Журнал - Дневник

[First]

Вот насчет конфигов текстовых..

 

Я сегодня залез в конфиг форума.. а там стока всяких строк ужас... решил все удалить кроме mysql параметров и вспомнил, что в 2,0 то в мускл настрйоки перекочевали.. и думаю а чеж ето лишний раз рекуирить стока килобайт? вот и пусть такой покоцканый будет.

 

Вот с журналом сттранно дела обстоят.. там вообще весь конфиг форума копируется . Я так понимаю это фича для оттельного сущствования журнала?

Ok бывает и так.

Только думаю нужно вариацию сделать или отдельный конфиг или рекуирить конфиг форума (в случае если журнал вплотную ставится). Да и если отдельно то думаю, зачем копировать все? думаю парочки натсроек (mysql и пути) хватит. В журнале теперь тоже в mysql настройки же.

 

А то седня базу с машины на машину переносил а с журналом бился думаю ну чо такое за лажа я юзера еще не создал- форум лежит, а журнал пашет как надо. Потом выясни причину полтергейтса =)

[urisoft]

First

Вот с журналом сттранно дела обстоят.. там вообще весь конфиг форума копируется

На самом деле по дефолту в конфиге форума должно быть всего 5-6 строк (база, юзер, пароль, пути форума и т.д.). Т.к. у тебя там были все настройки форума, то они и скопировались все в конфиг журнала

 

Только думаю нужно вариацию сделать или отдельный конфиг или рекуирить конфиг форума

Для этого придется менять руками в файле имя (путь) конфига. Думаю, что не всем понравиться ковыряться в файлах. В текущем варианте все делается автоматом

Ты вот даже не заметил, что у дневников свои настройки пока не наткнулся случайно...

 

ну чо такое за лажа я юзера еще не создал- форум лежит, а журнал пашет как надо.

Это ж круто Ничего не пашет еще, а журналы во всю работают...

[loosingar]

Попробуй так аватар добавить. Сто пудово обломаешься

А какой смысл закачивать аватар на Народ, с которого он потом не будет читаться? Это такой способ самоистязания?

если дело в народе, то шут с ним - это я юзерам объясню

И посоветуй перейти на ньюмейл - оттуда картинки нормально цепляются.

[First]

Вопрос.. может быть не в тему..

А почему при апдейте форума на верстю, в которой настройки начали сохранятся в mysql не удалились эти же настройки в старом конфиге?

[DDfans]

raydenEG

с народа вроде какртинки не показываются...

А с народа и не будут они показываться! Мало того, что он перегружен, так они там давно уже установили чекер на запрос от сервера, и если этот чекер засекает другой ресурс в реферере, то картинку не выдает. Это насколько я понимаю борьба с лишнем трафиком (против тех кто оставляет ссылки где попало) и борьба с теми, кто использует народ.ру при получении аккаунта только для склада графики/файлов. Халява - есть халява. Они тоже хотят кушать и имеют права крутить на вас свои баннеры. Попробуйте скачать с него файл. Вы попадете на страницу с ссылкой на файл и еще на всевозможные предупреждения об опасности взлома качаемым файлом и т.д. (впрочем юрисофт уже писал об этом). Вот оттуда она, ссылка, будет качаться, т.к. сам же реферер идет с народа и чекер не блокирует файл/картинку.

Проще говоря картинки с народару будут работать только на народеру.

Надеюсь я все ясно и понятно разъяснил.

urisoft

И в корень кинуть файлик narod.php такого содержания

И эту обманку они обойдут, если еще не успели обойти. Сделают проверку обращения к файлам не только на рефер, а еще и не сам сервер - вот и тем более облом будет. А может уже и сделали так изначально. Я думаю с народом у вас ничего не получится, против них никакой эмулятор на сработает - там что думаете дураки сидят?

loosingar

А какой смысл закачивать аватар на Народ, с которого он потом не будет читаться? Это такой способ самоистязания?

Ну не всеже форумы разрешают иметь собственные аватары. Может у админов места под хостинг мало?

И посоветуй перейти на ньюмейл - оттуда картинки нормально цепляются.

Помимо этого не советую использовать и frontру. Кроме newmailру, еще и by.ru вроде альтернатива. насчет hotboxру не знаю. Да и вообще есть целая куча халявы, но у каждой свои проблемы.

First

Скорее всего, на всякий случай, для отката оставили.

Добавлено в [mergetime]1105088442[/mergetime]

theIggs

То, что со скином форума никак не интегрируется - это ОЧЕНЬ большой минус. Не дай бог человеку иметь на форуме нестандартный скин, получит на несколько дней работы...

Спасибо за сочувствие, именно по этому поводу я так и не решился поставить данный мод. Мне проще Блог купить тогда уж.

[@sms]

urisoft

а можно поинтересоваться

когда планируется

выход отлаженой версии для 2,0

т.е. final!

[loosingar]

Эх, еще бы иметь автоматизацию удаления, или хотя бы инструкцию по корректному удалению этого журнала...

[DDfans]

loosingar

Все предельно просто - инструкция по установке, но только обратно

[First]

А как дела обстоят с RSS экспортом / импортом?

[Anna]

Такой вопрос, если у меня пользователь временно лишен права постить или временно лишен всех прав, то учитывается ли это в дневниках?

[DJ_KISSLOTNIY]

loosingar

дело говриш!

DDfans

оно то понятно что наоборот, но вот с базой-то как быть? Еси форум рабочий, то бекапы как бы не возможны... разве что обьратный запрос, тип drop table вместо insert или как там команді пишуться? я так єто понимаю, но так как с МуСКЛ я только на пользоватеськом уровне знаком, мне не совсем все понятно как єто стделать правильно

[Anna]

Народ жалуется, что создают запись или комментарий, а перед каждым символом кавычек вылазит слеш. Исправите?

[Колючка]

Можно ли запретить создавать Журналы и просматривать их пользователям не написавших хотя бы 100 сообщений?

[Anna]

Вот блин подстава. У меня практически закрытый форум и права группы "на валидации" (ручная у меня стоит) такие же как у гостей. Вот чел заполнил анкету, а его еще не валидовала, а он уже может комменты постить в дневники - это непорядок. Надо центлизованную настройку делать для каждой группы постинг в дневники, ну или хотя бы ограничение по постам, чтобы те, кто на валидации еще постов не написали ни одного - не могли бы постить в дневники тоже.

[wkeeper]

АХТУНГ

межсайтовый скриптинг (XSS)

 

Описание

Возможно выполнение атаки межсайтовый скриптинг. Межсайтовый скриптинг (Cross site scripting или XSS) это возможность вставки HTML кода в уязвимую страницу. Инъекция кода осуществляется через все доступные способы ввода информации. Успешное завершение атаки может привести к использованию значений различных переменных, доступных в контексте сайта, записи информации, перехвату пользовательских сессий и т.д.

 

Запрос для выполнения атаки:

 

GET /forums/journal.php?user=XSS@<xscript>XSS</xscript>.com HTTP/1.0

Cookie: session_id=62338e3e051fc18d75feba73aeeaa0fa; modtids=%2C; forum_read=a:1:%7Bi:32%3Bi:1106061670%3B%7D;

 

Результат работы

<...>

 

</div>

</center>

<br />

<br /><div align="center" class="copyright">[ Script Execution time: 0.1034 ] [ 5 <a style="text-decoration:none" href="http://iisu.ru/forums/journal.php?user=XSS@<xscript>XSS</xscript>.com&debug=1">queries</a> used ] [ GZIP включён ] </div><br /><div align="center" class="copyright">mJournal v2.0pb3 © 2003-2004 by UriSoft & <a style='text-decoration:none' href='http://www.ibresource.ru/' target='_blank'>IBR Team</a></div><!-- Copyri

<...>

 

Решение

Запретить использование этого скрипта или программно исправить ошибку.

 

Ссылки

http://www.cgisecurity.com/articles/xss-faq.shtml

http://www.cert.org/advisories/CA-2000-02.html

http://support.microsoft.com/default.aspx?...b;EN-US;q252985

http://httpd.apache.org/info/css-security/...e_specific.html

Добавлено в [mergetime]1106156349[/mergetime]

ЕЩЕ ЗАПРОСЫ

 

GET /forums/journal.php?list=XSS@<xscript>XSS</xscript>.com HTTP/1.0

Cookie: session_id=62338e3e051fc18d75feba73aeeaa0fa; modtids=%2C; forum_read=a:1:%7Bi:32%3Bi:1106061670%3B%7D;

 

GET /forums/journal.php?show=XSS@<xscript>XSS</xscript>.com HTTP/1.0

Cookie: session_id=62338e3e051fc18d75feba73aeeaa0fa; modtids=%2C; forum_read=a:1:%7Bi:32%3Bi:1106061670%3B%7D;

 

----------------------

Исправляем господа, а иначе полетит к чертям все

[loosingar]

Жестокая подстава... Похоже, переход на IPB CommBlog становится все актуальнее, вот только перенос сообщений будет некоторой проблемкой...

[wkeeper]

да ну, он денег стоит... да и конвертор делать придется, неинтересно..... да и скины здесь вроде интереснее настраиваются, по крайней мере в версии для 1.3

[Колючка]

Подскажи пожалуйста!

Есть 2 группы: Участники и Пользователи.

Пользователи могут пользоваться Журналами, читать их и т.д.

А Участники не могут открывать Журналы и видеть их пока не набурут 100 сообщений.

Недавно произошли эти изменения и Журналы, которые пренадлежат Участникам пропали, но переодически появляются, если его владелец набирает 100 сообщений.

Так как сделать чтобы Пользователи и модераторы видели их Журналы?

А то вдруг кто-то никогда не станет Пользователем, а его Журнал так и будет болтаться неизвестно где... Даже посмотреть его нельзя, не то чтобы удалить.

[NATTO]

wkeeper

А как бороться с этим?

Насчет уязвимости...

[Anna]

wkeeper

 

Еще одна подстава. Это поважнее того, о чем писала я. Надо в срочном порядке исправлять. Куда пропал автор мода - urisoft ?

 

urisoft

Надо наверное сделать внеочередной патч , чтобы устранить эту дыру?

[wkeeper]

То, что я выложил - это отчет .masterhost'a о безопасности моего сайта (они его проверяют xSpider'ом). Воспроизвести эти уязвимости у меня не получилось.. но кто знает, просто так такие письма не шлют

[urisoft]

wkeeper

АХТУНГ

межсайтовый скриптинг (XSS)

 

Установите в админке Debug Level в 0 и никаких проблем не будет.

Точно такие же "дыры" доступны и на самом форуме. Разница в том, что на форуме для гостей это не отображается. Потому и сканер нифига не просекает (он же гостем ходит).

 

Anna

Куда пропал автор мода - urisoft ?

Я не смогу активно участвовать в написании/дискуссии по модам скорее всего еще полтора месяца.

Заранее сорри всем.

 

loosingar

Жестокая подстава... Похоже, переход на IPB CommBlog становится все актуальнее, вот только перенос сообщений будет некоторой проблемкой...

Там точно такие же "проблемы"

[Колючка]

Подскажи пожалуйста!

Есть 2 группы: Участники и Пользователи.

Пользователи могут пользоваться Журналами, читать их и т.д.

А Участники не могут открывать Журналы и видеть их пока не набурут 100 сообщений.

Недавно произошли эти изменения и Журналы, которые пренадлежат Участникам пропали, но переодически появляются, если его владелец набирает 100 сообщений.

Так как сделать чтобы Пользователи и модераторы видели их Журналы?

А то вдруг кто-то никогда не станет Пользователем, а его Журнал так и будет болтаться неизвестно где... Даже посмотреть его нельзя, не то чтобы удалить.

[urisoft]

Колючка

А Участники не могут открывать Журналы и видеть их пока не набурут 100 сообщений.

Как это реализовано ?

[Колючка]

Как это реализовано ?

urisoft, Права доступа к журналам у группы Участники отключены.

На всех 4-х пунктах стоит галочка "Нет".

Нам надо чтобы остальные посетители: Пользователи, Модераторы и Администраторы их журналы видели и могли заходить, но пока их журналы пропали и появляются только тогда, когда хозяин набирает 100 сообщений и становится Пользователем.