|
ТОМА-АТОМНАЯ
|
Сообщение #55
29 мая 2022 в 08:19
|
Организатор событий 
116 |
Ну если не вернут очки и ники ни в чем не повинным пользователям, это страшный удар по репутации сайта, где пользователь вообще не защищен никак. Попались в основном люди, не часто заходящие на сайт и не знавшие что надо закрывать личку, это немалая масса народу. Игрок, не нашла своего коммента о возвеличивании спамера на стене Соточки. К тому же эти комменты появляются не при нажатии на ссылку, а при открытии письма, а открывают его почти все, так как понятия не имеют, раз там пишут не о жидах, а о защите от них. Практически беспроигрышный вариант. Я все же надеюсь, что мы из этого болота выйдем, но начинать надо с возвращения ников и уведенных очков Последний раз отредактировано 29 мая 2022 в 08:25 пользователем ТОМА-АТОМНАЯ
|
|
Твой_кум
|
Сообщение #56
29 мая 2022 в 09:38
|
Новичок 
1 |
ТОМА-АТОМНАЯ, да... Похоже, что Переборы4 пропал, и всё посыпалось. Он тут несколько лет вывозил всё на своих плечах. Надеюсь, что администрация зашевилится после этого взлома, ну или воскресит Переборы4а.
|
|
jkovalenko
|
Сообщение #57
29 мая 2022 в 11:09
|
Гонщик 
11 |
|
|
Игрок3
|
Сообщение #58
29 мая 2022 в 12:10
|
Организатор событий 
32 |
Интересно... Для тех, кто не знает: спамер отправил сообщение даже от имени аккаунта Даниэль (подтверждается https://klavogonki.ru/vocs/25856/ , аккаунт https://klavogonki.ru/u/#/474104/achievements/ ) ТОМА, да, похоже, это сообщение удалено (про комментарий). Последний раз отредактировано 29 мая 2022 в 12:17 пользователем Игрок3
|
|
Debugger
|
Сообщение #59
29 мая 2022 в 13:17
|
Маньяк 
50 |
Сейчас от имени некоторых пользователей создавались темы в разных разделах. От моего тоже. Не сразу понял, что я мог сделать, чтоб запустить скрипт. Запускается просто при переходе в профиль этого пользователя (не переходите): _http://klavogonki.ru/u/#/709353/
Вероятно, позволено выполнение скрипта на показ элемента.
Я, конечно, понимаю, что проект создавался во времена и на платформе, когда о таком могли не задумываться. К примеру, мне, чтоб позволить подобное сейчас, нужно специально отключить проверку безопасности в санитайзере.
В дозаправке обещано, что когда накопится 300тыс - будет этап разработки. Уже более чем в два раза больше - пора бы.
И ладно бы нужно было серьезно менять структуру для обеспечение безопасности, но добавить простую проверку строк на скрипты - это обычный хот-фикс, которых обычно делается десятки в неделю.
Человеки, серьезно, это же несерьезно (
|
|
ТОМА-АТОМНАЯ
|
Сообщение #60
29 мая 2022 в 13:19
|
Организатор событий
116 |
Игрок, и слава богу, вот только не знаю кто это сделал, я без твоей ссылки даже не подозревала о существовании этих комментов, так что удалить ничего не могла, но сразу побежала искать, но кто-то удалил и слава Богу.
Администрация аккаунт не забанен, так что рассылки еще будут
|
|
ТОМА-АТОМНАЯ
|
Сообщение #61
29 мая 2022 в 13:19
|
Организатор событий
116 |
Debugger писал(а): Сейчас от имени некоторых пользователей создавались темы в разных разделах. От моего тоже. Не сразу понял, что я мог сделать, чтоб запустить скрипт. Запускается просто при переходе в профиль этого пользователя (не переходите): _http://klavogonki.ru/u/#/709353/
Вероятно, позволено выполнение скрипта на показ элемента.
Я, конечно, понимаю, что проект создавался во времена и на платформе, когда о таком могли не задумываться. К примеру, мне, чтоб позволить подобное сейчас, нужно специально отключить проверку безопасности в санитайзере.
В дозаправке обещано, что когда накопится 300тыс - будет этап разработки. Уже более чем в два раза больше - пора бы.
И ладно бы нужно было серьезно менять структуру для обеспечение безопасности, но добавить простую проверку строк на скрипты - это обычный хот-фикс, которых обычно делается десятки в неделю.
Человеки, серьезно, это же несерьезно ( Я и в профиль не заходила просто открыла и почитала и от меня была такая тема с прошлых рассылок еще от Бригад Последний раз отредактировано 29 мая 2022 в 21:47 пользователем Nowhereman42nd
|
|
Debugger
|
Сообщение #62
29 мая 2022 в 13:21
|
Маньяк
50 |
ТОМА-АТОМНАЯ, Так если выволнение скрипта разрешается на показ элемента, то - все равно где его показывать.
|
|
carmero
|
Сообщение #63
29 мая 2022 в 15:21
|
Маньяк 
51 |
Debugger писал(а): Запускается просто при переходе в профиль этого пользователя (не переходите) Да я переходил, ничего не запустилось, но всё равно заблочу-ка и я свою личку от греха подальше... Последний раз отредактировано 29 мая 2022 в 15:40 пользователем carmero
|
|
Коретай
|
Сообщение #64
29 мая 2022 в 15:38
|
Кибергонщик 
40 |
Debugger, а не проще ли поменять пароль к профилю, раз уж все еще от твоего имени пишут всякую хрень?! Последний раз отредактировано 29 мая 2022 в 15:40 пользователем Коретай
|
|
carmero
|
Сообщение #65
29 мая 2022 в 15:38
|
Маньяк
51 |
Debugger, Во, стоило только сделать личку только для друзей, от тебя сразу пришла просьба добавить в друзья.  А что у тебя за браузер (чтобы такой не устанавливать)?.. Последний раз отредактировано 29 мая 2022 в 15:42 пользователем carmero
|
|
Коретай
|
Сообщение #66
29 мая 2022 в 15:40
|
Кибергонщик
40 |
carmero, а кто стоит у тебя на аве, кстате?))
|
|
carmero
|
Сообщение #67
29 мая 2022 в 15:47
|
Маньяк
51 |
|
|
Debugger
|
Сообщение #68
29 мая 2022 в 15:55
|
Маньяк
50 |
X0X0, Пароль к профилю не при чем... carmeroЭто я запрос отправил, хотел обсудить. Просто увидел, что ты написал, что от тебя не оправляет и захотел еще раз попробовать. От меня отправило. Так что решил уже код глянуть, что же оно там делает. То, что я предполагал, что оно на загрузку элемента добавляет скрипт - оказалось ошибкой. Там просто вставляются несколько картинок с адресом типа: _http://klavogonki.ru/forum/general/new/?title=СМЕРТЬ ЖИДАМ&text=Я ЕБАЛ ЖИДОВ В РОТ. SPACESTALKER - МОЙ БОГ!&send=Отправить Сайт делает get-запрос по этому адресу для загрузки картинок, а этот адрес - для создания темы на форуме. Ответа с картинкой, понятно, не получает, потому их не выводит, а новую тему создает. Поэтому и хотел в личке с тобой обсудить - как оно может от тебя не отправлять. И да, опять же, такие действия должны проходить не с GET, а с POST запросом, тогда именно этой проблемы не будет. Последний раз отредактировано 29 мая 2022 в 16:00 пользователем Debugger
|
|
carmero
|
Сообщение #69
29 мая 2022 в 16:13
|
Маньяк
51 |
Debugger, Так у тебя какой браузер? У меня Edge. Может, там запрещены такие фортели? Последний раз отредактировано 29 мая 2022 в 16:18 пользователем carmero
|
|
Debugger
|
Сообщение #70
29 мая 2022 в 16:17
|
Маньяк
50 |
carmero, У меня хром. Но попробовал с Эджа - все равно отправляет.
|
|
carmero
|
Сообщение #71
29 мая 2022 в 16:18
|
Маньяк
51 |
А ещё, может быть, (судя по твоей ссылке) у тебя идёт вход на сайт через http , а у меня жёстко залочен https на всё. Может быть, поэтому...
|
|
Debugger
|
Сообщение #72
29 мая 2022 в 16:23
|
Маньяк
50 |
carmero, Перешел на https - все равно создало.
Давай, может, в личке попробуем найти? Я вроде-бы довольно давно на сайте, чтоб подозревать во мне этого спамера )
|
|
Коретай
|
Сообщение #73
29 мая 2022 в 17:59
|
Кибергонщик
40 |
А разве смена ника не зависит от количества очков на счету?! Некоторые пользователи с пробегом около 200 текстов тоже ходят с этим хреновым ником..
|
|
ТОМА-АТОМНАЯ
|
Сообщение #74
29 мая 2022 в 21:48
|
Организатор событий
116 |
Ребята, всем вернули ваши ники, надеюсь и очки тоже, здорово, но пока не работает личка, сообщения не открываются.
|
