Инфо Чек-лист технических задач по порталу

Тема в разделе "WASM.SITE", создана пользователем Alexey, 23 янв 2017.

  1. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Почему же эта функция не встроена в форумный двиг.. Разрабы его не продумали это, что по мойму маловероятно, скорее всего оно выключено.
     
  2. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    насколько помню, есть. Но бодаться на такие темы бесполезно :)
     
    Mikl___ нравится это.
  3. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Тоесть нет необходимости по какой то причине это включать ?
     
  4. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    редактирование без меток имеет БОНУС..

    1. админы/модеры могут скрывать время и место своей активности.
    ====================
    можно, конечно, заявлять, мол-де ГДЕ СПРАВЕДЛИВОСТЬ и ОТКУДА ТАКИЕ ДВОЙНЫЕ СТАНДАРТЫ??? но я лично на такие глупостя время/силы предпочитаю не тратить ==>> у каждого свой огород и свои посулы/резоны. А коль же, кто реально неправ, -- житуха в основе своей КРАЙНЕ ЮМОРНА И СПРАВЕДЛИВА, тч всё да вся ставит на свои места (дай токма срок).
     
    Mikl___ и TermoSINteZ нравится это.
  5. TermoSINteZ

    TermoSINteZ Синоби даоса Команда форума

    Публикаций:
    2
    Регистрация:
    11 июн 2004
    Сообщения:
    3.553
    Адрес:
    Russia
    Вы слишком близко к сердцу все ставите
    Наводящие вопрос
    На каком форуме реализовано все иначе? Где админы не имеют права редактирования, где посты подписываются и сразу отправляются в бд без права их модификации и тп

    В общем то UbIvItS, все написал по делу. Будьте проще.
     
    Mikl___ нравится это.
  6. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    kero, помойму он сейчас приатачен к теме. если не так то скинь мне его в лс. А ошибки если не выводятся можно заглянуть в консоль браузера и во вкладку запросов.
    Indy_, я помню все и ничего не забыл. делаю в той последовательности в которой хочу. времени сейчас нормально нет. функциональность я не отключал, она есть но только для модеров. нужно будет покопаться в коде и включить историю для всех. уверен, никто не заинтересован в фальсификации ваших сообщений. это паранойя.
     
  7. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Alexey,

    Нет, это не паранойя. Вы не подумали что означает многократная утечка базы васма ?
    В акки левых людей заходила толпа людей. Я тоже заходил в пару, редактировал посты, восстановил к примеру некоторые акки когда утёк акк Грейта и удалил некоторые сообщения одного вредного человека..
    Есть есчо причины, не буду их описывать. Даже принципиально это полное отсутствие защиты от подобного.

    Почему Аквила удалил ресурс знаете ?
    - Один известный человек начал рандомом писать из под левых акков.
    По мойму при поднятии этого ресурса следовало бы эту ситуацию подробно рассмотреть и реализовать защиту. Вы же до сих пор сомневаетесь в этой необходимости и уверяете меня что никто в чём то не заинтересован.. :)
     
  8. kero

    kero Модератор SOURCES & 2LZ Команда форума

    Публикаций:
    0
    Регистрация:
    4 апр 2006
    Сообщения:
    1.074
    Адрес:
    Москва
    Alexey, привет!
    Да, сейчас он приаттачен, - переслал через Mikl___ ...
     
    Последнее редактирование: 1 июл 2017
  9. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    взлом акков == несколько иному случаю..

    1. либо дырки в скриптах.
    2. либо заведомо слабые пароли, кои легко ломаются по словарю.
     
  10. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Но так ведь причина взлома не существенна, но она вероятна. Может это потекла база, может её намеренно слили, может модеры слили или быть может это хак, всё это возможно. Отсутствие защиты от этого после серии таких утечек даже не знаю как назвать.. может намеренное ограничение по рецидиву, кто же знает.
     
  11. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    Indy_, при правильных настройках сливы бд чрез сеть могут носить лишь крайне минорный характер..

    1. устанавливаем время и скорость коннекта для юзерЬА к бд. например, время == 4с, а скорость == 10кбит. Даже при удачном сикуль инжекте едва удастся унести инфу даже на один акк.
    2. ограничение времени работы скриптов.
    3. скрипты, получающие данные напрямую от внешнего юзвуря, должны работать в режиме ограниченных прав.
    4. любая попытка скана (опрос портов, посылка случайных данных, попытка доступа к сис директориям..) должна лечиться временной блокировкой ипа.
    5. детекты инжектов разного рода тоже должны приводить к временной блокировке атакующих ипов.
    6. скрипты - ловушки могут применяться, если требуется немножко задержать хакЭра и пощупать откедова он могет быть.
    7. заведомо опасные ипы могут полностью блокироваться иль режут им осетра на скорость.
    ==============
    хммм.. это не все методЫ. но даже части из них вполне достаточно, дабы злостные Х@kЭрЪЫ не утянули бд и/иль не нанесли фатальный ущерб директориям.
     
  12. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    То что вы описали - механизмы защиты и они второстепенны. Если бы была фундаментальная защита в виде настроек скрипта, то не нужно было бы вдаваться в подробности этих механизмов защиты. А есчо не следует забывать что это всё скрипт и куча ошибок в нём может отменить и предложенные методы защиты как и все другие возможные. Защита так не строится, она залаживается в архитектуру, а не фиксится налету по мере поступления багов.
     
  13. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    эти механизмы говорят нам простую ВЕЩЬ: если база сливается, значит её сливают конкретные люди с рут доступом :crazy::grin: а руту получить неким зЪлОоБЪным }{¥K€ⓇAMЪ из внешки физ. НЕВОЗМОЖНО :)
     
  14. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Как же невозможно, если даже км нэйтив сетевые драйвера уязвимы, что можно говорить про скрипты.

    К примеру редактирование работает в течении некоторого времени, 5 минут. В течении этого времени можно получить доступ и изменить данные. Потом эта функция будет блокирована таймером и данные криптованы. Так должно быть реализовано редактирование постов. Что бы из базы их невозможно было достать.
     
  15. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    даже если скрипт дырявый, (к примеру) 20с его работы Погоды не сделают + к рутовым скриптам (при нормальной настройке) прямой доступ из внешки получить нельзя.
    редактирование не имеет постоянного коннекта с сервачом.. там коонект устанавливается при исполнение конкретных операций..

    1. начать редактирование.
    2. сохранить.
    3. завершить сессию.
    ==================
    на каждую операцию едва ль 10с понадобится. А время меж операциями мб любое, хотя (конечно) по тем иль иным соображениям оно мб урезано.

    нет, для каждого поста должна генериться хэш-сумма и посылаться на мыло/мобилу юзверя. Тогда == Да, подделать пост даже с рутой будет крайне проблематично.
     
    Indy_ нравится это.
  16. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    Спасибо за обьяснение, но я в скриптах не шарю, если бы он был ядерным.. :blush2:
     
  17. UbIvItS

    UbIvItS Well-Known Member

    Публикаций:
    0
    Регистрация:
    5 янв 2007
    Сообщения:
    6.241
    я, вообще, ни в чём не шарю, потому и живой:skull::hunter::secret::crazy:
     
  18. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    UbIvItS,

    В самом деле я не понимаю тех деталей скриптов. Думаю вы должны знать мою специфику и интересы. Я могу исходить лишь из общих соображений в обсуждении на эту тему. То что вы написали про тайминг - это нужно знать как работает скрипт что бы понять; я это не знаю.
     
  19. Alexey

    Alexey Инициативный

    Публикаций:
    1
    Регистрация:
    28 сен 2002
    Сообщения:
    271
    По особым заявкам:
    1) Просматривать историю изменения любых форумных постов включается в настройках
    2) Просматривать логи действий модеров касательно вас здесь
    Если вы обычный пользователь то врятли стоит тратить на это время. Модеры толковые люди и если что-то делают то скорее всего так надо. Надеюсь это не станет поводом провокаций)

    пс фичи доступны всем кроме новичков (от 30 постов и 30 дней реги)
     
    yashechka, Indy_, sniper и ещё 1-му нравится это.
  20. Indy_

    Indy_ Well-Known Member

    Публикаций:
    4
    Регистрация:
    29 апр 2011
    Сообщения:
    4.775
    Alexey,

    Отличная фича, спасибо!

    Вот только есть сомнение на счёт самого лога. Его может редактировать модер ?