабжу. А так - боязно .

А по поводу что внесётся в доработки а что нет - эта фича точно никогда в скрипт не вживица.

Ссылка на сообщение
Поделиться на других сайтах

Предполагалось получить не отчёт о т Celsoft, что от там делает, а ответ типа - "Да . попытайтесь, но я к этому никоим боком неотношусь. Погубите движок свой - ваши проблеммы, ко мне не обращайтесбь" , либо "Не сметь трогать , не ваше дело, читайте лицензию. "

Тогда можно былобы как то смело делиться уже и наработками по сабжу. А так - боязно .

А по поводу что внесётся в доработки а что нет - эта фича точно никогда в скрипт не вживица.

Если Celsoft внесет такие изменения то многие пользователи будут винить именно его из-за какой-небудь дырки по их вене, тем самым упадёт рейтинг движка.

А вам лучше просто самому убрать фильтрацию в тех метах где нужно и не доставать Celsoft-а и других.

Ссылка на сообщение
Поделиться на других сайтах

kaliostro_den,

Вот тут ты не совсем прав...

Если эту функцию, как предлагалось целсофту, сделать включаемой/отключаемой в админке, да ещё и дать права на публикацию определённой группе, то все дальнейшие проблемы ложатся на плечи админа и никоем образом не скажутся на рейтенге движка...

Ссылка на сообщение
Поделиться на других сайтах

kosen,

Ну так будем править код или дальше дискутироватьна тему - Чем отличается харашо в нашем представлении от мнения (нибуду говорить чиего..) :)

kaliostro_den,

А ещё очень сина на рейтинг движка может повлиять отсутствие запреда на пароль типа "1" пользователя "1" находящегося в группе Администраторы ... Не находите ? :D (Шутка.)

Изменено пользователем dataman
Ссылка на сообщение
Поделиться на других сайтах

dataman,

Ну не всеж админы такие умные и не все знаю что пихают в новости, вот у них потом вылезет что-небудь и куда они побегут, вот именно суда жаловаться.

сделать включаемой/отключаемой в админке

Это уже лучше чем вообще отключить.

Ссылка на сообщение
Поделиться на других сайтах

kaliostro_den,

админы такие умные и не все знаю что пихают в новости

А позвольте Вас спросить , что это за админ, который (читаем выше).

они побегут, вот именно суда жаловаться.

ИМХО - отсутствие мозга не заменит даже почётное членство на уважаемом мною форуме.

Отключать фичу, откуда отключать, включать автоматом при следуюшем разлогивании - это детели . Каждый как хочет так и применит потом . Рецепты , я думаю дадим ... Пока же у нас нету главного - механизма обхода парсера.

Кароче . Ты с нами или как ?

Изменено пользователем dataman
Ссылка на сообщение
Поделиться на других сайтах

На самом деле решение очень даже простое. Замена двух строчек в двух файлах. Реализация в дистрибутиве не планируется, т.к. плохо для посетителей сайта. Представьте что некто получил доступ к сайту с правами админа, то что человек просрал доступ это его проблемы, будет восстанавливать сайт, базу данных и т.д. это вопрос десятый

Но скрипт защищает простых посетителей сайта, от атак на них, непозволяя даже админу провести XSS нападение на сайт, путем публикации новости с зловредным кодом. Ведь сайт смотрят обычные посетители, которые невиноваты безграмотности администратора или уязвимости скрипта.

Кому нужен хак для грамотного отключения парсера, то создавайте тему в платной поддержке.

Ссылка на сообщение
Поделиться на других сайтах

Представьте что некто получил доступ к сайту с правами админа

Мастер ..

Человек, получивший ... (далее - по тексту цитаты)

сделает следующее. (при наличии злых намерений )

1. На главной странице сайта разместит шрифтом эдак 36 надпись -

АДМИН - ЛОХ

Сайт пахакал кулхацкер Беня ЗапридиГора.

Свабоду всем кракодилам в амстирдаме.

2. Сменит пароль администратора сайта.

3. Поубивает все учётные записи, до которых дотянется. Да и посты тоже .

Хотя не уверен. 1 и 2 могут быть поменены местами.

При отсутствии злых намерений - будет сидеть как мышка . Чтоб не вызвать подозрения.

Такому админу, который теряет свой пароль - хорошая наука Да и только. А остальных, понимающих проблематику лишать свободы творчества - ну , незнаю.

Хотя, безусловно, решение что должно быть в скрипте и как оно должно работать - исключительно Ваша прерогатива.

Строчки часом , не эти ?

 if (!$this->allow_php) {


		$source = str_replace("<?", "&lt;?", $source );

		$source = str_replace("?>", "?&gt;", $source );


	}

Лирическое отступление

1179148113_site.png

Хотя и не Не на DLE и админы не ламеры, ... но вот ..

Глянем в живуюсюда ...

И гдето я такие банерочки видал .... :rolleyes:

Изменено пользователем dataman
Ссылка на сообщение
Поделиться на других сайтах

dataman,

то что описано вами сделает малолетний придурок, который и ломать не умеет, а просто будет готовый експлоит, опубликованный в открытых источниках, таким людям не суждено сломать DLE, по крайней мере в том виде в котором он сейчас.

Грамотные люди сделают тихий XSS на какой нибудь третьей странице новостей, в виде неотоброжаемой картинки и будут получать одинарные хеши паролей пользователей, которые расшифровать проще чем двойные хеши и с учетом что большинство используют везде одинаковые пароли получат больше пользы от взлома. Лично я сделал бы именно так.

Ссылка на сообщение
Поделиться на других сайтах

Вот вам и ответ от руководства!

Могу лишь добавить, что горе-админов в сети более чем половина...

Вы хотя бы посмотрите на созданные темы на этом форуме - и это будущие руководители проектов...

Что до меня - то я пересмотрел свое отношение к скриптам в новостях... безопасность важнее...

Хотя пришлось очень многое переделывать, и от многого отказываться... искать другие пути реализации...

Ссылка на сообщение
Поделиться на других сайтах

А позвольте Вас спросить , что это за админ, который (читаем выше).

Поверь мне таких много.

Замена двух строчек в двух файлах

Можно просто подредактировать класс.

будут получать одинарные хеши паролей пользователей, которые расшифровать проще чем двойные хеши

А что мешает ложить в куки 2-ые хеши? А еще лучше и с использованием сальта.

Ссылка на сообщение
Поделиться на других сайтах

kaliostro_den,

Чёта прямое закоментироване строчек нипривело к желаемому результату. Можа ещё где чего подправить надо ? (ошиппки ДНК во внимание неберём)

А позвольте Вас спросить , что это за админ, который (читаем выше).

Так по моему мнению это не админ . Это АДинокий МИНоискатель

Изменено пользователем dataman
Ссылка на сообщение
Поделиться на других сайтах

Так по моему мнению это не админ . Это АДинокий МИНоискатель

У людей есть деньги они покупабт а пользоваться тогком не умеют, ну или не покупают.

Если хочешь избавить от парсинга то снеси строки в файлах addnews.php строки примерно такого вида

$full_story = $parse->process($_POST['full_story']);  

$short_story = $parse->process($_POST['short_story']);  

$title = $parse->process($_POST['title']);

Если хочешь снести что-то определённое правь parse.class.php

Изменено пользователем kaliostro_den
Ссылка на сообщение
Поделиться на других сайтах

Можно просто подредактировать класс.

если исправить класс то любой сможет отправить на сайт несанкционированный код, класс трогать нельзя это точно, есть более красивые решения, при том что скрипт всегда знает группу пользователя.

Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.
×
×
  • Создать...