| Сейчас на форуме: kris_sexy, ==DJ==[ZLO], Wenzel (+4 невидимых) |
 |
eXeL@B —› Крэки, обсуждения —› Просьба по форуму |
| << 1 ... 9 . 10 . 11 . 12 . 13 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 30 августа 2005 11:24 · Личное сообщение · #1 Кхм, и снова здрасьти. =) Тут такое дело: думаю довольно много людей сюда заходят не каждый день и скапливается много(для них) тем с пометкоей "new", но на первой странице форума отображаются не все темы, не влезают они туда(или влезают?). А когда открывашь ветку форума, то значки "new" не отображаются. Можно это как-ньть пофиксить или добавить?  |
|
|
Создано: 24 ноября 2005 16:25 · Личное сообщение · #2 Ara пишет: Ограничить временем 2-3 дня и размером, а потом удалять. Вот именно, рамером до 100-500 кб, например... Нет, аттач в ПМ - определенно полезная фича, я всеми руками за. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 24 ноября 2005 17:28 · Личное сообщение · #3 Ara Честно говоря аттачи в приватах это опасноватая вещь для безопасности сайта, во всяком случае будет много желающих побаловаться втихоря. ----- Всем не угодишь |
|
|
Создано: 24 ноября 2005 17:36 · Личное сообщение · #4 Bad_guy Ну да, фтопку их тогда... 
|
|
|
Создано: 24 ноября 2005 18:24 · Личное сообщение · #5 мне не то чтоб надо, но всё же (: Иконки на главной странице ( значки тем (ключик там, чашечка ...)) в png сконвертить, а то фон их не всегда совпадает с фоном строки. ----- Crack your mind, save the planet |
|
|
Создано: 24 ноября 2005 23:31 · Личное сообщение · #6 Bad_guy пишет: такое ощущение, что хостер опять с часами балуется. С хостером ясно, а почему правка своего сообщения считается спамом? Пусть даже 4 сек. Bad_guy пишет: будет много желающих побаловаться втихаря. С таким же успехом могут побаловаться и в этих аттачах. Только уже не втихаря, а по крупному, на весь форум (примеры были). Ограничить размер до 100-150 и время 12-24 ч. Обычно передача фала происходит во время беседы. 2Bad_guy Закрой глаза =))) ЗЫ: 2ALL: Заметил, что как только Bad_guy высказывает свою точку зрения все сразу принимают его сторону или затихают. С чем это связано? Может я чот пропустил? ----- TBR |
|
|
Создано: 25 ноября 2005 00:13 · Поправил: Ara · Личное сообщение · #7 Grey пишет: 2ALL: Заметил, что как только Bad_guy высказывает свою точку зрения все сразу принимают его сторону или затихают. С чем это связано? Может я чот пропустил? Боятся наверно... Лично мне пох на аттачи, вот я принял его точку зрения. Если реально, то закинуть мылом еще проще, а лично мне еще и удобнее. Закачав файл на рабочий стол, через месяц его хрен найдешь, а в мыле у меня аттачи хранятся и больше года уже... К тому же все бредовые или небредовые идеи придется реализовывать одному Бэдгаю, рожая новые дыры в сайте... А из-за того, что кому-то лень тыкнуть пару кнопок в почтовом клиенте, имхо того не стоит работа. |
|
|
Создано: 25 ноября 2005 00:15 · Личное сообщение · #8 Grey пишет: как только Bad_guy высказывает свою точку зрения все сразу принимают его сторону когда человек прав, чего ж не согласиться, а так поспорить мы горазды =) ----- Все говорят что мы вместе. Но не многие знают в каком. |
|
|
Создано: 25 ноября 2005 00:15 · Личное сообщение · #9 Grey Я не затих! 
Я все еще за аттачи в ПМ - это было бы здорово. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 25 ноября 2005 01:29 · Личное сообщение · #10 Ну раз об атачах пошло дело, то ради интереса хотел бы проверить кое какую теорию... Надеюсь хозяева бить сильно не будут о_О  f7c0_test.txt
----- Computer Security Laboratory |
|
|
Создано: 25 ноября 2005 01:36 · Личное сообщение · #11 Ara пишет: Закачав файл на рабочий стол, через месяц его хрен найдешь, а в мыле у меня аттачи хранятся и больше года уже... Просто бывают ситуации, когда нужно перекинуть что-то именно в данный момент. *.asm или чонить такое. Ctrl+C - замахаешься. Ara пишет: придется реализовывать одному Бэдгаю Дык ему и раньше вроде, по большому счету, никто не помагал. Ara пишет: из-за того, что кому-то лень тыкнуть пару кнопок Дык ведь в этом топике все посты из-за того, что кому-то стало лень "тыкнуть пару кнопок" =)) ----- TBR |
|
|
Создано: 25 ноября 2005 01:43 · Личное сообщение · #12 Тест пройден. Вот теперь Ословоды должны задуматься... В общем что с этим предпринять ХЗ. Можно попробовать при отдаче аттача выдавать Content-Type: application/zip. Авось поможет и файл будет скачиваться а не просматриваться на этом же сайте. ----- Computer Security Laboratory |
|
|
Создано: 25 ноября 2005 12:28 · Личное сообщение · #13 [HEX] Да, нехорошо. ----- Всем не угодишь |
|
|
Создано: 25 ноября 2005 12:32 · Личное сообщение · #14 |
|
|
Создано: 25 ноября 2005 12:33 · Личное сообщение · #15 |
|
|
Создано: 25 ноября 2005 12:34 · Личное сообщение · #16 Может прикрутить архивацию аттачей ? ----- Всем не угодишь |
|
|
Создано: 25 ноября 2005 12:53 · Личное сообщение · #17 [HEX] пишет: Можно попробовать при отдаче аттача выдавать Content-Type: application/zip Правой клавишей кликни на ссылке аттача и выбери в менюшке "Сохранить..." Хотя лично у меня там же в менюшке добавлен пункт "Закачать при помощи FlashGet" Bad_guy пишет: Может прикрутить архивацию аттачей ? ф топку |
|
|
Создано: 25 ноября 2005 12:57 · Личное сообщение · #18 Bad_guy пишет: Может прикрутить архивацию аттачей ? Asterix пишет: ф топку Согласен, лишнее это ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 25 ноября 2005 13:05 · Личное сообщение · #19 Asterix nice Не вкурили тему, парни. Просто с уязвимостями надо бороться, а то сейчас выполняется XSS, а там глядишь и PHP выполнится. ----- Всем не угодишь |
|
|
Создано: 25 ноября 2005 13:30 · Личное сообщение · #20 Да, дыры надо прикрывать, сами видели и знаете, что все-таки найдутся те, кому не лень будет ими воспользоваться... А аттачи в ПМ это дело благородное и полезное, действительно, часто бывают ситуации, когда нужно кинуть небольшой doc или архив какойнить с сырцами, для этого дела пользоваться мылом неудобно, а так раз - и все, удобно и быстро. ----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 25 ноября 2005 17:32 · Личное сообщение · #21 4kusNick С аттачами в ПМ я подумаю, особенно если все файлы будут GZIPиться. Там ведь ещё много чего придётся предусмотреть чтобы под контролем это было: аттач доступный на скачивание только получателю, хранение аттача -3 дня, например, максимальный размер самого аттача и максимальный размер всех аттачей на данный момент. Это немалая работа. В принципе у меня по сайту сейчас очень много задач в лист записано, так что аттачи в ПМ скоро ждать не стоит. ----- Всем не угодишь |
|
|
Создано: 25 ноября 2005 18:45 · Личное сообщение · #22 Bad_guy пишет: аттачи в ПМ скоро ждать не стоит Да не спеши, конечно, главное, что это будет, хоть и так скоро, хорошо, что ты вообще согласился это реализовать, за что огромное спасибо 
----- Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску. |
|
|
Создано: 25 ноября 2005 19:03 · Личное сообщение · #23 |
|
|
Создано: 25 ноября 2005 19:05 · Личное сообщение · #24 |
|
|
Создано: 25 ноября 2005 19:09 · Личное сообщение · #25 |
|
|
Создано: 25 ноября 2005 19:12 · Личное сообщение · #26 В общем, аттачи теперь все GZIPятся, но расширение добавляется .zip, а иначе бравзер при скачке зачем то распаковывает. ----- Всем не угодишь |
|
|
Создано: 26 ноября 2005 02:16 · Поправил: [HEX] · Личное сообщение · #27 Bad_guy Молоца. Сенкс. А то я уж думал народ не допрет что к чему
Есть еще теория одна, но тестить в лом  Поэтому просто выложу теорию:
при отправке файла я так предполагаю не проверяется на спецсимволы имя файла? Если это так, то это малец не правильно! Таким макаром можно элементарно зная немного стрктуру папок записать файл в нужную нам папку. Допустим при заливке файла с именем ../test.txt файл попадает в папку /<путь до htdocs>/f/files/../test.txt и теперь думаем куда файл запишется? Отсюда вывод: как минимум удалять слэши / \ из имени файла. Конечно возможно с нынешней архивацией всех поступаемых файлов это меньше проблем создаст, но согласитесь что непонятные файлы в неположеном месте уже не хорошо? В общем желаю удачи в развитие и укреплении! ----- Computer Security Laboratory |
|
|
Создано: 26 ноября 2005 18:59 · Поправил: [HEX] · Личное сообщение · #28 упс уже ничего 
----- Computer Security Laboratory |
|
|
Создано: 26 ноября 2005 19:39 · Личное сообщение · #29 [HEX] пишет: Допустим при заливке файла с именем ../test.txt файл А где интересно взять файл с таким именем ? Насколько мне известно в виндах такого файла быть не может, ну а никсов у меня нет, чтобы тестить. С другой стороны проблема в принципе несколько надуманная, потому как всё равно скриптовые файлы не заливаются + теперь ещё gzip, ну допустим окажется файл в другой папке, но это в сайте ничего не испортит я думаю. ----- Всем не угодишь |
|
|
Создано: 27 ноября 2005 00:06 · Личное сообщение · #30 Bad_guy Так яж говорю в нынешней ситуации это теперь менее опасно, так как файл теперь архиваируется и находится в зипе. Это раз. А то что имя файла ты говоришь нельзя такое указать это полная не осведомленость! Имя файла передается обычным методом (наподобие GET и POST запросов) просто нужно разобраться с принципом работы протокола. Да с помощью стандартных браузера такого не выполнить, но никто не запрещает создать свой пакетик и послать его на сервачек. Это в общем два. Смотри сам... я просто привел пример того чему подвержены большиство форумов и прочих порталов... 
Можете меня держать за параноика в области безопасности... но мне вот еще не нравится методика конвертации имен прицепляемых файлов =\ Помоему более надежным былоб вырезать все лишнии символы кроме a-z A-Z _ 0-9 А так конечно дело ваше... ----- Computer Security Laboratory |
|
|
Создано: 29 ноября 2005 08:46 · Поправил: Grey · Личное сообщение · #31 Bad_guy пишет: аттачи теперь все GZIPятся, но расширение добавляется .zip Теперь нельзя выводить рисунок из собственного поста. ----- TBR |
| << 1 ... 9 . 10 . 11 . 12 . 13 . >> |
|
eXeL@B —› Крэки, обсуждения —› Просьба по форуму |
Для печати