Разное

http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=23850&page=1 - посмотрите аттач автора в этой теме.

Открылся в блокноте - в чём дыра? Или вы про то, что IE интерпретирует содержимое текстовых файлов как HTML - это дыра IE, мы к ней отношения не имеем.

А... а htmlspecialchars не спасает ? Это ведь хоть и дыра осла, но автоматически переходит в вашу дыру, дающую возможность использования XSS :) Просто заметил... или JS не выполняется ? (в аттече тест, сорри, интересно просто)

Гы. Ну что, может всё же что-то изобретёте, а ? ;-) Тест на беременность показал красный свет :)))

UPD.: А почему не хотите просто посылать заголовки на автоматическое начала закачки ? (не помню, как они там пишутся)

UPD.2: Вот, кажется: Content-type: application/force-download

HTTP-заголовки посылаются, адекватные браузеры вроде Opera. даже не пытаются сами теперь открыть файл, а передают их операционной системе. К сожалению, IE - это не пробиваемый браузер, тут ничего нельзя поделать - в него заложено слишком большое количество дыр... Это вообще свойство больших корпораций, сотрудники лазят только по своим сайтам, занимаются только внутрикорпоративными делами - в результате продукты сильно оторваны от действительности. Приходится звонить, упрашивать Opera, чтобы она быстрее выпустила браузер под КПК, так как IE пользоваться никто не желает... Поверьте мы сделали все усилия на которые способны (мы владеем сервером и всё в наших руках) - дальше исправить ситуацию может только IE, мы вслед за тех.поддержкой антивирусов и FireWall-ов можем только не рекомендовать использовать Internet Explorer.

Есть идея. Сделайте автоматическое архивирование скриптом форума txt-файлов.

и паролирование его!
или вообще, txt на дискетках распространять!

А есть другие предложения ?

а по-моему - это фишка :))) Давайте все срипты так делать! Просматривать удобнее :))

> Поверьте мы сделали все усилия на которые способны
Неправда ваша, дяденька. Во всяком случае я не верю в такую ограниченность ваших усилий. Делов-то всего: прогоняем файл через htmlspecialchars и сохраняем файл не как txt, а как html. Это уж если совсем способностей на усилия не осталось... А так можно и код подсветить, и строки пронумеровать... да мало ли что... А то получается как в том анекдоте: у нас пули вылетели - проблемы на вашей стороне.

А где анекдот?

Мы сделали все усилия, которые можем себе позволить... При использовании htmlspecialchars() - половина пользователей будут видеть нормальный код, половина, особенно после сохранения на диск - преобразованный... да и глупо фичи браузера перешибать своими фичами... А пронумерованный, подсвеченный, искажённый код, невозможно будет выполнить на локальной машине...

а как насчет

автор: DDK   (03.09.2006 в 00:34)  Есть идея. Сделайте автоматическое архивирование скриптом форума txt-файлов.

Можно в принципе... наверное самое рациональное решение, если файл текстовый его архивировать...

Код можно выводить и textarea, на худой конец. Решения-то можно придумать разные.
Понятно что на своем форуме - хоть трава не расти, но раз уж вы предоставляете данный форум для скачивания, то те кто его скачал вправе, как мне кажется, на минимальную поддержку.

Не рационально выводить в textarea - это любой 100 Кб файл придётся загружать при каждом просмотре темы - решение не годится.

а я не сказал что его надо выводить прямо в теме. Текстовый файл же в теме вы не выводите.

Ну почему же. Цитаты же у вас с подсветкой. И нормально. Copy-Paste и работает. Тема не раскрыта.

А на самом деле, меня больше всего удивляет ваше спокойствие по отношению угрозы XSS-взлома... Ведь при таком раскладе получить хэш пароля - 2 строки JS-кода (может попробуем еще, а ?) Ну а что делать дальше с этим хешем, я помолчу, а то может юных кулхацкеров подцепить.

>что делать дальше с этим хешем, я помолчу
Можете не молчать: в куках хранится незашифрованный пароль. Так что можно начинать ломать - куш будет солидный:(

Вы когда видите незалатанную дыру в Windows вы сами заплатку пишите? :))) Или ходите по домам сообщая об ней? Вы обезопасите себя и своих знакомых и подконтрольные вам машины. Internet Explorer пользоваться не безопасно - воровство cookie - это самое безобидное, что может произойти при его использовании. Максимум, что злоумышленик получит - 3-5 паролей, не много найдётся желающих смотреть в аттач на форуме, а кто смотрит не пользуется IE. Мы тоже думаем как с наименьшими потерями минимизировать снизить эффект от этого чужого глюка, пока ничего подходящего не придумали, пожалуй только принудительная архивация тут поможет.

даешь архивацию!
> найдётся желающих смотреть в аттач на форуме
не верная идея, с таким подходом его (аттач) можно вообще не делать.
> а кто смотрит не пользуется IE.
опять-таки не соглашусь.

.

Я не понимаю, зачем вы вообще храните текст в JS???
Вы ведь его уже один раз выводите! Сделайте примерно так:

<!--         function cit(){             alert(document.getElementById('cit').innerHTML)         }  -->

Только самому тексту надо дать уникальный ID.

Текст будет искажён htmlspecialchars()

Мы ставим фаервол. Это санкция с нашей стороны.

Это аналогично отключению cookie или входу на форум из под серого ника - вы ограничиваете свою сетевую деятельность.

По этой дыре можно сказать: в IE есть настройки: определять тип файла по содержанию или по расширению. По умолчанию установлено: по содержанию. Из этого все проблемы. Можно или попробовать превратить HTML в "текстовый по содержанию" файл (не пробовал), или выдавать предупреждение при загруженном HTML в аттаче о необходимости переключить настройку IE (маленькая страница с пояснением и ссылкой: "Вы уверены, что хотите открыть эту страницу как HTML?")

Или другое очевидное решение: паковать HTML и тексты, похожие на него, в zip.

Ещё 1 способ: открывать HTML аттачей в другом поддомене (attach.softtime.ru)

>в IE есть настройки: определять тип файла по содержанию или по расширению.

Где именно, не подскажете?

Security->Custom Level->Misc.->Open files based on content,not file extension == Enable

DDK: да, поэтому разумнее всего в другом поддомене открывать, без предупреждений.

Надо полагать, в русском варианте "Open files based on content,not file extension" названо "Отображение разнородного содержимого"....
В любом случае, спасибо.
Теперь тексты открываются в сторонке - в phpExpertEditor.

>> или выдавать предупреждение при загруженном HTML в аттаче о необходимости переключить настройку IE

Или, другими словами, выдавать алерт типа: "Граждане, да ваша машина, защищённая пятью FireWall-ами, ломается через аттач, но пожалуйста, будте благоразумны, не делайте этого !" :)))

Это сообщение было подправлено модератором, заметьте. Оригинальный текст в кавычках был немного другой. DDK.