SKYNET74
-
Публикации
651 -
Зарегистрирован
-
Посещение
-
Дней в лидерах
50
Сообщения, опубликованные пользователем SKYNET74
-
-
В 01.03.2017 в 21:23, inokentik сказал:
Можно проще... Код счетчика запихать в любой <DIV> и прописать класс такой для этого контейнера .liveinternet {height: 1px; width:1px; visibility: hidden;}
Достаточно просто {display:none;}.
-
Можно просто сделать конфиг в JS файле /templates/theme/js/adv.js где вставить:
is_adv_enable = true;И уже в коде страницы оперировать этой переменной для показа/сокрытия и т.п.
Поскольку adv очень популярная маска для файлов рекламы, то даже если он порежется тем же модулем "Антибаннера" от KIS, то ваш код поймёт это, всякие адблоки тоже режут скрипты с подобными именами. -
1 час назад, celsoft сказал:
Этого даже я не знаю. Он находится в разработке.
А планируются ли всё таки дорожные карты?
Что бы видеть что будет реализовано, и в каком виде, что бы сразу можно было уточнить неточности или не совсем удачную реализацию, или например попросить сразу больше тегов добавить необходимых, что бы вы потом не возвращались к этому куску кода ещё несколько следующих версий.
3 часа назад, celsoft сказал:Кстати мне удалось найти решение данного вопроса, и в новой версии контроль неверных ЧПУ сможет это диагностировать и делать редирект.
Контроль ЧПУ будет так же корректно работать как и для категорий? Слеши, страницы, пробелы и всё это с редиректом на верный адрес?
-
1
-
-
4 часа назад, celsoft сказал:
Неужели? Вы не знаете как кликнуть по такой ссылке не будучи под админом в одну секунду? Без какого либо ручного раскодирования? Это же элементарно, даже страницу покидать не нужно. Можно запросто прочитать сообщение как админ, и кликнуть на нее переходя уже не как админ.
Да вкурсе так то, но если мне память не изменяет, то время от времени находятся способы обойти песочницу браузеров, так что тоже не совсем безопасно.
Лучше уж с другого.4 часа назад, celsoft сказал:Вопрос с go.php уже решен. Я не писал про не него, и не писал про проблемы в нем. Его проблемы уже решены, о чем я кратко написал в первом своем сообщении, без каких либо обсуждений. Я не писал и не обсуждал файл go.php и кодирование!!!! С чего вы взяли что я о нем писал, о нем в моих сообщениях не слова. Читайте внимательнее то о чем пишут. Позже я писал совсем о других проблемах, которые ждут администратора. Неужели эту простую мысль так сложно понять, и перестать уже флудить? Я пишу про одно, вы это цитируете и пишите про другое. А у вас все только go.php в голове и только то что там закодировано. Там должно быть закодировано, это цель этого тега изначально, чтобы именно кодировать, не просто перенаправлять, не от поисковиков прятать, а именно кодировать, чтобы прямым copy paste не копировали контент с сайта, и для копирования нужны уже были мало мальски ручные усилия. Слово leech в словаре переведите, чтобы мало мальски понимать суть этого тега.
Ну в контексте темы обсуждалась проблема с go.php, так что примеры относительно него.
Я прекрасно понимаю что в системе ещё куча других мест где можно провернуть подобное, если вы там тоже недоследите относительно фильтрации, не просто так же вы новый парсер интегрировали, он лучше разбирает все эти дела и отфильтровывает не корректные данные.
4 часа назад, celsoft сказал:Вот до тех пор пока вы в расчет это не берете, доступы от ваших сайтов и будут воровать.
Вот есть у вас местный сайтик города например, вам прислали ссылку на интересный материал на другом сайте, если следовать вашим словам, нужно игнорить и не в коем случае не переходить...
Прямо админ под осадой какой то получается...
55 минут назад, akuba сказал:абсолютно верно - то что было закодировано для go.php не было ссылкой - это был JS-код, который был выплюнут им на домене сайта, моего сайта.
ну за годы ведения сайта я тоже на 99% атак уже выработал иммунитет и, естественно, не хожу по всем ссылкам подряд. В данном конкретном случае письмо имело стандартный вид вид, коих приходит множество и реакция на которые единственная и простая - открыл удалил. Иногда ссылок в кляузе бывает до полсотни штук - и тогда, со временем, защитные механизмы мозгов притупляются и действуешь на автомате, что собственно и произошло.
Если бы видели что там в url JS код огромной длинны, думаю это вам бросилось бы в глаза, не зря же адрес ссылки появляется в левом нижнем углу при наведении курсора на неё...
-
1
-
-
1 час назад, celsoft сказал:
Да причем здесь этот случай? Для этого случая выпущен патч безопасности. Все об этом случае можно забыть. Я не про данный конкретный случай писал. Я писал вообще о том что администраторы не должны ходить по любым ссылкам которые им пришлют. Только в изолированной песочнице такие ссылки нужно посещать. Я вам про одно пишу, вы про другое. Я говорю о том как универсально избегать проблем всегда, не зависимо ни от каких случаев, а не о том как их избегать в данном конкретном случае.
Ну вам говоришь про то что не все слепые и что некоторые смотрят куда идут, а вы говорите что все должны никуда не ходить...
Вот элементарно как вы говорите поступим, пришла ссылка, открывать опасно в браузере где есть авторизация + не видно что за ней (если вручную не раскодировать base64), мы как добропорядочные админы копируем её в буфер, открываем другой браузер, открываем там, но go.php не пустит нас по ней без реферера сайта, как то так вобщем получается... Либо кликай с того с браузера аккаунта администратора, либо раскодируй вручную...
Не берём в расчёт то что нас там может ждать (троян, червяк, или опасный антивирус), т.к. когда приходит письмо от тех же правообладателей (да могут и пользователи постоянные скинуть с какой то информацией), то как правило на них реагировать нужно, почему включены кликабельные ссылки я вам уже объяснил.
Если видим в URL что там http://g00gleapis.com/awdhiohgte , то сразу можно туда не ходить, но мы не видим куда нас посылают.
Есть ещё один вариант, это сделать шаблон для go.php, там уже будет видеть куда нас посылают, и хотим ли мы туда перейти, как впрочем сделано сейчас у всех популярных ресурсов.
На правоту не претендую, просто будет о чём поразмышлять.-
1
-
-
24 минуты назад, celsoft сказал:
Вы не понимаете смысла моих сообщений, куда она ведет неважно. Важно то, что вы не знаете что за ней, пока по ней не пройдете.
В данном случае, если я правильно понял код, не вела на сайт злоумышленника, а выполнила JS прямо на go.php, или я не прав?
И хотите сказать было бы не видна странность при просмотре URL такой ссылки?-
1
-
-
Да система тегов в DLE и так как то не очень, да и не популярны теги уже вроде бы, хештеги сейчас в моде, по идее всё это дело бы переписать на нормальную реализацию с более тесной интеграцией в CMS.
Собственно а как у вас два разных типа страниц появляются на сайте? Разве DLE по разному ссылки генерирует на теги?-
1
-
-
1 час назад, akuba сказал:
Немного вклинюсь в Вашу беседу - речь шла не о комментариях - зловред был прислан в Личные сообщения.
"будучи администраторами, люди бездумно идут по ссылкам" - администраторы тоже люди (даже матерые программеры и прочие животные), со свойственными людям недостатками типа переутомление, какие-либо жизненные неурядицы, привыкание к множеству однотипных и монотонных операций и тп. Так что не стоит поливать грязью бездумных администраторов. Уверен на 120%, что любой из Вас хоть раз в жизни попадался на довольно тупые разводы типа этого - все люди одинаковы и абсолютно непогрешимых не бывает.
Поэтому, не стоит валить косяки с недостаточной фильтрацией полностью на тупых администраторов - вина, как бы сказать, коллективная.
Ну и всё таки если бы видно было реальную ссылку перенаправления, то как минимум это бросилось бы в глаза, тот же хром, лиса и опера её выводят при наведении.
Может я какой то не такой, но я обычно смотрю куда ведёт ссылка)-
1
-
-
В кратких/полных/кастомных новостях по 1 запросу на тег, на страницу поиска по тегу +1 запрос, и т.д.
-
1
-
-
Если память не изменяет, контроль ЧПУ проверяет находится ли новость в категории имя которой присутствует в URL, включите в общих настройках и проверьте.
-
6 часов назад, Spaik сказал:
Вы абсолютно правы! После внесения дополнительных изменений все заработало как нужно. Большое спасибо за совет!
p.s. неплохо бы на форуме сделать типа ФАК и подобные темы закреплять там, вот наверняка этот вопрос уже поднимался, но я по поиску не нашел ни чего.
Но локали это основополагающее, а то много чего по мимо перекодирования работать не будет.
Видимо ОС уже наверное собрана образом была, а не чистая установка с netinstall. -
Нужно переписывать кучу мест в движке, более того, это овер много запросов к БД добавит.
-
1
-
-
1 час назад, celsoft сказал:
Не имеет ни малейшего смысла. За https://site.ru/page/about/ вас также может ждать вирус и в URL об этом написано не будет.
Зато видно URL куда тебя отправляют...
И если там неведомые символы, тогда это повод задуматься о цели такой ссылки...
Это как минимум ещё одна степень защиты для внимательного администратора, а если он там видит base64, то что ему делать? Идти декодировать base64 и смотреть ручками куда ведёт ссылка?
Это просто информация к размышлению для вас.-
1
-
-
7 минут назад, celsoft сказал:
Вообще то речь идет о комментариях, а не просто ссылках как таковых. Если вы считаете нормальным давать прямые ссылки, для лиц, которые не имеют доверия, то я умываю руки. И дело тут совершенно не в go.php и в антиличах, а в том что вам могут понаставить ссылки в комментариях на порно, на вирусы и трояны, которые расположены на других сайтах и т.д. и все это будет стоять прямыми ссылками на вашем сайте и в лучшем случае сайт будет отмечен как небезопасный поисковиками, т.к. отправляет пользователей на сайты с вирусами. В худшем услышите много хороших слов про себя от посетителей своего сайта когда они пойдут по таким ссылкам и наловят вирусов. Кликабельные ссылки на сайте должны публиковать доверенные лица, так было и 2000 году, так будет и в 2999 году, если там конечно останется понятие ссылок.
Ну вы уж совсем в крайности не бросайтесь, естественно комментарии от обычных пользователей модерируются, а так же есть кнопка жалобы, но смысл в том что бы для перехода по ссылке пользователям сайта не надо было копировать её и вставлять (вы о "дубовых" пользователях то подумайте), это всего лишь ссылка, а не попандер или кликандер который без желания пользователя появляется, а вот переходить ли по ссылке или нет, это уже выбор пользователя.
Посмотрите на популярные сайты, были бы они такими популярными, если бы вместо улучшения юзабилити, вставляли бы палки в колёса пользователям?
Вопрос риторический...
PS: А может сделать элементарно ещё один вид личивания, без кодирования в base64?
Пример: /engine/go.php?to=https://site.ru/page/about/
И не индексируется, и сразу видно куда ведёт. А base64 это как неведомое болото...-
1
-
-
1 час назад, celsoft сказал:
Потому что вектор атаки достаточно сложный, чем может показаться на первый взгляд. И требует достаточно серьезных знаний. Чтобы атака была успешной требуется соблюдение целого ряда условий.
1. Должны быть разрешены кликабельные ссылки для обычных пользователей, для комментариев.
2. Ссылку нужно специально подготовить закодировать и только потом отправить, простая вставка кода не сработает.
3. Нужны серьезные знания JS программирования, т.к. код достаточно сложен, просто так нужные данные не получить.
4. Ссылку нужно послать именно администратору и именно на сайт, из вне она уже не сработает.
5. Собственно уговорить кликнуть по ней администратора.
Первое правило программиста, не доверять входным данным от пользователей. (с)
И раз go.php ничего не подразумевает к передаче кроме ссылок, нужно было жестко фильтровать $_GET['url'], движок же не будет HTML/JS кодировать в base64...
PS: Ссылки включены практически у всех, через личивание, ибо не дело в 2017 то году усложнять жизнь пользователям в виде вставки ссылки как текста...-
1
-
-
Странно что так долго никому в голову не пришло что go.php не фильтрует передаваемые ему данные на html...
А ведь этот код почти не трогался не одну линейку DLE же...-
1
-
-
1 час назад, Goddanus сказал:
DLE v. 10.0 utf8
В админке, в "Карта сайта для Google и Yandex", при нажатии на "Уведомить поисковые системы о наличии новой версии карты сайта" сайт подвисает. При этом в момент подвисания на страничке с картой сайта (где обычно выводился список ПС) пишется "Идет подключение к удаленному серверу...".
Через 3-5 минут сайт становится снова доступным.
Что не так?
Спасибо,
Обновляйтесь, версия уже сильно таки устарела, либо фиксите все баги руками.
-
2
-
-
Лучше всё же классы там всем элементам прописать, и скрывать там где это не нужно через CSS.
Не понятно почему разработчик не использовал уникальные классы для краткой/полной новости и доп.полей.-
2
-
-
Нужно было сразу включать принудительной личивание ссылок в настройках групп, тогда они не были бы внешними.
Можно попробовать включить и сделать перестроение публикаций, но я не уверен что ссылки будут заменены.
Можете попробовать на тестовом сайте.-
1
-
-
В 26.02.2017 в 18:35, celsoft сказал:
Если вы работали в поддержке, то должны знать все ошибки не только выводятся и но записываются в логи сервера, где их можно всегда увидеть, в очень простом и удобном виде. Когда они происходили и с какой периодичностью. Делать двойную работу попросту бессмысленно.
Не у всех есть доступ к логам, не все умеют с ними работать, удобнее смотреть на сайте, и опять же включение по желанию...
В 26.02.2017 в 18:35, celsoft сказал:Я помойму задал конкретный вопрос: "Какие конкретно "косяки" логировать?" Вместо ответа как обычно флуд не по теме.
Да хотя бы записывать куда то фатальные ошибки mysql, а не просто показывать пользователю пугающую табличку с непонятными словечками...
В 26.02.2017 в 18:35, celsoft сказал:В том то и проблема, вы начинаете говорить, не читая тему о которой идет речь. А теперь вернитесь в начало темы, прочитайте о чем пишет автор топика. И отвечалось изначально автору топика на вполне конкретный поставленный вопрос про отключение. Но вы никогда не читаете, лишь бы быстрее вырвать фразу из контента, и начать писать только по этой фразе. Автор топика писал про отключение, ему и отвечалось про отключение ошибок.
4 пункт можно прочитать однако, и не только про отключение, а про замену вываливания ошибок.
Это бессмысленно обсуждать, нет полного пользовательского логирования, об ошибках работы скриптов подавно речи не может быть...-
1
-
-
3 часа назад, prikindel сказал:
ну я видел сайты, у которых реализовано через свой какой то апи
интересно, а свою сисему написать сколько будет стоить)
апи по уведомлениям в инете есть, тоже видел, но не увлекался изучением, т.к. все равно сам не сделаю)
Если сайт не типо ленты.ру, риа и т.п., то пока дорого и бессмыслено, и нужно жесткое впиливание в DLE.
-
2
-
-
Логин пользователя не меняется в следующих таблицах:
_admin_logs
_ignore_list
_comment_rating_log
_complaint
_logs
_post_extras
_subscribe
Так же удаление пользователя не удаляет кучу хвостов от него, например в таблицах:
_comment_rating_log
_notice
_logs
_lostdb_poll_log
_sendlog
_vote_result
Так же почему то от ненужных данных не чистятся таблицы следующие таблицы:
_lostdb
_sendlog
Может уже все удаления и смены вывести в отдельные функции, как сделано с функциями deletecommentsbynewsid и deletecomments?-
1
-
-
1 час назад, prikindel сказал:
а поясните дремучему, вот допустим тот же пуш.ворлд, набирается база подписчиков, переходишь на другой сервис - все теряется?
как там реализована связка с браузером? механизм какой? браузер сам связывается с пуш сервисом, или наоборот?
Это прослойка между сайтом и посетителями, т.к. для пуша совсем дремучий хостинг не подойдёт, и у разных браузеров свои "закосы" с пушем, потому как ещё чёткого стандарта по моему не приняли (когда смотрел, был хаос в том у кого как реализовано и что поддерживается).
Для повсеместного внедрения нужно что бы стандарт стал как HTML5, думаю скоро они всё таки там договорятся и можно будет уже и без сервисов особо обойтись, и не помнить какому браузеру как уведомления и на каком блюдечке посылать.-
1
-
-
В 02.03.2017 в 00:38, gans сказал:
Извените. А вы можете это написать?
А зачем?
Зачем из DLE делать то на что он не рассчитан?
*тут_троллейбус_из_буханки_хлеба*-
1
-
Ойфлайн страница сайт
в В помощь вебмастеру
Опубликовано:
Сейчас купим его специально для вас...
Обсуждать пиратство на офф сайте как то вообще уже...