Online video hd

Смотреть азиатское видео

Официальный сайт hauteecole 24/7/365

Смотреть видео бесплатно

nvbn 29.03.2010 20:46

0byteБекпортированы багфиксы и оптимизации

Исправлена работа блямбы справаИсправлена работа с черновикамиИсправлен rssЗалит эксперементальный оптимизированный вывод группы постовУбарны лишние вызовы geshi


Тэги:
+ 5 -
Похожие Поделиться

stogerc 29.03.2010 21:06 #
+ 0 -
Залит эксперементальный оптимизированный вывод группы постов

Это как?
nvbn 29.03.2010 21:10 #
+ 0 -
Это вывод всех страниц,где возможно >1 поста
digiwhite 29.03.2010 21:12 #
+ 0 -
Я чего-то туплю. Вы могли бы подробнее рассказать? :)
nvbn 29.03.2010 21:14 #
+ 1 -
Был ужасный говнокод по имени post.php, в который с момента создания просто всовывались новые куски. Сейчас я его переписал с нуля.

Этот файл отвечает за вывод главной, блогов, списка постов пользователей, поиска, и постов с определённым тегом.
digiwhite 29.03.2010 21:16 #
+ 0 -
Ааа :) Теперь ясно :)
xT 29.03.2010 21:37 #
+ 0 -
Исправлена работа блямбы справа

что такое блямба справа? и есть ли она слева?!
nvbn 29.03.2010 21:40 #
+ 0 -
Это такая хренать справа для обновления каментов
booley 29.03.2010 22:30 #
+ 2 -
Ты так здорово объясняешь :3
exelens 30.03.2010 09:02 #
+ 0 -
Ты так здорово объясняешь :3

Силён, брат
HTaeD 01.04.2010 13:39 #
+ 0 -
И находится она в #ebaa ))
albibek 29.03.2010 22:29 #
+ 1 -
CSRF так и не убрали ))
booley 29.03.2010 23:56 #
+ -2 -
JAFA?
nvbn 30.03.2010 07:41 #
+ 0 -
Подробней, куда здесь можно пропихнуть xss, чтоб это было уязвимостью?
albibek 30.03.2010 10:52 #
+ 1 -
CSRF не подразумевает, что XSS обязательно должно присутствовать на этом сайте. Можно найти на любом другом из тысячи тысяч и успешно использовать.
nvbn 30.03.2010 11:07 #
+ 0 -
Ну и для всех действий, которым можно так подгадить, используется POST+проверка на пустоту.
albibek 30.03.2010 12:03 #
+ 2 -
POST обходится элементарным javascript. При отключённом javascript существует более 9000 способов заставить пользователя нажать на кнопку.

Не знаю, что Вы назвали проверкой на пустоту, но поля профиля на пустоту не проверяются. Допустим, эта проверка будет в профиле(кстати, не поможет, т.к. ничего не мешает заполнить все поля), но как Вы собираетесь делать её в постах-комментах?

Раз уж Вы напросились на POC, вот вам HTML-страница(срок 1 день, пароль у Вас в личке), которую можно поместить где угодно - локально, на собственном сайте, в виде скрытой формы на странице с полезной информацией и т.п.
ВАРНИНГ: При открытии(и включённом javascript) показывает алерт, а потом зануляет профиль и делает ICQ=111. Единственное требование - быть залогиненным на сайте. Сами понимаете, что может и не занулить, а например прописать свою почту, сменить пароль, а потом разлогинить. Я уже не говорю про возможность тем же способом постить спам что угодно от Вашего имени в блог, комментировать другие посты или открывать закрытые только для друзей.

Советую не изобретать велосипед, а защититься проверенным способом, благо он несложный.
При смене данных профиля, особенно e-mail, неплохо бы тоже спрашивать пароль, а то мало ли кто там что поменять захочет, пока Вас нету :).
nvbn 30.03.2010 12:23 #
+ 0 -
Фак, вечером пофикшу.
albibek 30.03.2010 10:57 #
+ 0 -
Не говоря уже о том, что можно создать свою страницу и любым доступным способом заманить туда пользователей. Например, действительно наполнить её полезной информацией :).
exelens 30.03.2010 14:34 #
+ 0 -
фак, все забаненные разбанились...
nvbn 30.03.2010 15:16 #
+ 0 -
э, этот кусок вообще не менялся

Смотреть онлайн бесплатно

Онлайн видео бесплатно


Смотреть русское с разговорами видео

Online video HD

Видео скачать на телефон

Русские фильмы бесплатно

Full HD video online

Смотреть видео онлайн

Смотреть HD видео бесплатно

School смотреть онлайн