(Добавить комментарий)

	gulevich@lj 2008-08-22 08:37 (ссылка)
	а что мешает устранить этот эксплоит? (Ответить) (Ветвь дискуссии)

(Комментарий удалён)

	a_s_t_a_r_o_t_h@lj 2008-08-22 09:44 (ссылка)
	Истину молвите. У жидопрограммистов мозги только под это и заточены. Надо к тирафету уезжать из этого говна. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 10:00 (ссылка)
	который тоже жид, тхагага (Ответить) (Уровень выше) (Ветвь дискуссии)

	a_s_t_a_r_o_t_h@lj 2008-08-22 10:06 (ссылка)
	От жида жида не ищут, так что ли? ТАк у того хотя бы рекламы нема да и с запиливанием блевничков более-менее открыто. Да и запиливали токмо дин раз. (Ответить) (Уровень выше)

	gulevich@lj 2008-08-22 10:07 (ссылка)
	ну про жидов я бы не выражался :) все-таки антону будет неприятно. а про cleanhtml.pl -- я согласен, это позор! (Ответить) (Уровень выше) (Ветвь дискуссии)

	ex_unab0mbe@lj 2008-08-22 18:48 (ссылка)
	ты про это? http://code.sixapart.com/trac/livejournal/browser/trunk/cgi-bin/cleanhtml.pl?rev=13604 (Ответить) (Уровень выше) (Ветвь дискуссии)

	gulevich@lj 2008-08-23 14:25 (ссылка)
	дада именно ну и не говоря уже, что можно было написать что-то свое. попробуй всади упячку в блоггер или вордпресс... (Ответить) (Уровень выше)

	perkylibertine@lj 2008-08-22 14:12 (ссылка)
	по его же словам (Ответить) (Уровень выше)

	senseless_guy@lj 2008-08-22 08:38 (ссылка)
	Ставишь аддоны, которые рекламу и скрипты по желанию вырезают и забываешь напрочь про все это. (Ответить) (Ветвь дискуссии)

	a_s_t_a_r_o_t_h@lj 2008-08-22 09:45 (ссылка)
	Обломись, умничка. (Ответить) (Уровень выше)

	unholy_@lj 2008-08-22 15:40 (ссылка)
	Это не скрипты и не реклама. (Ответить) (Уровень выше)

	exizt@lj 2008-08-22 08:41 (ссылка)
	Как можно было за месяц не исправить эту уязвимость? Удивительная контора, просто удивительная. (Ответить) (Ветвь дискуссии)

	juliy@lj 2008-08-22 08:42 (ссылка)
	тут другим путем уже делается, например (Ответить) (Уровень выше) (Ветвь дискуссии)

	exizt@lj 2008-08-22 08:45 (ссылка)
	А. А ту дыру залатали? (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 08:46 (ссылка)
	как бы да (Ответить) (Уровень выше)

	td_mtu_1500ag@lj 2008-08-24 11:23 (ссылка)
	мне кажется в этом вопросе вам квалифицированный ответ вместе с оценкой всей деятельности СУПа даст Артемий Лебедев. (Ответить) (Уровень выше)

	myronroseff@lj 2008-10-09 11:32 (ссылка)
	Теперь это был не просто свитер - это был Свифтер - универсально быстрый и   комфортный инструмент получать максимальную в истории человечества прибыль,   продавая через электронный магазин единственное в мире средство для повышения   творческой активности человека. (Ответить) (Уровень выше)

(Скрытый комментарий)

	yoksel@lj 2008-08-22 08:46 (ссылка)
	о нём, кросавчеге. (Ответить) (Уровень выше)

	dolboeb@lj 2008-08-22 09:23 (ссылка)
	Не понимаю, на хера публиковать эксплойт. (Ответить) (Уровень выше) (Ветвь дискуссии)

	mkazantsev@lj 2008-08-22 09:39 (ссылка)
	Не понимаю, с хера его не удалять. (Ответить) (Уровень выше)

	a_s_t_a_r_o_t_h@lj 2008-08-22 09:46 (ссылка)
	Ого, хакир-жид. Когда ЦСС эксплойтом стали называть? (Ответить) (Уровень выше) (Ветвь дискуссии)

	panikowsky@lj 2008-08-22 10:41 (ссылка)
	Вы что-то сегодня чрезмерно агрессивны... (Ответить) (Уровень выше)

	arbat@lj 2008-08-22 12:50 (ссылка)
	Возможно, чтобы стимулировать ЖЖ устранить дефект? (Ответить) (Уровень выше)

	aleksandrov_lj@lj 2008-08-22 08:53 (ссылка)
	почините это у себя в супе. (Ответить) (Ветвь дискуссии)

	thomasghadra@lj 2008-10-09 12:02 (ссылка)
	Мужик заказывает себе виски и говорит - А эти двое сами себе закажут. (Ответить) (Уровень выше)

	juliy@lj 2008-08-22 08:55 (ссылка)
	забыл каммент убить: http://dolboeb.livejournal.com/1319794.html?thread=56025202#t56025202 (Ответить)

	ale_chudesnov@lj 2008-08-22 08:56 (ссылка)
	ой, такой "эксплоит", просто жуть какой эксплоит. (Ответить) (Ветвь дискуссии)

	dennisnorton@lj 2008-10-09 11:46 (ссылка)
	Это в СМИ о ней сообщили 10 числа :) Ой наивные. . . Дети просто. (Ответить) (Уровень выше)

	romashov@lj 2008-08-22 09:05 (ссылка)
	пока в супе не поймут, что html - это язык разметки гипертекста, а не оформления комментов - такие ребята будут портить жизнь постоянно (Ответить) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:24 (ссылка)
	оставить <i>, <a href>, <b>, <blockquote> и <img>, остальные в камментах нафиг не нужны (Ответить) (Уровень выше) (Ветвь дискуссии)

	romashov@lj 2008-08-22 09:27 (ссылка)
	причём без всяких атрибутов style (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:28 (ссылка)
	style надо запретить в первую очередь, в style и заключается главная проблема жежешечки в России (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 09:31 (ссылка)
	да-да, и <br>! (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:36 (ссылка)
	жежешечка автоматом ставит, если че (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 09:37 (ссылка)
	я как бы в курсе, но можно же и ручками, и что тогда? (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:40 (ссылка)
	сейчас ручками можно практически все, но зачем делать ручками, если есть автомат? (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 09:41 (ссылка)
	конечно есть я про то, что все дыры всё равно не позатыкаешь (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:47 (ссылка)
	все же растянутый отбивками по высоте комментарий и хуй в говне вместо поста - это две большие разницы (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 09:49 (ссылка)
	это да, первое можно и проигнорировать. Впрочем, своими стилями лечится и это (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:53 (ссылка)
	вот если бы сделали для камментов пользовательский стиль на основе стандартного (в котором мы сейчас общаемся), но с возможностью его менять под себя - цены бы им не было (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 09:55 (ссылка)
	боюсь не дождёмся. В опере и лисе прикручиваются свои стили и получается вот то что вы хотите. Я такое юзаю. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:57 (ссылка)
	я в супру о таком стиле давно просил, да (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 10:01 (ссылка)
	я чо-то не верю в светлое будущее (Ответить) (Уровень выше)

	unholy_@lj 2008-08-22 16:51 (ссылка)
	Только что зашла на форум игрухи своей, там можно юзеров добавлять в списки игнора и тогда их сообщения вам будут не видны в любой теме. Этакий усовершенствованный бан: можно банить для себя кого угодно и где угодно никому при этом не мешая. (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-23 14:41 (ссылка)
	классно, я хотела бы такое (Ответить) (Уровень выше)

(Комментарий удалён)

	juliy@lj 2008-08-22 09:37 (ссылка)
	с отключенным style нельзя (Ответить) (Уровень выше) (Ветвь дискуссии)

(Комментарий удалён)

	pepelsbey@lj 2008-08-22 11:17 (ссылка)
	Старые заморозить, новые добавлять только упрощённые. (Ответить) (Уровень выше)

	ekniga@lj 2008-08-22 09:33 (ссылка)
	Стандартные (безопасные) подмножества html известны. Есть (для систем с "откликами") специализированные коды разметки (ВВ-код, например), которые являются эквивалентом безопасных подмножеств. Всё есть. нет ЖЕЛАНИЯ обезопасить систему. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:37 (ссылка)
	+ (Ответить) (Уровень выше)

(Комментарий удалён)

	ekniga@lj 2008-08-22 09:48 (ссылка)
	Почему нельзя? Безопасное подмножество описывается несложным графом, который, по сути, является блок-схемой программы-фильтра. Применять фильтр можно локально (после нажатия пользователем кнопки "сохранить"... Я понимаю, что это расход серверной мощности, но реноме (на мой взгляд) дороже.... (Ответить) (Уровень выше)

	juliy@lj 2008-08-22 09:48 (ссылка)
	штуки навроде lj-user формируются системой, а речь идет о том, чтобы запретить пользовательский ввод style (Ответить) (Уровень выше)

	avryabov@lj 2008-08-22 10:29 (ссылка)
	про ≶strike> забыл. (Ответить) (Уровень выше)

	dvasnickolas@lj 2008-08-22 11:55 (ссылка)
	<font> и <marquee>, без этого --- никак. (Ответить) (Уровень выше)

	wisegrey@lj 2008-08-22 16:50 (ссылка)
	strike ещё надо оставить. Очень полезно бывает иногда некоторые нюансы передавать (Ответить) (Уровень выше)

	777_77@lj 2008-08-22 09:15 (ссылка)
	...сука извращенцы.... (Ответить) (Ветвь дискуссии)

	szilviaaken@lj 2008-10-09 11:46 (ссылка)
	раки тёлки сука извращенцы. . . Канешна таких лахов мало поэтому тёлке раку постоянно хуёво. (Ответить) (Уровень выше)

	ronnykettering@lj 2008-10-16 23:02 (ссылка)
	раки тёлки сука извращенцы. . . Канешна таких лахов мало поэтому тёлке раку постоянно хуёво. (Ответить) (Уровень выше)

	thomassun@lj 2008-08-22 09:20 (ссылка)
	А еще можно сменить стиль страницы в браузере. (Ответить)

	o_a_l_e_x@lj 2008-08-22 09:23 (ссылка)
	div не запретить что ли никак? ))) (Ответить) (Ветвь дискуссии)

	juliy@lj 2008-08-22 09:25 (ссылка)
	есть еще span а запретить надо style (Ответить) (Уровень выше) (Ветвь дискуссии)

	o_a_l_e_x@lj 2008-08-22 09:29 (ссылка)
	style, да. Протупил я ) (Ответить) (Уровень выше)

	dolboeb@lj 2008-08-22 09:27 (ссылка)
	Запретить-то дурацкое дело нехитрое. Очевидно, хотят сохранить функциональность для нормальных людей. Поэтому коцают по частям. Например, в LJ AddOns, которым многие пользуются, реализовано несколько вариантов форматирования, использующих div, и если его запретить, то порушится разметка многих совершенно нормальных комментариев. (Ответить) (Уровень выше) (Ветвь дискуссии)

yoksel@lj 2008-08-22 09:36 (ссылка)

в данном случае подключается класс имеющийся в стилях жж и задаются запредельные значения ширины-высоты. С первым, наверное, можно что-то сделать, а со вторым непонятно. Блокирование этих параметров только для дива не поможет, и по-прежнему можно будет и без дива обойтись, если чо. Может как-то фильтровать значения высоты-ширины и при превышении каких-то значений их не обрабатывать? (Ответить) (Уровень выше) (Ветвь дискуссии)

	hateev@lj 2008-08-22 11:03 (ссылка)
	Во-во. class оставить, style зарубить. Какая проблема-то? (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-23 14:40 (ссылка)
	а не наоборот? (Ответить) (Уровень выше) (Ветвь дискуссии)

	hateev@lj 2008-08-24 04:59 (ссылка)
	Нѣтъ. (Ответить) (Уровень выше)

	pepelsbey@lj 2008-08-22 11:21 (ссылка)
	Разумнее будет просто запретить с определённого момента времени использовать определённые HTML-атрибуты: class, id, style. Оставив то, что уже было опубликовано, нетронутым. Уже существующего парсера HTML-кода вполне достаточно, а вот полумер, вроде запрета свойства position, явно нет. (Ответить) (Уровень выше) (Ветвь дискуссии)

yoksel@lj 2008-08-22 11:28 (ссылка)

class и id в комментах вообще не должно быть, использовать стили жж смысла нет, а свои не подключишь. А вот style - спорно. С одной стороны, может и по делу пригодится, с другой - это скорее украшательство. с третьей стороны, даже если отключить всю обработку style, всё равно остаётся изрядное количество способов растопырить страницу с комментами совершенно не используя стили (Ответить) (Уровень выше)

	pepelsbey@lj 2008-08-22 11:32 (ссылка)
	Растопырку страницы без использования стилей проще отловить. Например, резать комменты по количеству символов, но прежде — по количеству переносов строк. (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 11:37 (ссылка)
	по количеству символов не канает. Иногда люди общаются длинющими телегами, а чтобы нагадить достаточно строчки кода. перенос строк - да, имеет смысл (Ответить) (Уровень выше)

	pepelsbey@lj 2008-08-22 11:40 (ссылка)
	Нет, чтобы нагадить без стилей нужно оччень много текста — вот и параметр. Ну и не выглядит это достаточно впечатляюще и не мешает читать посты. (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 11:43 (ссылка)
	чтобы нагадить без стилей достаточно много картинок, например. Кода будет меньше чем от колбасы текста. Я уж не говорю про переносы в которых и того меньше знаков (Ответить) (Уровень выше)

	avryabov@lj 2008-08-22 10:38 (ссылка)
	дык и это правится без проблем. <style> - в коментах запрещаест. style= - тоже. нужные стили переносятся в общий стиль. оставляем class= и id= вуаля. (Ответить) (Уровень выше)

	hateev@lj 2008-08-22 11:00 (ссылка)
	Ох ёпрст. ЛЖ-аддон в DOM чо угодно писать может и от того, чего ему сервер отдаёт, мало зависим. Всего-то вопрос стоит в фильтре на форме ввода каментов. Двухсекундный в реализации топорнейший регекс s/(.*?)style="(.*?)"/$1/s - это очень сложно, да. (Ответить) (Уровень выше)

	arbat@lj 2008-08-22 12:52 (ссылка)
	Ну так и оставьте это для платных юзеров и для тех, кто поместил достаточно своих постов, чтобы не выбрасывать свой логин. (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-22 14:19 (ссылка)
	вес журнала (возраст и количество постов) вообще может быть полезной штукой (Ответить) (Уровень выше) (Ветвь дискуссии)

	acaturday@lj 2008-08-23 08:50 (ссылка)
	он не может быть полезной штукой. он уже есть полезная штука. например, флажок над постами появляется только у журналов с определенным возрастом. (Ответить) (Уровень выше) (Ветвь дискуссии)

	yoksel@lj 2008-08-23 14:28 (ссылка)
	я не об этом. (Ответить) (Уровень выше)

	halgifford@lj 2008-10-09 11:56 (ссылка)
	Ru Три месяца назад был снят запрет на ввоз в Украину автомобилей старше восьми лет. (Ответить) (Уровень выше)

	u_no_mi@lj 2008-08-22 10:47 (ссылка)
	Вам не кажется, что во всем этом виноват Тема, ведь к его журналу это все так к лицу. (Ответить) (Ветвь дискуссии)

	quinnhunsaker@lj 2008-10-09 11:49 (ссылка)
	Почему-то это Вы не замечали. А сейчас тоже есть плохое. (Ответить) (Уровень выше)

	lupechancey@lj 2008-10-09 13:19 (ссылка)
	Почему-то это Вы не замечали. А сейчас тоже есть плохое. (Ответить) (Уровень выше)

	serdeles@lj 2008-08-22 11:01 (ссылка)
	У Темы сегодня жаба, поэтому смысла в ?ноаштиэмэль=1 нет. (Ответить)

	salatau@lj 2008-08-22 11:57 (ссылка)
	Гмадлоба. (Ответить)

	arbat@lj 2008-08-22 12:47 (ссылка)
	А нельзя говнюка привлечь? А иксплоит, реально поправить? Сколько нужно на это времени-то? (Ответить) (Ветвь дискуссии)

	romashov@lj 2008-08-22 13:57 (ссылка)
	а к чему его привлекать? неправомерный доступ ни к чему он не получал, например. (Ответить) (Уровень выше) (Ветвь дискуссии)

	perkylibertine@lj 2008-08-22 15:24 (ссылка)
	может какого-нибудь милиционера этот эксплоит обидит? ну, чтобы хоть какая-то польза от этой волны была. (Ответить) (Уровень выше)

	illyn@lj 2008-08-22 15:49 (ссылка)
	… а если доказать, что это спам, окажись он в местах где за спам судят… (Ответить) (Уровень выше)

	arbat@lj 2008-08-22 16:08 (ссылка)
	Ну, скажем, по той же статье, что малевание всяких слов на чужих заборах, - вандализм, defacement чужой собственности и так далее. Кроме того, он неправомерно воспользовался тем доступом, что получил. Я не предоставлял туда доступ для какания. Тоже и в троллейбусе - доступ дают для определенных целей, а не для чего в голову взбредет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	uxxu@lj 2008-08-23 02:36 (ссылка)
	Ха-ха-ха. Быстро из вас либерализм вышибли! (Ответить) (Уровень выше) (Ветвь дискуссии)

	arbat@lj 2008-08-23 08:06 (ссылка)
	Во-первых, не либерализм, а либертарианство. Во-вторых, либертарианство основано на признании права человека на свою собственность, в данном случае - моего права на мой журнал. В-третьих, не знаю, что вышибли из Вас, но, будем надеятся, не остатки мозгов. (Ответить) (Уровень выше) (Ветвь дискуссии)

	uxxu@lj 2008-08-23 08:24 (ссылка)
	От классического либерала aka л-ца я ожидал несколько большего уважения к свободе срать слова. Насчёт собственности вы погорячились, почитайте ToS. (Ответить) (Уровень выше) (Ветвь дискуссии)

arbat@lj 2008-08-23 09:38 (ссылка)

Мое уважение к свободе слова абсолютно. Свобода Вашего слова, однако, не означает, что я обязан Ваши слова публиковать в СВОЕМ журнале. Точно так же как Ваша свобода собственности не означает, что я обязан дарить Вам свою собственность. Свобода предполагает возможность сохранить СВОЕ, а отнюдь не то, что Вам обязаны дать ЧУЖОЕ. Что касается TOS, то это как со съемной квартирой - я не могу ее сломать, перепланировать, сжечь паркет, - но, в остальном, это МОЙ дом. Где я решаю, кому можно срать, а кому нет. (Ответить) (Уровень выше) (Ветвь дискуссии)

	uxxu@lj 2008-08-23 09:56 (ссылка)
	Вы как всегда многословно попали мимо цели. Меня удивляет не желание навести порядок на своей территории, а желание использовать для этой цели фашистскую абьюз-команду. (Ответить) (Уровень выше) (Ветвь дискуссии)

	arbat@lj 2008-08-23 11:52 (ссылка)
	Смысл существования абьюз-команды, на мой взгляд, в том, чтобы пресекать именно подобный абьюз. Для чего я и намерен ее использовать. Еще идиотские замечания есть? (Ответить) (Уровень выше) (Ветвь дискуссии)

	uxxu@lj 2008-08-23 19:54 (ссылка)
	Опять сдулись. Не держите марку! (Ответить) (Уровень выше)

	acaturday@lj 2008-08-23 08:48 (ссылка)
	либертарианство основано на признании права человека защищаать свою собственность. вот и защищайте, а не придумывайте всякий бред. (Ответить) (Уровень выше) (Ветвь дискуссии)

	arbat@lj 2008-08-23 09:39 (ссылка)
	Я и защишаю. Этот журнал - моя собственность. (Ответить) (Уровень выше) (Ветвь дискуссии)

	acaturday@lj 2008-08-23 11:18 (ссылка)
	этот журнал собственность компании сикс апарт. которая от доброты душевной и получения кликов для, соблаговоляет вам его вести. (Ответить) (Уровень выше) (Ветвь дискуссии)

arbat@lj 2008-08-23 11:56 (ссылка)

Их собственностью является сервер, адрес и програмное обеспечение, которое они предоставляют мне для журнала. Журнал - мой. Точно так же как мой дом - это моя территория, несмотря на то, что я снимаю физические стены и пол. И Я принимаю решения, кому можно в нем срать, а кому нет. Довольно простая мысль, чтобы ее нужно было развивать аж в двух комментариях. (Ответить) (Уровень выше) (Ветвь дискуссии)

	acaturday@lj 2008-08-23 12:27 (ссылка)
	Удивительная глупость. Большей ереси давно не слышал. При том что на просторах ЖЖ только за последний год эта тема разжевывалась раз 7 на моей памяти. Вдвойне удивительно, учитывая то, что вы считаете себя либертарианцем. (Ответить) (Уровень выше) (Ветвь дискуссии)

	arbat@lj 2008-08-23 15:20 (ссылка)
	Пожалуйста. Демонстрирую. (Ответить) (Уровень выше)

	rafail@lj 2008-08-22 14:44 (ссылка)
	Это не эксплойт, а стандартные правила языка HTML, согласно которым браузер отображает у вас на странице... ну, то, что он отображает у вас на странице :-) (Ответить) (Уровень выше) (Ветвь дискуссии)

dolboeb@lj 2008-08-23 05:29 (ссылка)

Не говорите глупостей. Браузер отражает на странице то, что отдал сервер. Например, в режиме ?nohtml=1 сервер из одних полей выкусывает HTML, в других оставляет. И в стандартном режиме тоже, если Вы напишете в комментарии тот код с Двача, каким срали в прошлые атаки, его тоже выкусят, а не покажут. Но есть в защите сервера некие лазейки, именно они и используются, и ровно это называется эксплойтом. (Ответить) (Уровень выше) (Ветвь дискуссии)

hateev@lj 2008-08-23 08:39 (ссылка)

Антон, не говорите ерунды, пожалуйста. Браузер отображает то, что ему отдаёт сервер. А сервер отдаёт те каменты, которые отдали ему. Эксплойт - это программа для использования уязвимости какого-то приложения. И здесь нет никакой "лазейки в защите сервера" - здесь банальное недосмотр процедуры фильтрации переменных формы. Вырезать стили надо не при выводе, а на этапе добавления комментариев, из содержимого вот этого самого поля, куда я сейчас набиваю комментарий. С именем commenttext которое. То, как решена проблема сейчас (если вы, конечно, не ошибочно описали ситуацию) - это идиотизм разработчиков. Всё равно, что бумажкой насранное прикрывать, хотя по уму нужно говно убрать и больше не позволять срать. (Ответить) (Уровень выше) (Ветвь дискуссии)

dolboeb@lj 2008-08-23 09:02 (ссылка)

Эксплойт - это программа для использования уязвимости какого-то приложения Совершенно верно. И здесь нет никакой "лазейки в защите сервера" - здесь банальное недосмотр процедуры фильтрации переменных формы. А фильтрация зачем нужна, если не для защиты? Вам не кажется, что даже при самом остром приступе занудства какой-то здравый смысл всё же стоило бы сохранять? Вырезать стили надо не при выводе, а на этапе добавления комментариев В случае, например, постинга в ЖЖ, так оно и происходит. Попробуйте добавить в пост ЖЖ <-- комментарий -->, и при сохранении поста он тут же исчезнет. В какой момент происходит блокирование запрещённых стилевых команд, я не выяснял, врать не буду. Из общей логики, если вводится запрет только на стадии добавления комментариев - он не может иметь обратной силы. Так что все дефейсы, добавленные до запрета, сохранятся в первозданном виде. (Ответить) (Уровень выше) (Ветвь дискуссии)

hateev@lj 2008-08-23 09:42 (ссылка)

Ну зачем ёрничать, фильтрация именно для защиты и нужна, верно. Но в данном случае - защиты не сервера, а браузера. Если на какой-нибудь яндекс.диск выложить зловреднейший троян - это не будет атакой яндекса. Точно так же - это атака не на сервер LJ, а на браузеры посетителей конкретного журнала. Эксплойт - это программа, вы с этим уже согласились. На CSS нельзя писать программ. >Из общей логики, если вводится запрет только на стадии добавления комментариев - он не может иметь обратной силы. Так что все дефейсы, добавленные до запрета, сохранятся в первозданном виде. Ну да, именно так. Но это же абсолютно нормальная практика - проверять данные формы. Это настолько элементарно, что у любого веб-разработчика должно быть на уровне рефлексов by default. Проверять же документ перед выводом - это полный изврат. Это лишний объём в базе данных, это дополнительная задержка отдачи документа, да так никем никогда не делается, в конце-то концов. Если владельцу журнала нужно - он комментарий уберет, это не проблема. Антон, честное слово, проверять на зловредность вывод - это полная фигня и дополнительные сложности. Зачем? (Ответить) (Уровень выше) (Ветвь дискуссии)

dolboeb@lj 2008-08-23 16:32 (ссылка)

Вы феерический зануда. Но в данном случае - защиты не сервера, а браузера В данном случае - защиты, реализованной на сервере. Браузер в защите совершенно не нуждается, ему совершенно пох, какой фон на странице показывать, белый, цветной, или графический. Защищают в данном случае не сервер и не браузер, а автора и читателя дневника - от визуальных помех в общении. И в этой защите, реализованной на стороне сервера, есть лазейки в виде регулярных выражений, которые не догадались фильтровать. Использование таких лазеек и есть эксплойт. О чём мы спорим-то? Ну да, именно так. Но это же абсолютно нормальная практика - проверять данные формы. Вы как-то уже запредельно изобретательно тупите. Данные формы ПРОВЕРЯЮТСЯ. И известные вредоносные regexps блокируются. Но только известные. А неизвестные - не блокируются. Совершенно похуй, в какой момент они блокируются. Та угроза, которая не предусмотрена, не фильтруется. Вот и всё. проверять на зловредность вывод - это полная фигня и дополнительные сложности. Зачем? А почему Вы думаете, что нужно "проверять на зловредность"? Если я в бетонном заборе прорежу внизу дырку 30*30 см, то мне совершенно не нужно стоять рядом и проверять, кто туда пытается пролезть - кошка, собака, ребёнок или взрослый. Я просто спокойно знаю, что кошка и мелкая собака - пролезают, а овчарка, ребёнок и воры - нет. Точно так же можно выдавать тот текст, который сабмиттился как commenttext, в определённом стиле, где есть ограничения на отработку определённых команд или параметров. Не проверка их наличия, а запрет исполнения. Почему это может иметь смысл - я Вам уже объяснил. Беда в том, что Вы просто не услышали. В самом деле, если некий автор журнала постоянно сидит и рефрешит recent_comments.bml, и комментариев к нему падает до 100 в сутки, аккаунт у него платный, а флудер - единственный, то тогда действительно, нажал на Delete, стёр коммент и решил проблему. Немножечко иную ситуацию имеем в реальности. Один только мой журнал атаковали 30 виртуалов, у каждого в профайле - сотни оставленных комментов. Работают они обычно по списку: два моих ЖЖ, drugoi@lj, tema@lj, nevzlin@lj и ещё 50-100 аккаунтов. Срут поочерёдно в разных постах, в том числе и годичной давности. Выкусывать это потом вручную - инструментов нет, даже если б у всех было на это время. Проще не парсить определённую часть HTML-кода в пределах отображения текста комментария, мне кажется. (Ответить) (Уровень выше) (Ветвь дискуссии)

hateev@lj 2008-08-24 06:01 (ссылка)

Антон, мне кажется, или вы хамите? Это как-то несерьёзно и совершенно неконструктивно. >Та угроза, которая не предусмотрена, не фильтруется. Вот и всё. Вот в этом и заключается проблема жежешечки. Грамотно было бы поступить ровно наоборот. Определенный набор разрешить, всё остальное - резать к чёртовой матери, а сделать это проще и логичней именно на вводе. Очевидно же, что множество неведомой ёбаной хуйни неизвестного стремится к бесконечности - тем более, w3c на месте не стоит. Впрочем, поступайте, как знаете. Я предложил - на нет и суда нет. Моя совесть чиста, во всяком случае. (Ответить) (Уровень выше)

	hateev@lj 2008-08-23 08:44 (ссылка)
	Между прочим, фальшивые комментарии (от bukva которые) - ровно те же яйца, даже с той же стороны. И мне до сих пор недоступно - зачем фильтровать ВЕСЬ ДОКУМЕНТ на выводе, когда очень просто вырезать все стили из комментария ещё перед его записью в базу? (Ответить) (Уровень выше)

	rafail@lj 2008-08-23 16:01 (ссылка)
	Ну пожалуйста, ну не надо мне-то бред нести. Лазейка в защите сервера бы была, если бы сервер упал. А так он прекрасно работает, что ему сказали, то и делает :-) (Ответить) (Уровень выше) (Ветвь дискуссии)

dolboeb@lj 2008-08-23 16:38 (ссылка)

Лазейка в защите сервера бы была, если бы сервер упал Вы путаете причину со следствием, Божий дар с яичницей, а форму - с содержанием. Защита на сервере может стоять от чего угодно, не только от взлома или выведения из строя собственно сервера. На сервере может также стоять защита от дурака, от спама, от сабмита неполной формы, от подгрузки вирусов или картинок в 100 мег. Может стоять, как на ЛЖРУ и Яндексе, защита от матерных выражений при выводе топов. Если в защите есть дырка, и её находят и используют, то это и есть эксплойт. Отличительное свойство эксплойта - он перестаёт работать, как только данная конкретная дырка закрывается. (Ответить) (Уровень выше) (Ветвь дискуссии)

	rafail@lj 2008-08-23 21:23 (ссылка)
	О божэ. Короче, я понял ход ваших мыслей. "Дыркой на сервере" вы считаете любой код, который, оказывается, может делать что-то не так, как бы вам лично хотелось. Надо было так сразу и сказать. А то я по наивности полагаю, что дырка — это особенность кода, позволяющая этому коду выполнять действия, запрещенные его документацией :-) (Ответить) (Уровень выше) (Ветвь дискуссии)

	dolboeb@lj 2008-08-23 21:35 (ссылка)
	"Дыркой на сервере" вы считаете любой код You lost me. Перечитайте от того места, где Вы доебались до слова эксплойт. (Ответить) (Уровень выше) (Ветвь дискуссии)

rafail@lj 2008-08-23 22:59 (ссылка)

Заметьте, это вы первый употребили слово "дырка", я лишь попытался разобраться, что вы подразумеваете под оной :-) А доебался до слова "эксплойт" я потому, что возможность нарисовать кучу картинок на странице, на мой взгляд, не есть эксплойт, поскольку возможность вставки картинок в тело комментов a priori предусмотрена сервисом ЖЖ. То, что кто-то их нарисовал "слишком" много (в кавычках, потому что нужно сначала договориться, сколько это), или вставил "чересчур" большую картинку, есть лишь следствие того, что их вообще можно вставлять. Вот если бы кто-то вставил, допустим, жабоскрипт (который нельзя вставлять), замаскировав его подходящим образом, то это бы был эксплойт серверного скрипта, который отфильтровывает жабоскрипт из того, что посылает юзер. Я понятно излагаю мысль? (Ответить) (Уровень выше)

	khagrim@lj 2008-08-23 04:01 (ссылка)
	Вам бы все привлекать. btw, это не эксплойт (Ответить) (Уровень выше) (Ветвь дискуссии)

	dolboeb@lj 2008-08-23 05:30 (ссылка)
	btw, это не эксплойт Поясните, почему. (Ответить) (Уровень выше) (Ветвь дискуссии)

hateev@lj 2008-08-23 08:52 (ссылка)

Потому что не нарушает задуманной работы сервера и не использует никаких уязвимостей безопасности. Всё, что вы видите после такого комментария - рисует ваш браузер. Возьмите ту же оперу или файрфокс и отключите стили на странице - всё будет нормально. Упрощенно говоря - это атака не на сервер, а на браузер пользователя, с использованием абсолютно легитимных возможностей CSS и избыточных возможностей, LJ. Ни в одном нормальном форумном скрипте таких возможностей нет, а вот LJ стили из комментариев не вырезает - ну и сам себе злобный буратин, значит. (Ответить) (Уровень выше)

	licoric@lj 2008-08-22 13:01 (ссылка)
	У Другого в журнале на последних страницах везде заставки с Сакашвили. Коменты новые не оставляются. Этот ваш способ с nohtml=1 у меня не сработал. (Ответить)

	ext_4570@lj 2008-08-22 13:34 (ссылка)
	Кстати, Антон, а с какой стати вы это называете эксплойтом? (Ответить) (Ветвь дискуссии)

	dolboeb@lj 2008-08-23 09:02 (ссылка)
	А что ещё называть эксплойтом, как не использование выявленной уязвимости? (Ответить) (Уровень выше) (Ветвь дискуссии)

	acaturday@lj 2008-08-23 11:23 (ссылка)
	Это не уязвимость. Это использование штатной функции. Уязвимостью это было бы, если б пользователь тем или иным образом получал права ему не принадлежащие. здесь же имело место быть абсолютно законное использование разрешенного кода. другое дело что часть пользователей действительно не сочла эти действия корректными. (Ответить) (Уровень выше)

	_shadow__@lj 2008-08-22 14:37 (ссылка)
	отчего не засуспенжен http://faponator.livejournal.com/ - непонятно. у него в инфо уже 27 комментов (Ответить)

	dao_b@lj 2008-08-22 14:45 (ссылка)
	похоже, у Шендеровича похулиганил faponator у Невзлина they_are_back01 но дело в том, что ваш способ мне не помогает стереть этот фото-коммент в своих уведомлениях/ (Ответить) (Ветвь дискуссии)

	dolboeb@lj 2008-08-23 09:03 (ссылка)
	http://www.livejournal.com/tools/recent_comments.bml В этом представлении стили не отражаются. (Ответить) (Уровень выше)

	rafail@lj 2008-08-22 14:46 (ссылка)
	Я щетаю, надо переходить на usenet :-) (Ответить)

	проблему решил dao_b@lj 2008-08-22 15:07 (ссылка)
	проблему решил кнопкой Delete All на работоспособной странице уведомлений (там, где небыло этого фото-коммента от хакера faponator) P.S. политические пристрастия хакера видны совершенно ясно по его "жертвам" и по картинкам (Ответить) (Ветвь дискуссии)

	Re: проблему решил khagrim@lj 2008-08-23 04:04 (ссылка)
	Хакер? Хулиган, максимум, хотя даже на хулиганство не тянет. Запрещенные-то средства не использовались (Ответить) (Уровень выше)

	venheads@lj 2008-08-22 17:13 (ссылка)
	я у себя просто удалил камент смотрится в профиле/комментариях ищется последний(обычно) пустой камент (Ответить)

	dolboebизм novyiman@lj 2008-08-22 17:17 (ссылка)
	Пиздец, как такую простейшую хрень можно так касячно сделать... Нахуя в камментах вобще форматирование? Для картинок, флэшей сделать спецкоманды. Или эта хуйня через них и происходит(картинки,флэши)? (Ответить) (Ветвь дискуссии)

Re: dolboebизм dolboeb@lj 2008-08-23 09:08 (ссылка)

Пиздец, как такую простейшую хрень можно так касячно сделать... Сделайте лучше, кто ж Вам запрещает? Я понимаю, конечно, что пиздеть - не мешки ворочать, но как-то малость утомляют "экспертные мнения" о простоте задач, которые не Вам решать. Нахуя в камментах вобще форматирование? Действительно. И, кстати, непонятно, кириллица в них нахуя. Массу байт можно было бы сэкономить, перейдя с UNICODE на 7-битную кодировку, пусть пишут транслитом. А если вдуматься, то и комментарии сами низачем. Смешно слышать, ей-Богу. Программеры решают задачу по максимальному сохранению функционала. Довольно хитрые придумывают схемы фильтрации, чтобы не откатываться по функционалу назад. И тут Вы, весь в белом. (Ответить) (Уровень выше) (Ветвь дискуссии)

Re: dolboebизм novyiman@lj 2008-08-23 10:34 (ссылка)

1.Сделайте лучше, кто ж Вам запрещает много раз делал. функционал не терялся. такой хуйни не происходило. +: по желанию заказчика убирался мат и происходило дохуя др. полезных вещей. 2.И, кстати, непонятно, кириллица в них нахуя. Кодировка не имеет никакого отношения к языку разметки. 3.Программеры решают задачу по максимальному сохранению функционала. Кроме как у Вас в комментах (курсив) никто не использует форматирование. Нужны только картинки и флеши. Хотя сделать можно всё, но без вазможности хуярить на сервер коды, ... 4.Довольно хитрые придумывают схемы ... и не придумывать потом схемы, выходящие за рамки хитрости (Ответить) (Уровень выше) (Ветвь дискуссии)

	Re: dolboebизм magistral77@lj 2008-08-23 14:27 (ссылка)
	>Кроме как у Вас в комментах (курсив) никто не использует форматирование. Не еби мозги, парень. И я, и многие другие блоггеры используют всяческое форматирование и вставки в своих комментариях. А вообще, редко встретишь идиотов, которые ратуют за СОКРАЩЕНИЕ функционала. (Ответить) (Уровень выше)

	k_semiruchkina@lj 2008-08-22 19:34 (ссылка)
	Нет-нет, устраните это, пожалуйста! (Ответить)

epic fail yonyonson@lj 2008-08-23 17:43 (ссылка)

По-моему это просто epic fail, что этой глупой дырой до сих пор можно пользоваться. Прекрасно показывает качество сервиса Livejournal и его поддержки. А именно, что сервис и поддержка отсутствуют. От себя добавлю, надеюсь, что этой дырой будут пользоваться много и разнообразно. Надеюсь, что в какой-то момент все основные блоги перестанут справляться с потоком нигр, разнообразного порно и прочих интересных картинок. Может быть она всё же будет закрыта, но надежда мала. Впрочем, меня это не очень сильно волнует. Я уже мигрировал отсюда и призываю всех сделать также. (Ответить)

	captainrasp@lj 2008-08-23 17:53 (ссылка)
	Столкнулся с таким недоброжелателем, с Вашей помощью вылечил. Спасибо :) (Ответить)