SKYNET74
-
Публикации
651 -
Зарегистрирован
-
Посещение
-
Дней в лидерах
50
Сообщения, опубликованные пользователем SKYNET74
-
-
2 часа назад, celsoft сказал:
Конечно все. И не просто все, а только от этого сайта, т.к. на одном сервере может быть много сайтов.
2 часа назад, celsoft сказал:Вы считаете себя единственным, кто может придумывать какие либо алгоритмы работы? Вы заблуждаетесь. Решение делается очень легко, масштабируется также легко. Все что нужно? так это умение работать с массивами. Никаких каких то сложных алгоритмов и нагромождений вообще не требует. Если конечно работать с массивами для вас это сложный алгоритм, то тогда да, это мы применили сложный алгоритм для работы кеша.
т.е. как минимум у каждого кеша два тега? (сайт+тип кеша) А то и больше.
Я то умею работать с массивами, если бы там было всё так просто, то уже все бы использовали memcached под любые задачи, однако там далеко не в массивах спасение... Посмотрим собственно говоря как сделали, но чувствуются мне там "подводные камни" будут ещё какие...
И естественно раз говорю про тегирование, то я в курсе как оно делается
4 часа назад, celsoft сказал:Вот это сейчас очень смешно прозвучало. cURL это не какой то протокол для обмена данными, это обертка для HTTP протокола для ленивых, чтобы не писать каждый раз десятки строк кода, при формировании HTTP запроса. Выполнить HTTP запрос может и браузер а сформировать его может простейший JS скрипт, в котором будет все и любой реферал, и вообще абсолютно любые заголовки HTTP. И браузер пошлет все ваши куки уже сам, потому как был сгенерирован уже HTTP запрос и к нему он пошлет все остальное. Все что начинается с HTTP_ в глобальной переменной $_SERVER является данными полученными от HTTP протокола, которые сформированы вручную клиентом из вне. И ни в коем случае нельзя им доверять, потому как они априори заполнены злоумышленником. Именно по этому любая XSS на сайте куда можно завести администратора, является ошибкой с самым высоким уровнем опасности, и именно поэтому мы в течении получаса выпускаем патчи, как только нам становится об этом известно. Чего к сожалению редко делают другие разработчики, наивно полагая что если куки по http only и JS они недоступны, то ими и воспользоваться нельзя, а это большое заблуждение. И считают XSS уязвимости несерьезной проблемой, и исправления выпускают потом планово. И именно поэтому когда слезно просят брать тот же IP из HTTP_ префиксов из за криво настроенного прокси у хостинга, мы категорически в этом отказываем, и требуем чтобы настройки сервера исправлял хостинг. Потому как любое "тихое" изменение настроек хостинга, и в эти данные полетят вручную заполненные данные. Две последние уязвимости DLE https://dle-news.ru/bags/ это атаки с использованием именно социальной инженерии на админов. Без админа и его обмана, они не стоят и выведенного яйца, хотя в DLE уже 100 лет как куки недоступны из JS, атаки направлены на то чтобы заставить админа самого сделать все необходимое на сайте. Никакие проверки реферала и отправка рандомных данных из форм не помогли бы в данный случаях, т.к. все это легко получить и подделать. Поэтому и были разработаны новые превентивные меры защиты от таких действий. И новые превентивные меры защиты направлены на то, чтобы администратора не возможно было завести куда не следует. Ни уговорами, ни обманом. Превентивные меры защищают от неизвестных угроз, а не конкретные угрозы.
Реферер как одна из проверок, а не как панацея имелась ввиду.
Вы так всё расписали, что теперь хочется пощупать, как оно там сделано, что "дешево" и сердито... -
6 минут назад, celsoft сказал:
Да на основании префиксов, как у файлового кеширования. Что сложного в тегировании? Пять строк кода.
И как вы будете выборочно очищать записи в memcache по этому префиксу? Нужно же их всех очистить, а не только последние 100 записей с префиксом "news_".
Я этот вопрос прорабатывал от и до, и нашёл только два варианта, это тегирование, и второй мой собственный более с более продвинутым функционалом.
11 минуту назад, celsoft сказал:А как вы сейчас это видите? Вы когда нибудь пробовали цитировать комментарии содержащие тег hide? Попробуйте. Его контент не идет в цитату. А от копипаста со страницы напрямую вам уже ни один скрипт и ни одна проверка не поможет.
Дело не в тупости пользователей копипастящих текст, а дело в том что даже если там умный пользователь, он не видит кому доступен этот текст, а кому нет.
Можно сделать по аналогии с цитатой (Данный текст доступен только группам: {groups}), и обильно сдобрить все элементы классами, тогда кому не нужно смогут скрыть этот текст, либо вообще в языковом пакете затереть строчку эту и всё. Но врятли от такой функциональности будут отказываться, ведь это удобно.1 час назад, celsoft сказал:Реферал это http данные. Его легко подделает curl в одну строку. Базироваться на нем нет никакого смысла, равно как и использовать его в проверках направленных на безопасность, значение которому нет никакого доверия. Он может задействоваться только если нужно сделать какую то функциональность без упора на безопасность.
cURL не может выдавать себя за пользователя сайта, не утянув куки или пароли однако...
2 часа назад, celsoft сказал:Можно было бы и машинное обучение сделать, но это убьет ваш сервер по производительности
Тоже нет. Иногда эффективные вещи делаются очень просто. Не всегда просто они сразу в голову приходят, поэтому и появляются не сразу а позднее по прошествии времени.
Надеюсь админов подозрительных оно банить не будет по подсети?
И захватывать контроль на сервере...
-
22 часа назад, celsoft сказал:
Нет
т.е. модуль редиректы будет по сути ничем иным как "аналог" .htaccess и никакого более продвинутого функционала иметь не будет?
т.е. никаких подобных правил мы не увидим?
/news/page/*/ -> /old_news/page/*/23 часа назад, celsoft сказал:Нет
А как тогда? Неужели был написан очень сложный алгоритм по "тегированию" тела кеша и система обработки данных тегов?
23 часа назад, celsoft сказал:Нет. BB коды и чистый HTML в данном вопросе независимы и показываются при редактировании так, как они были добавлены. И если один добавит в виде HTML то и другой будет видеть также только HTML и наоборот.
Было бы удобнее, если бы DLE сам парсил и приводил это к нужному виду исходя из данной настройки, которая находилась бы в настройках групп, ибо:
1. Обычные пользователи как правило смотрят на ББ коды как на нечто страшное и не понятное.
2. Объяснить "деревянным" пользователям как с ними работать это ещё та задачка, а что бы они там не творили всяких ошибок ещё сложнее, по этому и используется визуальный редактор.
3. Редакторам это всё не нужно, им бы всё не растягивать на огромную простыню текста, т.е. картинки в виде BB кодов, администраторам тоже самое как правило.
PS: Есть такой замечательный редактор как WysiBB (wysibb.com), дак у него сам подход к данному вопросу как правило решает все эти проблемы без их возникновения.23 часа назад, celsoft сказал:Помойму все очень подробно описано в описании. Там четко написано, если указаны параметры действуют параметры, если не указаны действуют настройки групп. Администраторы видят всегда.
т.е. настройки групп на новый BB код никак не будут действовать?
А как видеть в самом тексте кому доступен данный текст, а кому нет?
Пример: пользователь выложил с доступом для определённых групп, другой его процитировал/скопипастил чуть ниже, и не в курсе был что данный контент нужно было закрывать от таких то групп, администратор тоже только видеть видимо будет, а для того что бы понять кому видно, а кому нет, он должен лезть в редактирование новости/комментария/и т.д.?23 часа назад, celsoft сказал:Нет, это параметры для людей, а не для внутреннего кода и устройства кода. Для людей пишутся нормальные значения, а не условные.
Это бы давно уже позволило элементарно задавать больше условий для одного тега, а не просто yes и no. Тоже время кеширования конкретного блока контента выводимого через {custom}, а это в свою очередь сделает этот тег гораздо более гибким и динамичным, нежели сейчас. Либо кеш, либо не кеш.
23 часа назад, celsoft сказал:Нельзя. Я не даю инструкций как можно обманывать людей с использованием социальной инженерии. А расписывание как работают механизмы защиты в новых версиях, это по сути готовые инструкции к использованию на старых версиях. Говоря простым человеческим языком, DLE стал меньше доверять администраторам и больше анализировать, что они делают и что делали раньше, отказывать в действии если посчитает это неправильным.
Ну не настолько же умным как гугл или яндекс он стал, и явно же не машинное обучение там будет...
Рандомные дополнительные хеши в POST запросах будут или что то подобное?
Смотреть реферер откуда пришёл POST запрос, и есть ли в данном месте подобная функция? Например создание нового пользователя делается только из админ панели с соответствующей страницы, а не с /engine/go.php.
Спрашиваю, т.к. с этими "новшествами" может перестать работать очень много уже написанного кода.23 часа назад, celsoft сказал:И да и нет. Это более расширенные механизмы. Это не кеширование, а вообще не будет повторных загрузок и попыток обращения.
т.е. если где то на странице используется визуальный редактор, его скрипты и стили будут подгружены в head DLE переменной {jsfiles} и эти скрипты будут использоваться в том числе и в JQ UI окошках?
-
В 03.04.2017 в 13:56, alex32 сказал:
А DLE это модуль такой? Может, хватит бредятину гнать?
А чем он отличается от модулей? Тем что не под кубиком, а под более простой защитой?
И потом, имеет место быть такое явление, как ломанные сервера сборки софта, иногда разработчики и не знают что им что то там внедрили...
Так что получить подобное вы можете и от DLE, и ещё от многих других вещей... -
6 минут назад, alex32 сказал:
Нет, не использую. Ни один. Именно по причине того, что не знаю, что там внутри.
А в DLE кодированный файлик тоже раскодируете?)
Это же нарушение лицензионного соглашения и вроде даже как бы законов некоторых интересных таких) -
3 часа назад, Kolbaser сказал:
Интеграция есть, но я как-то ожидал чего-то другого. Т.е. если в ЛС на сайте придёт письмо, то и на форуме появится сообщение, можно выводить последние новости с обеих сторон и т.д и т.п. Просто я как-то больше надеялся на строенный в шаблон форум, но этому не бывать. На этой неделе буду покупать КсенФоро и мигрировать туда, а лицензию Лоджикбоарда продам кому-нибудь.
Сказать о нём что-то плохое я не могу - свою функцию он выполняет на ура и я видел многие решения по интеграции его с сайтом, что позволяло админам расширить его возможности. Разраб оперативно правит найденные ошибки, сам форум работает стабильно и абсолютно не грузит систему. Просто мне его возможностей стало мало и я решил перейти на новый уровень.
А чего именно не хватает?
Мусора в таблицах и файлов так же как и DLE оставляет, или после каждого апдейта весь мусор оставленный багами предыдущей версии чистится? -
2 часа назад, alex32 сказал:
Зачем шифровать то, что раздается бесплатно? А там, может в этом коде, тупо отправка полной копии сайта на чужой аккаунт ЯД? И я просто своими руками солью весь свой сайт со всеми пользователями и их данными какому-то дяде?
Ну вы же используете платные шифрованные модули, а там может быть тоже самое, и что?
Всё зависит от авторитета разработчика.
Всё просто, можно использовать на условиях разработчика, или не использовать...1 час назад, llbarmenll сказал:Отвечу один раз
- Хотите купить и использовать платно? Пожалуйста, у меня персональный аттестат и бл ~150.
- Модуль бесплатный, как раз потому что он под ioncube, что гарантирует моё авторство и ссылку на мой блог в панели управления.
- Боитесь что сольют весь сайт? Много объяснять не буду, но: 1. Платные закодированные модули от других разработчиков, не дают вам гарантию. 2. Продвинутые люди уже давно проверили, куда и как сервер пересылает архив и убедились в чистоте скрипта. Если вам не лень, вы можете сами провести все необходимые тесты модуля. 3. Есть похожий модуль, от другого разработчика, который платный и с защитой тоже ioncube .
А как файл бекапа сливается на ЯД? Особо крупные бекапы пережуёт?
Так просто, интересуюсь на будущее. -
16 часов назад, holistic сказал:
Это правда!
Вылез модулеписец беплатный, но уже жаждет шифровать.
Доверия нету..
Ну не хотите бесплатно, покупайте за платно, и тоже шифрованное...
Мало у кого сейчас есть желание писать что то для DLE, и не защищать это... -
Цитата
1. Добавлен новый модуль "Редиректы" для админпанели скрипта. В данном модуле вы можете задавать ссылки для редиректов с одних страниц на другие. Данный модуль будет особенно полезен, когда вы что-либо удалили или перенесли в другое место. Например, удалили одну категорию, и заменили ее на другую, теперь вы можете сделать редирект со старой категории на новую указав старый и новый адрес в данном модуле. При посещении старого адреса будет произведён 301 редирект на новый адрес, что позволит и пользователям попасть на нужную страницу автоматически, и поисковикам правильно склеить нужные адреса. Также данный модуль может использоваться если какие-то ссылки у вас неверно попали в индекс поисковых систем.
Никаких элементарных регулярок, хотя бы в виде *?
Цитата2. Полностью переписана система кеширования для memcache, для данного типа кеширования введено понятие префиксов данных. Поэтому теперь при использовании данного типа кеширования, при изменении информации в БД, кэш будет очищаться только у необходимых элементов, а не полностью, как было ранее. Тем самым существенно снижена нагрузка на сервер при использовании данного типа кеширования.
На основе чего это сделано? На getAllKeys?
Цитата5. В настройки скрипта добавлена возможность включения для визуальных редакторов WYSIWYG, режима использования ББ тегов для изображений. При включении данного режима картинки будут вставляться в виде текстовых ББ тегов. Данное нововведение будет полезно пользователям, которые хотят использовать визуальное редактирование для публикаций, но при этом оптимизировать занимаемое место в редакторе картинками. При отключении данной настройки, изображения будут вставляться в обычном визуальном режиме в виде картинок.
Разве не в настройки групп это нужно было добавить? Пользователям нужно показывать сразу как оно выглядит, а редакторам обычно удобнее BB кодами.
Цитата23. Для тега вывода скрытого текста ([hidе] текст [/hidе]) добавлена возможность указания, каким группам разрешён просмотр указанного в тегах текста. Вы можете указать в параметрах тега каким группам разрешено просматривать содержимое. Например, вы можете написать [hidе=3] текст [/hidе], в данном случае просмотр содержимого тега будет доступен только журналистам. Группы также допускается перечислять через запятую, например, [hidе=2,3,4] текст [/hidе]. В случае если параметр группы не указан, то действуют настройки групп, указанные в панели управления, на предмет того разрешено ли пользователю просматривать текст или нет. Администраторы сайта видят скрытый текст всегда, независимо от указанных а теге параметрах.
Как оно будет взаимодействовать с настройкой просмотра hide у конкретной группы? Что если у группы запрещён просмотр hide, и в ББ теге будет указана данная группа? Будет ли показываться каким группам доступен данный текст?
Цитата25. Для пользовательского вывода публикаций при помощи тега {custom ...} добавлена возможность использования нового параметра futureannounce="yes". Данный параметр работает совместно с параметром days="X", и указывает что публикации нужно брать из будущих дат. Например, тег {custom futureannounce="yes" days="1"} означает что необходимо вывести публикации, дата которых назначена на завтра, т.е. на +1 дней, а тег {custom futureannounce="yes" days="2"} выводит публикации дата которых назначена на завтра и послезавтра, и т.д. Данных параметр будет полезен вебмастерам, для вывода грядущих анонсов на своём сайте.
Может всё таки на условные 0 и 1 уже перейти давно пора? Тем более что внутри кода хвосты от yes и no почищены уже почти везде.
Цитата42. Добавлены новые превентивные механизмы для защиты сайта от действий злоумышленников, использующих методы социальной инженерии.
Можно поподробнее? Что и как, и с чем это есть?
Цитата43. Оптимизирована и ускорена загрузка и рендеринг страниц сайта, при использовании визуальных (WYSIWYG) редакторов на сайте. Добавлена поддержка Gzip сжатия для TinyMCE редактора. Убрана дублирующая загрузка редакторов при редактировании публикаций и комментариев, а также при ответах на комментарии.
Это исправление следующего бага?
-
Вот вам решение...
Правила форумаВнимание !!!
На данном форуме существуют достаточно жесткие правила, поэтому прежде чем создавать свою тему убедитесь, что вы внимательно их прочитали и поняли.
1. Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.
2. На данном форуме строго запрещено предлагать или навязывать свои платные услуги. За любое сообщение типа "Помогу дешево, ICQ ..." участник блокируется на форуме без предупреждения.
3. Обязательно прочитайте разъясняющую тему http://forum.dle-news.ru/announcement/1-определение-понятия-нелегальной-копии-скрипта-и-понятия-nulled/
-
17 часов назад, Kolbaser сказал:
А почему вы упоминаете 4.1
Видимо потому что он бесплатен, но не юзабелен...
17 часов назад, Kolbaser сказал:Скажу, что данный форум действительно очень лёгкий и реально фактически не нагружает сервер
А как у него и интеграцией в DLE?
Много ли подводных камней даёт вид форума не как модуля, а связки с DLE?
PS: Много раз хотел его попробовать, но руки не доходили. -
2 часа назад, Govora сказал:
Вот и готовое решение. Спасибо WEBAIR.
Собственно что вам мешало сделать его самостоятельно, если:
18 часов назад, Govora сказал:Пишем на ПХП, элементарное пишем и я понимаю что можно скриптом брать заголовок записи, переводить его в транслит и переписывать записи БД где хранятся ЧПУ.
Как то глупо ваша тема тогда выглядит, умеем, пишем, знаем, но хотим что бы кто то сделал за нас и положил на блюдечке с белой каёмочкой...
PS: Конечно же в перестроение публикаций стоило бы ещё давно добавить чекбокс: Пересоздать ЧПУ новостей
А ещё чекбоксы:
Пересоздать уменьшенные копии изображений (о чём давно просили)
Удалить информацию о похожих новостях (а это что бы не не делать вручную чуть ниже, т.к. это нужно при удалении из самой таблицы давно неиспользуемых доп.полей, которые хранились в БД и поиск похожих материалов их учитывал)
и другое, что бы данная функция решала все вопросы по автоматическому перестраиванию, а не только парсила текстовые поля... -
1 час назад, Captain сказал:
Предложите своё решение конкретно, либо вообще не лезьте в темы.
Возможно вы не знаете HTML...
Тогда вам нужно сходить по первому результату из Google: http://htmlbook.ru/html/input/requiredИ вам просто необходимо пользоваться данным сервисом: http://g.zeos.in/?q=required
-
8 часов назад, Captain сказал:
Такой возможности на данный момент нет, но есть сторонний модуль:
UniForm — модуль универсальных ajax-форм для DataLife Engine
Неверно, атрибут required никто не отменял, для 99.9% пользователей этого достаточно.
-
2
-
-
Как то так...
Правила форумаВнимание !!!
На данном форуме существуют достаточно жесткие правила, поэтому прежде чем создавать свою тему убедитесь, что вы внимательно их прочитали и поняли.
1. Если ваша тема начинается с вопроса и вам нужна какая либо помощь, то в самой теме в обязательном порядке вы должны указывать ссылку на ваш сайт. Если ваш сайт находится в локальной сети и вы не можете предоставить ссылку, или вы не хотите публиковать открытой ссылки на ваш сайт, то отправляйте персональное сообщение с вопросом в службу поддержки непосредственно с сайта http://dle-news.ru/, вам ответят на ваш вопрос в персональном порядке, в случае если пользуетесь платной версией скрипта и обладаете лицензией на скрипт. Если вы пользуетесь демоверсией, то вам необходимо разместить сайт в сети интернет, и только потом обращаться за помощью. По находящимся на локальных компьютерах демоверсиям никакой помощи и поддержки на форуме не оказывается. Если вы не указали сайт, то ваша тема будет закрыта, а аккаунт на форуме заблокирован.
2. На данном форуме строго запрещено предлагать или навязывать свои платные услуги. За любое сообщение типа "Помогу дешево, ICQ ..." участник блокируется на форуме без предупреждения.
3. Обязательно прочитайте разъясняющую тему http://forum.dle-news.ru/announcement/1-определение-понятия-нелегальной-копии-скрипта-и-понятия-nulled/
-
10 часов назад, Govora сказал:
Тоже интересует этот вопрос. Если кто-нибудь знает как это сделать, помогите пожалуйста.
Если не пишете на php, то для вас никак.
-
4 минуты назад, LevM2009 сказал:
как прикрепить файл
Никак, код файлы выкладывайте под спойлером и обрамляйте тегами code...
-
1
-
-
11 час назад, alex32 сказал:
что-то не сказал бы, что тарифы сказка
и у меня
500 руб/месяц
шляпа этот бегет
Безлимитные хостинги?
Помним помним как они исчезали вместе с сайтами... -
1 час назад, master27 сказал:
Тогда бы просто не сохранялось больше 65К символов.
БЕЗ тех.данных тут только вангу звать погадать на бобах... -
Читаем правила...
-
Как обычно объективные посты удаляются, не удивительно...
-
Ну видимо только JS'ом, либо править php код...
-
1
-
-
Видимо использовать leech, вместо url...
-
36 минут назад, serega1103 сказал:
Хотел свои классы просто прописать, чтобы CSS код не дублировать, например, CSS кнопок уже есть и видимо придётся копировать код. Ну да ладно, спасибо.
Это JQ UI, и что бы написать свой классы, нужно взять и написать клон JQ UI со своими классами, либо пользоваться тем что есть, и использовать стили для их классов.
-
1
-
DataLife Engine v.11.3 Press Release
в DataLife Engine (Общие вопросы)
Опубликовано:
Да это понятно, как вы будете сбрасывать те же страницы с краткими новостями, и {custom} блоки из кеша?
Записывать таймштамп в каждый кеш в служебный ключ (например подключ "timestamp"), и как только появляется новая новость, в источнике (какой-нибудь /engine/cache/system/memcached_news.php) он меняется на актуальный, и алгоритм считает кеши просроченными, где таймштамп не соответствует свежеустановленному в конфиге?