Атака и оборона

Aug. 22nd, 2008 03:34 pm
dolboed: (0kozel)
[personal profile] dolboed
Несколько минут назад началась очередная атака с эксплойтом в комментариях в нескольких известных журналах.
Хотя атакует пока что не орда, а один говнюк-флудер-одиночка, ничто не мешает ему опубликовать найденную уязвимость там, где её подхватят.
Или самому засрать сотни записей, используя боты.
Посему напоминаю, как это лечится.
Если Вы зашли в некий пост, а там ничего не видно, кроме повторяющейся картинки, припишите к адресу ?nohtml=1
Например, вот так:
http://tema.livejournal.com/155475.html?nohtml=1
Из поста и комментариев при этом пропадут картинки и разметка текста, но сохранится возможность читать и комментировать.
А владельцам журналов будет проще находить и удалять художества.
Tags:
  • Add Memory
  • Share This Entry
Page 1 of 5 << [1] [2] [3] [4] [5] >>
Threaded | Top-Level Comments Only

Date: 2008-08-22 11:37 am (UTC)
From: [identity profile] gulevich.livejournal.com
а что мешает устранить этот эксплоит?

Date: 2008-08-22 11:38 am (UTC)
From: [identity profile] senseless-guy.livejournal.com
Ставишь аддоны, которые рекламу и скрипты по желанию вырезают и забываешь напрочь про все это.

Date: 2008-08-22 11:42 am (UTC)
From: [identity profile] juliy.livejournal.com
тут другим путем уже делается, например

Date: 2008-08-22 11:46 am (UTC)
From: [identity profile] yoksel.livejournal.com
о нём, кросавчеге.

Date: 2008-08-22 11:46 am (UTC)
From: [identity profile] juliy.livejournal.com
как бы да

Date: 2008-08-22 11:53 am (UTC)
From: [identity profile] aleksandrov-lj.livejournal.com
почините это у себя в супе.

Date: 2008-08-22 11:55 am (UTC)
From: [identity profile] juliy.livejournal.com
забыл каммент убить: http://dolboeb.livejournal.com/1319794.html?thread=56025202#t56025202

Date: 2008-08-22 11:56 am (UTC)
From: [identity profile] ale-chudesnov.livejournal.com
ой, такой "эксплоит", просто жуть какой эксплоит.

Date: 2008-08-22 12:05 pm (UTC)
From: [identity profile] romashov.livejournal.com
пока в супе не поймут, что html - это язык разметки гипертекста, а не оформления комментов - такие ребята будут портить жизнь постоянно

Date: 2008-08-22 12:15 pm (UTC)
From: [identity profile] 777-77.livejournal.com
...сука извращенцы....

Date: 2008-08-22 12:20 pm (UTC)
From: [identity profile] thomassun.livejournal.com
А еще можно сменить стиль страницы в браузере.

Date: 2008-08-22 12:23 pm (UTC)
From: [identity profile] o-a-l-e-x.livejournal.com
div не запретить что ли никак? )))

Date: 2008-08-22 12:23 pm (UTC)
From: [identity profile] dolboeb.livejournal.com
Не понимаю, на хера публиковать эксплойт.

Date: 2008-08-22 12:24 pm (UTC)
From: [identity profile] juliy.livejournal.com
оставить <i>, <a href>, <b>, <blockquote> и <img>, остальные в камментах нафиг не нужны

Date: 2008-08-22 12:25 pm (UTC)
From: [identity profile] juliy.livejournal.com
есть еще span

а запретить надо style

Date: 2008-08-22 12:27 pm (UTC)
From: [identity profile] dolboeb.livejournal.com
Запретить-то дурацкое дело нехитрое.
Очевидно, хотят сохранить функциональность для нормальных людей.
Поэтому коцают по частям.
Например, в LJ AddOns, которым многие пользуются, реализовано несколько вариантов форматирования, использующих div, и если его запретить, то порушится разметка многих совершенно нормальных комментариев.

Date: 2008-08-22 12:27 pm (UTC)
From: [identity profile] romashov.livejournal.com
причём без всяких атрибутов style

Date: 2008-08-22 12:28 pm (UTC)
From: [identity profile] juliy.livejournal.com
style надо запретить в первую очередь, в style и заключается главная проблема жежешечки в России

Date: 2008-08-22 12:29 pm (UTC)
From: [identity profile] o-a-l-e-x.livejournal.com
style, да. Протупил я )

Date: 2008-08-22 12:31 pm (UTC)
From: [identity profile] yoksel.livejournal.com
да-да, и <br>!

Date: 2008-08-22 12:33 pm (UTC)
From: [identity profile] ekniga.livejournal.com
Стандартные (безопасные) подмножества html известны. Есть (для систем с "откликами") специализированные коды разметки (ВВ-код, например), которые являются эквивалентом безопасных подмножеств.
Всё есть. нет ЖЕЛАНИЯ обезопасить систему.

Date: 2008-08-22 12:36 pm (UTC)
From: [identity profile] yoksel.livejournal.com
в данном случае подключается класс имеющийся в стилях жж и задаются запредельные значения ширины-высоты.
С первым, наверное, можно что-то сделать, а со вторым непонятно. Блокирование этих параметров только для дива не поможет, и по-прежнему можно будет и без дива обойтись, если чо. Может как-то фильтровать значения высоты-ширины и при превышении каких-то значений их не обрабатывать?

Date: 2008-08-22 12:36 pm (UTC)
From: [identity profile] juliy.livejournal.com

жежешечка автоматом ставит, если че

Date: 2008-08-22 12:37 pm (UTC)
From: [identity profile] juliy.livejournal.com
с отключенным style нельзя

Date: 2008-08-22 12:37 pm (UTC)
From: [identity profile] juliy.livejournal.com
+
  • Add Memory
  • Share This Entry
Page 1 of 5 << [1] [2] [3] [4] [5] >>
Threaded | Top-Level Comments Only

Profile

dolboed: (Default)
Anton Nossik
Disclaimer !!!

April 2017

S M T W T F S
       1
23 45678
9 10 11 12 13 14 15
16 17 18 19 202122
23 24 25 26 27 2829
30      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 17th, 2026 10:24 am
Powered by Dreamwidth Studios