ModLabs.net

[MaxiK]

Цитата:

Нафига Владсону шарить в PHP?

истерика случилась....

в общем так, флейм завязываем. админимстрация решит где и когда и зачем "шариться". вопрос закрыт.

[Маузер]

2 ADMINS

Вот патчик, который позволит простому смертному в профиле отключать отображение подписей и аватар.


http://phpbbguru.net/mods/?download&id=19

[Madman]

Цитата:

истерика случилась....

ОФФ: у меня тоже. Блин -я сам виноват, что букву "в" не написал перед "шарить"

[Mr. Anderson]

Маузер
Для тех, кто не в курсе - про патчик мы знаем раньше вашего
А аватары запрещены "до выяснения" кое-каких обстоятельств, а не только (и не столько) из-за проблем безопасности.

[InZaGiTTa]

Жжуть, опять какие-то заговоры мирового масштаба...

[Vladson]

Madman писал(а):

Вроде Vladson РНР шарит.

Причём тут ?

Маузер писал(а):

ИМХО надо админам пошарить оп нету и найти соответсвующие патчи.

А чё им шарить, они одни из первых про него узнали. (только вот реакции не видно)

Mr. Anderson писал(а):

про патчик мы знаем раньше вашего

Но не раньше меня

[Mr. Anderson]

Vladson

Цитата:

Но не раньше меня

Ну давай понтится кто че раньше написал. Ты свое просто раньше выложил - избавил от лишней работы, и на том спасибо.

[Vladson]

Mr. Anderson
А тебе жалко, что я оказался быстрее тебя ?

[Mr. Anderson]

Vladson
Конечно жалко - вон, весь на злобу изошел. Ща ломаю все форумы, где заплатки нет, и баню там тебя. Ибо нефиг

[xruyn]

Летнее обострение....

[MeFiSTiK]

Интересно, а как аватары влияют на безопасность форума?
Единственное, что приходит на ум - так это в файл с расширением картинки написать что-то страшное и после загрузки файла на форум - запустить его.
Хмм... Чушь какая-то!!!

[Mr. Anderson]

MeFiSTiK
Многие знания - многие печали (с)
РТФМ, уважаемый.

[kanapfelka]

Mr. Anderson
покажи где? только конкретнее чем
http://www.phpbbguru.net/

[Mr. Anderson]

kanapfelka
Благодаря всеми любимому и безглючному браузеру ИЕ, всяческая злонамеренная тварь имеет все шансы "скормить" форуму "хакерскую бяку" вместо аватары. Чем это может аукнуться догадаться несложно.
Так доступнее?

Вообще проблема известна давно и мне до сих пор не понятно 3 вещи:
1. почему еще на запатчили ИЕ
2. почему проблема всплыла только сейчас
3. почему это считают дырой phpBB, ведь affected-приложений - тьма. Фактически - это "все под веб", позволяющее закачивать (или отображать "удаленные") графические файлы.

PS:
Если что - на гуру есть пара тем.

[listener]

Mr. Anderson
Проблема лечится элементарно. После того, как закачана картинка, она конвертируется в JPEG. В результате в качестве аватара мы имеем гарантированно картинку. Попутно, можно большие картинки ресайзить. Все.

Касательно патчей к IE. "Система не должна запрещать дураку делать глупости, потому что это запретит умному делать умные вещи". (Никто же не говорит, что SQL-injection - проблема MySQL ?) Правда, с ростом количества дураков про этот принцип вспоминают все реже. Я сам уже откровенно замучился биться с файрфоксом и прочими недобраузерами.

PS. А можешь сказать, не отсылая к phpbbguru: есть к PHPBB SOAP интерфейс? Если да, можно было бы наваять тонкого клиента, и это решило бы проблему с трафиком.

[Mr. Anderson]

listener
Теоретизировать можно до упора, однако лекарства пока так и не нашли...

[kanapfelka]

Mr. Anderson
да спасибо так гораздо понятнее.
теперь всё самовыражение, через подпись,до некоторых пор.
а возможно ли решение, когда аватара не загружается, а как картинка в подписи берётся через ссылку?

[Vladson]

Цитата:

Проблема лечится элементарно. После того, как закачана картинка, она конвертируется в JPEG. В результате в качестве аватара мы имеем гарантированно картинку. Попутно, можно большие картинки ресайзить. Все.

Проблема решается ещё проще, при загрузке проверяется картинка ли это и всё (соответсвующий патч именно для рнрВВ я уже сделал) только вот такое ощущение что есть ещё какая-то дыра (на этот раз именно в IE) о которой мне не говорят и которая якобы позволяет выполнить вредоносный код не загружая её на сервер (но тогда не вижу смысла в отключении аватар, т.е всё это можно провернуть через картинку в подписи, в тексте сообщения и.т.д...)

Одним словом глупости всё это... (ИМХО)

[listener]

Mr. Anderson
А что теоретизировать?

Что сложного в том, чтобы напустить на закачанную картинку

[Vladson]

Цитата:

Про проверку на картинку, сказали, что можно, якобы, создать скрипт с заголовком от картинки

Чушь, IE выдаст ошибку и скрипт не будет выполнен... (проверено)

[listener]

Vladson
Вот-вот. Я ответил то же самое (и даже не поленился проверить).

[Mr. Anderson]

Vladson
Не решается она так. Можешь у Хперта получить ответ на наш баг-репорт, поймешь.
listener
А то, что имага может быть анимированной? А то, что она может заметно потерять в качестве и/или увеличится в размере?
Еще раз говорю - эту проблему не первый день обсуждают, но 100%-действенного решения нет по сей день.
Ждем майкрософта.

[Vladson]

Не решается факт действия скрипта, (это баг IE) но решается возможность его туда загрузить (это баг рнрВВ)

[listener]

Mr. Anderson
Анимированная - да, этот метод не подходит. Здесь нужен ImageMagick
Касательно качества - если оно важно - загружать .gif и записать .gif или просить грузить .bmp если важно качество, и выводить jpeg (чтобы избежать рекомпрессии).

Но, самое главное - мне неясно в чем дыра: изнутри IMG это не работает, а если что-то открывает аватары отдельно (в смысле, делает на них переход) - сам дурак.

[Mr. Anderson]

Vladson
А еще не решается проблема с УЖЕ загруженной авой. Особенно удаленной.
listener
Побудьте суппортером - поймете сколько таких "сам дурак"... В этом-то и проблема.