|
| |
|
|
| |
для: Киналь
(10.04.2006 в 21:31)
| | | >>Можно в тот момент, когда пользователь прописывает URL к
>>внешнему источнику аватара, загрузить его в GDLIB и
>>сформировать локальную копию картинки. Можно даже
>>периодически дергать этот URL запросом HEAD на предмет
>>обработки обновлений аватара.
>
>Так я и говорю - проверять.
Нет, не для проверки, а чтоб сохранить локальной копией (именно копией изображения, не файла!) и затем подставлять в (img src=) на место аватара. | |
| |
|
|
| |
|
|
| |
для: Trianon
(10.04.2006 в 21:15)
| | | >Можно в тот момент, когда пользователь прописывает URL к
>внешнему источнику аватара, загрузить его в GDLIB и
>сформировать локальную копию картинки. Можно даже
>периодически дергать этот URL запросом HEAD на предмет
>обработки обновлений аватара.
Так я и говорю - проверять. Но тогда нужно подделываться под браузер, иначе получим редирект на картинку вместо скрипта. но, опять же, на каждую хитрую гайку есть свой болт с левой резьбой=)
>Но в принципе, это не тот вопрос. Это вопрос доверия к
>пользователям.
Вот-вот! Сначала - социальная инженерия, а потом прочая=) | |
| |
|
|
| |
|
|
| |
для: Киналь
(10.04.2006 в 21:09)
| | | Можно в тот момент, когда пользователь прописывает URL к внешнему источнику аватара, загрузить его в GDLIB и сформировать локальную копию картинки. Можно даже периодически дергать этот URL запросом HEAD на предмет обработки обновлений аватара.
Но в принципе, это не тот вопрос. Это вопрос доверия к пользователям. Не лроверяешь - не давай цеплять картинки вообще. А аватары только из списка одобренных. А одобрение - за деньги :)) | |
| |
|
|
| |
|
|
| |
для: Trianon
(10.04.2006 в 19:23)
| | | >Кроме того, портал может не дать применить внешний URL для
>аватара, а заставить загрузить локальный.
Это-то конечно=) А статистика - ну там ip посетителей, еще чего-нибудь... Да и в любом случае грузить черт-те какой скрипт неприятно:)
//-----------------
Проверить, картинка ли это - насколько я знаю, невозможно; ну или сложно. Если даже делать контрольный запрос к этой картинке, то это можно вычислить хотя бы по юзер-агенту, или по другим характерным заголовкам. В этом случае скрипт переадресует на картинку, и все.
Если же речь о файлообменнике, то можно (и даже, наверное, нужно) проверять антивирусом, типа как на mail.ru. Правда, для этого нужен свой сервер или добрый хостер=) | |
| |
|
|
| |
|
|
| |
для: Trianon
(10.04.2006 в 20:32)
| | | Нет это я понял,
А вдруг форум файловый, а вдруг кто нибуть закачает туда, чтонибуть не хорошое | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(10.04.2006 в 19:45)
| | | То, о чем говорим мы с Киналем - это не код. Это картинка, просто она качается со стороннего сайта. | |
| |
|
|
| |
|
|
| |
для: Trianon
(10.04.2006 в 19:23)
| | | А нельзя ли какими нибуть выражениями просто вычислить что та код и вырезать его или запретить доступ? | |
| |
|
|
| |
|
|
| |
для: Киналь
(10.04.2006 в 19:08)
| | | Кроме того, портал может не дать применить внешний URL для аватара, а заставить загрузить локальный. | |
| |
|
|
| |
|
|
| |
для: Киналь
(10.04.2006 в 19:08)
| | | Каким образом? ему же кукисы не передаются. | |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(10.04.2006 в 09:46)
| | | Полагю, речь об XSS. Насколько я знаю, защититься от этого невозможно - на стороннем сервере размещается скрипт под именем avatar.jpg и указывается в качестве аватара. Каждый, зашедший на форум, грузит эту картинку, а с ней и скрипт. Скрипт, как минимум, собирает статистику посетителей. | |
| |
|
|
|
