Харесва ми

Направете при ново лично съобщение (бележка) да изскача, мига нещо, не си е работа така. Никакъв \"юзер експириънс\"

на мен лично не ми харесва особено, трудна е навигацията

Не знам новия дизайн колко е нов, ама има елементарни и груби пропуски. Мислех, че HTML енкодингът и форматирането беше оправено от времето когато цяла тема се омазваше от един \"счупен\" цитат или удебелен текст.
Днес пък потребител [B]mobilelook1440[/B] ( http://www.mobilebulgaria.com/forum/f_profile.php?id=194394 ) пусна XSS атака в заглавието на тема:



В резултат (на неизползването на ~ HtmlEncode) браузърът директно се засилва на churchdemo.info който ви кара да свалите някакъв троянец.

Не-санитайзването на инпута е изключително груба грешка и подобни неща на комерсиален сайт са меко казано смехотворни (трагикомични по-скоро, с уклон към трагични). Според мене това е бъг от категорията да си повикате един добър програмист (т.е. не ученика дето е правил този форум), ако трябва и 1000 лв му дайте за 1 час работа и до утре или още днес до довечера да ви го е оправил - като гледам възможностите на форума кода не ще да е много дълъг и сложен.

Не искам и да си помислям, нито да пробвам, какво ли може да ви се инжектира в базата данни, щом от заглавията парзвате директно хтмл...най-вероятно и в съдържанията на постовете ще може да се изпълняват заявки към базата... само ще кажа - потребителите по-добре да са с уникална парола за този сайт, че досега кой знае на колко места е изтекла.

п.с. И да, има някакви турлюгювечи с джаваскрипта, както е писано по-горе преди сума време.

п.п.с. Съвсем приятелски съвет, щото ви харесвам и искам да просперирате и да ви има: изобщо зарежете тая форумна платформа. Очевидно е, че за къстъм изпълнения се искат истински и скъпи програмисти, видимо е, че не сте имали такива при създаването на това нещо.
Интегрирайте един PHPBB ако съвсем не ви се дават пари или някое IPB / Vbulletin / SMF за 100-200 долара или каквото и да е нормално форумно решение - трябва да платите само някой да ви импортне частите от старата база с мненията и евентуално да ви къстомизира оранжево-бяла тема. За няма и 2-3 човекоседмици работа, айде месец. Няколко хиляди лева пряко сили. И форума ще е 100 пъти по-добре от сега и като функции за потребителите, и като сигурност няма да има такива смешни неща, и няма да давате повече и пари за поддръжка - ще има кой да си чисти бъговете и да мисли за ъпдейти.

Това дрисливо хлапе е налегнало сайта възползвайки се че по това време няма модератори и си мисли че се забавлява като го напълни с лайната си (angry)
[Quote]Тема: Не отваряйте темите на mobilelook1440! Вкарва троянци!
Автор: AVKansazov
Дата: 27.04.2014 08:38


Правя го като тема за предупреждение!
Гледам че вече 30-ина човека са се вързали
[Quote]Днес пък потребител mobilelook1440 ( http://www.mobilebulgaria.com/forum/f_profile.php?id=194394 ) пусна XSS атака в заглавието на тема:
...
В резултат (на неизползването на ~ HtmlEncode) браузърът директно се засилва на churchdemo.info който ви кара да свалите някакъв троянец.[/Quote]


Ей, хем глупав хем любопитен човек е българина! Като казах "не отваряйте" и веднага 4-ма натиснаха да видят какво има там
И продължават...
[/Quote]

Мога ли да разбера, дали имам бан или нещо подобно, защото от известно време не мога да пускам мнения? Или сайта ви изисква приемането на рекламни и шпински бисквити, които по дифолт съм блокирал?

Здравейте,

Сайтът не изисква приемане на никакви допълнителни бисквитки и по мойте проверки, нямате наложена забрана за публикуване на мнения във форума.

Моля, напишете ми на лично съобщение IP адреса на компютъра или локацията от където не ви разрешава да публикувате мнения.

IP адреса си можете да видите на адрес: http://www.whatismyip.com

Ипто е същото. Интересното е, че при редакция на мнение проблеми няма. Т.е. ако пусна мнение с 2-3 думи текст и после го редактирам в пълния му размер с линковете и всичко, си го приема.

Подозирам две неща: едното са бисквити/скриптове от проследяващи сайтове, защото съм блокирал такива неща на ниво Хост файл и отделно с Адблок, но вие вече казахте, че не би трябвало да е това.

Другото, което ми идва на акъла е, че нали насколо имаше проблеми - като сте ги оправяли малко да сте предобрили проверките и санитайзването на инпута. И този ефект на уж приет пост, но всъщност да го няма е заради наличие на линкове в постинга и заради тях целия пост да отива в коша. Тази теория ще важи само, ако действително има разлика между процеса на първоначално пускане на мнение и този на редакция, което обаче би било малко странно.

Както и да е, просто исках да кажа какво наблюдавам. Не изключвам вероятността и нещо при мен да е, както казах - не съм стандартен юзер с дифолтните настройки.