ShapeShifter 13 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 celsoft, я вам пару недель назад скинул описание пары багов, касающихся разбивки длинных слов. Баг касается разбивки длинных слов. Если в настройках сайта включён редактор WYSIWYG, то можно спокойно обойти экранирование кавычки и вызвать ошибку базы. Второй баг с переносом слов, если последняя буква в тегах [ b ] например. В таком случаи слово не разбивается. Когда будет написано исправление этих ошибок? Т.к. первый баг можно отнести к высокому уровню опасности, как сегодняшний баг с поиском (хотя его можно и к среднему уровню отнести). Второй баг тоже мало приятен и одним обновлением дистрибутива не обойтись, т.к. эти баги нужно закрывать во всех версиях движка. 1 Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 ShapeShifter, Вне версий выходят только исправления уязвимостей, а не ошибок. Ошибки исправляются планово с выходом новых версий. Ошибка и уязвимость это абсолютно разные вещи. Ссылка на сообщение Поделиться на других сайтах
ShapeShifter 13 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Автор Но вы сегодня опубликовали правку уязвимости в поиске, хотя на сколько я понял там просто пустой запрос в базу идёт, без инъекций и т.п. и это гораздо ближе к багу, нежели уязвимости. Тоже самое со вторым багом, там вообще только с правами админа можно вызвать ошибку, помню раньше на подобные ошибки вы вообще внимания не обращали, гоовря, что добраться до данной ошибки может только тот у кого есть определённые права, а эти права выдают администраторы сайтов - значит они и виноваты. Тем более второй баг мало приятен будет сайтам, хоть и не несёт какой-либо опасности, но чисто внешне дизайн попалзёт... P.S.Вынесите правку "уязвимости" на главную страницу, если бы не тема на форуме я бы вообще не заметил эту новость, т.к. раньше вы публиковали на главной всё что касается багов движка. 1 Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 ShapeShifter, Сегодня была исправлена именно уязвимость, а не просто ошибка. Не буду же вам описывать как можно атаковывать сайты. Ссылка на сообщение Поделиться на других сайтах
ShapeShifter 13 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Автор Описывать и не нужно) Просто я говорю, что все баги нужно бы публиковать, а тачнее багфиксы, т.к. крупные проекты не могут обновляться каждый раз. Многие раз в 2-3 версии только обновляются или ещё реже, таким образхом у них накапливается куча скытых уязвимостей/багов. Да, можно ответить, что сами виноваты и для того и существуют обновления, но нужно войти в их положение - куча хаков и модулей, переустанавливать это всё долго и не всегда есть время. Если уж не хотите напрямую писать какие баги найдены, то хотя бы просто загружайте исправленные файлы и всё, а не целиком дистрибутив. Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 таким образхом у них накапливается куча скытых уязвимостей/багов. Исправления уязвимостей публикуются в виде патчей всегда, и ни о каких накапливающихся и скрытых речи просто идти не может. Ошибки исправляются всегда планово, поддержка обеспечивается только стандартного скрипта и стандартного кода, поэтому все ваши сторонние модули и прочие изменения, то это ваши изменения и их поддержка и повторное внесение и прочее это уже ваша забота и никто кроме вас об этом заботится не будет. Считаете что это я такой нехороший? Так работают все скрипты, а не только DLE. Ссылка на сообщение Поделиться на других сайтах
ShapeShifter 13 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 (изменено) Автор Зачем равняться на всех? Нужно уважительнее и с понимаением относиться к своим клиентам. Ответ я получил. Тему можно закрыть. Изменено 14 сентября 2010 пользователем ShapeShifter Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Зачем равняться на всех? Нужно уважительнее и с понимаением относиться к своим клиентам. А это не относится к категории уважения или не уважения к клиентам. Это физическая невозможность осуществления подобного, в DLE почти 5 мегабайт кода, каждый релиз содержит изменения в тысячи строках, и описать каждое изменение попросту невозможно, поэтому этого никто не делает. Невозможно для каждой строчки сделать описание "вот эту строчку изменили, потому что нужно сделать то то и то то" Ссылка на сообщение Поделиться на других сайтах
ShapeShifter 13 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Автор Вы меня не поняли, я имею ввиду не изменение при обновлениях движка, а об правках багов, когда вы обновляете движок, то отдельно создавалась бы новость со списокм найдены багов в старых версиях и инструкции по закрытию этих багов. Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 ShapeShifter, Почему я вас понял, только исправления это не одна строчка, о чем я вам и написал, и зачастую для исправления одной небольшой ошибки переписывается десять файлов скрипта. Ссылка на сообщение Поделиться на других сайтах
kzpromo 1 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Поясните пожалуйста, ваш багфикс! К какому типу уязвимости относится бага? Для исправления откройте файлы engine/modules/search.php и engine/modules/fullsearch.php и найдите: $count_result = 0; ниже добавьте: $sql_count = ""; Данный багфикс вызывает ошибку при запросе или sql inj или код создает нагрузку? 1 Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 kzpromo, А что сразу инструкцию по взлому не попросите? Вы же мастер взлома, когда обладаете полной инструкцией. Ссылка на сообщение Поделиться на других сайтах
kzpromo2 0 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 Во первых я вас не оскарблял и не переходил на личности! Во вторых был конкретный вопрос! В третьих за что было блокировать меня здесь? какие пункты правил форума я нарушил? Ссылка на сообщение Поделиться на других сайтах
celsoft 5 995 Опубликовано: 14 сентября 2010 Рассказать Опубликовано: 14 сентября 2010 какие пункты правил форума я нарушил? Прочитайте и увидите. Во первых я вас не оскарблял и не переходил на личности! Детский сад, ясельная группа, вы действительно полагаете, что я не знаю вашей личности и сайтов где вы модератор и администратор? На личности он не переходил и не оскорблял. Смешно. Возвращайтесь на свои варезники, где вы уже "возмущаетесь" по поводу бана на этом форуме. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения