новый баг

[revix.ru 0]

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

[img=http://site.ru/admin.php?mod=editusers&action=dodeleteuser&id=6406&user=kaiser]

решение Итак: Открываем /engine/classes/parse.class.php (для версий ниже 6.3 файл /engine/inc/parse.class.php) 1. находим:

return trim($txt);

выше добавляем:

if ( $wysiwig != "yes" )

{


$txt  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $txt );

$txt  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $txt );

$txt  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $txt );


$txt  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $txt );

$txt  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $txt );

$txt  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $txt );


}

2. находим:

return trim($source);

выше добавляем

$source  = preg_replace ( "#[center][img=(.*?)(.php|.js)(.*?)][/center]#si", "", $source );

	$source  = preg_replace ( "#[img=(.+?)(.php|.js)(.+?)]#si",					   "", $source );

	$source  = preg_replace ( "#[img=(.+?)](.+?)(.php|.js)(.+?)[/img]#si",			   "", $source );


	$source  = preg_replace ( "#[center][thumb](.+?)(.php|.js)(.+?)[/thumb][/center]#si", "", $source );

	$source  = preg_replace ( "#[thumb](.+?)(.php|.js)(.+?)[/thumb]#si",					   "", $source );

	$source  = preg_replace ( "#[thumb=(.+?)](.+?)(.php|.js)(.+?)[/thumb]#si",			   "", $source );

[n0lik 75]

Тота меня один тип спрашивал где взять ID пользователя , а оно вон оно что...

[ShVad 2]

В админке проверка рефера идет.

где взять ID пользователя

Нажать отправить сообщение - там и id будет.

[Gorets 3]

В админке проверка рефера идет.

самое интересное, что сам админ удалит юзера, при просмотре такого текста

ребята... а ведь эту ссылку можно подсунуть админу и через тег ....

тут надо целсофту в срочном порядке пересматривать безопасность админки... как минимум перевести все важные входящие переменные с GET на POST

[celsoft 6 072]

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

[Gorets 3]

Для этого и нужно скрывать админпанель, меняя ее имя в настройках

Любой модератор узнает новое имя админки и может творить что хочет!

ПРОБЛЕМА ПОЛНОСТЬЮ НЕ РЕШЕНА!!!

кто не верит могу продемонстрировать!!!! залогиненый админ на сайте - ПОТЕНЦИАЛЬНАЯ УГРОЗА!!!!

[celsoft 6 072]

Любой модератор узнает новое имя админки и может творить что хочет!

Что за воспаленный бред вы несете? во первых модератор не имеет практически никаких прав в админпанели кроме редактирования новостей. Во вторых у вас что все кто зарегистрировался имеет право модерирования? Модератор может нажать кнопку "Удалить новости" и ему ненужно ничего слать администратору чтобы что то удалить. У него есть на это права и без администратора.

Любой журналист может без модерации опубликовать новость: "Админ урод, сайт взломан" Вы уж головой маленько думайте кому вы даете доступ в админпанель, а кому нет.

С тем же успехом можно написать: "ПОМОГИТЕ ЛЮБОЙ ЖУРНАЛИСТ ПИШЕТ ПРО МЕНЯ ГАДОСТИ НА САЙТЕ, СКРИПТ НЕБЕЗОПАСЕН"

[alxumuk 0]

вообщем любой пользователь зная файл админки может удалить пользователя при добавлении новости

Для этого и нужно скрывать админпанель, меняя ее имя в настройках, в новых версиях скрипта динамические ссылки в изображениях будут отключены.

Правильное исправление данной проблемы находится по адресу:

http://dle-news.ru/bags/v65/247-otkljuchen...h-ssylok-v.html

К сожалению после Этого Апдэйта все видео ролики с Ютуба(и не только) вставляемые по средством кода в Редакторе для Админа не отображаются...

[celsoft 6 072]

А код видеоролика какой?

[MSK 289]

Думаю что в новой версии необходимо добавить запрос на подтверждение действий админа, тогда все проблемы будут сняты.

[lifestar 18]

MSK, точно, ну или удалять пользователей через AJAX а в исполняемом файле делать проверку вида

if($_SERVER['HTTP_X_REQUESTED_WITH'] == 'XMLHttpRequest')

[MSK 289]

MSK, точно

Меня сразу напрягало, что все операции проходят без запроса на подтверждение (даже в phpbb замучают- ТОЧНО хочешь ЭТО сделать?)

Как на это раньше никто не обратил внимания...

Видимо - "всему свое время"

А нынешнее решение добавило массу проблем, в том числе и с заливкой картинок - модераторы уже запарили вопросами....

[MSK 289]

А по поводу AJAX - админ должен иметь возможность управлять сайтом в любом месте.

Мне часто приходится использовать КПК, но в стандартных браузерах для КПК AJAX не поддерживается....

а также и ява

[lifestar 18]

MSK, вот я вчера подумал и решил что подтверждения это н епанацея от всех бед. После подтверждения ведь скрипт идёт по какому-то адресу и выполняет задачу. Этот адрес нам известен и с ним работаем.

Поэтому вопрос остался открытым)

[Gorets 3]

Поэтому вопрос остался открытым)

любое удаление через код подтверждения!

знаю, геморой будет дикий, зато безопасность будет намного выше!

пусть даже код будет не из пяти, а скажем из двух цифр, но и тогда процент случайного попадания один из сотни.

[celsoft 6 072]

Ребята придетcя немного потерпеть, в новой версии все вернется обратно, автоматическая авторизация и никаких подтверждений, т.к. подтверждения не решают проблемы. В новой версии скрипта каждый залогиненный пользователь получит уникальную контрольно-цифровую подпись, подделать которую невозможно, и выполнить любое действие можно только при наличи такой подписи.

если сейчас у вас или ваших модераторов происходит постоянное разлогинивание, то им нужно включить в своем брандмауэере поддержку REFERER, тогда разлогинивания в течении одной сессии не будет.

[lifestar 18]

любое удаление через код подтверждения!

вот это уже ближе к теме

получит уникальную контрольно-цифровую подпись, подделать которую невозможно

про многие вещи так говорили в своё время...

автоматическая авторизация и никаких подтверждений

в таком случае активация почтового ящика должна быть отдельно

[celsoft 6 072]

lifestar,

авторизация и регистрация вещи разные.

[lifestar 18]

автоматическая авторизация и никаких подтверждений

я извиняюсь, но о каких тогда подтверждениях идёт речь? Подтверждение авторизации? Не видел такого

[MSK 289]

В свете всего выше написанног - когда ждать новую версию?

Т.к. это можно считать критическим обновлением.

[celsoft 6 072]

В свете всего выше написанног - когда ждать новую версию?

тогда когда будет готово

Т.к. это можно считать критическим обновлением.

обновление уже вышло http://dle-news.ru/bags/v65/252-obnovlenie...ti-skripta.html

[alxumuk 0]

А код видеоролика какой?

как пример такой

<object width="425" height="355"><param name="movie" value="http://www.youtube.com/v/mf3NIPbZHYc&rel=1"></param><param name="wmode" value="transparent"></param><embed src="http://www.youtube.com/v/mf3NIPbZHYc&rel=1" type="application/x-shockwave-flash" wmode="transparent" width="425" height="355"></embed></object>

[lifestar 18]

&rel=1 убираем из ссылки и пробуем)

[n0lik 75]

celsoft,

А можно узнать хоть примерный срок выхода очередного релиза?

[WMDrakon 20]

n0lik,

нельзя!