kísérlet jelleggel a felhasználók adatlapjára betoltam az utolsó 50 hozzászólásukat, tesztelgessétek légyszi azt se bánnám, ha jeleznétek, hogy tetszik-e, van-e értelme, van-e rá szükség, stb.
az üzenetek listája picit pimpelve lett, 25 helyett 50 üzit láthattok, és bekerült a fejlécbe egy "mindent kijelöl" checkbox
Sikerült törölni. :) Rákattintottam az utolsó olvasatlan hozzászólás linkre, odaugrott, majd ezt követően próbáltam ki a kedvencekből való törlést. Így működött. :) Kb 2500 olvasatlan HSZ-em volt abban a topikban.
Érdekes, nálam itt nem működik (más topikoknál jó), a hiba oldal töltődik be kattintáskor:
Eltűnt :( Bocsánat, de az általad keresett tartalom nem található. Ez az alábbi okok miatt lehet:
Hellóóó!! Lehet már irták elöttem,nem fogok visszalapozni,de miért nem irja ki hogy jött új üzenet?? Még jó hogy máshol figyelmeztettek hogy küldtek privit,és kettő is volt amit közben küldtek.
üzenet csatolmányok nem működtek.. hát fingom nincs mióta, mindenesetre: - már működnek - a régi üzenet csatolmányok elvesztek
ez a hozzászóláshoz képfeltöltés? nálam még kifagyogat és többször szúrja be a képek kódját a hozzászólásba
ok, de ez akkor lenne érdekes, ha egy dologról beszélünk azt megmondtam, hogy nem vagyok google munkatárs, nem tudok webkitet se fejleszteni, ez így is fog maradni
Nah, van egy olyan is, hogy feltöltök képet, első, ok második, harmadiknál szürkévé válik az egész oldal és kifagy az egész SG (Firefox) de van olyan is hogy első kép feltöltésénél azt írja hogy üres üzenet nem küldhető, pedig csak a képet töltöttem fel
Meg a régi politikát is, meg sok mindent. Az egész kereső újraírása tervben van, előbb-utóbb sor kerül arra is.
A kereső kidobja a szemétdombra helyezett topikokat is.
Mind1, ezt az új üzenet értesítő dobja:
Mixed Content: The page at 'https://sg.hu/forum/tema/1019331381' was loaded over HTTPS, but requested an insecure script 'http://www.sg.hu:32141/?callback=_resp&id=1019331381&max=350761&_=1454360594875'. This request has been blocked; the content must be served over HTTPS.
Címsávban, a bookmark mellett jelenik meg ez az ikon. (Bár a "load unsafe scripts" sem segít úgy tűnik.)
Ugyanezt tapasztalom én is, hogy valami megfoghatja meg chromeot használva a képeket, mert már mindent töröltem, volt reinstall is, de még mindig chromemal lassan vagy egyáltalán nem, vagy csak trükközve (hozzászólás száma ki, külön megnyitva, sok újra után) jeleníti meg a képeket (sem spoilerre kattintva, sem magában), más böngészővel meg igen. (szűzinstallal sem, semmi bővítmény) Utoljára szerkesztette: AnuluWork, 2016.02.01. 06:17:13
Plusz egy mozdulat az SG-t fehérlistára tenni a reklámblokkolóban - olyan sok minden nincs is itt, ami miatt egyáltalán dolgoznia kellene, főleg a fórum oldalakon.
uBlock Origin alatt jó minden
Egyedül a twitter képek nem szoktak betölteni, de az meg szerintem valami másik addon miatt van. De ezzel az SG nem nagyon tud mit kezdeni :D Utoljára szerkesztette: SzirmosSzisza, 2016.01.31. 11:50:53
máris megyek a google irodámba és fejlesztem a krómot nálam egyébként megjelennek ugyanezzel a krómmal, bővítmények ilyesmik rendben? azon kívül hogy nem jelenik meg, tudsz mondani valami konkrétat is? konzol log?
Google Chrome 48.0.2564.97 verzió. Tegnap óta egy kép se jelenik meg egyik topikban se.
Pontatlanul fogalmaztam, a kijelölés menete az ami macerás egérrel... úgy emlékeztem, hogy régebben volt olyan lehetőség, hogy az adott oldalon lévő üzeneteket egy kattintással ki lehetett jelölni, aztán törölni.
A Tab -> Space működik, és egy fokkal kényelmesebb mint egérrel kijelölni. Köszönöm!
Egy képernyőre valót tudsz egyszerre törölni, ha jobb oldalt kijelölöd mindet, és lent rányomsz a törlésre. A kijelölés gyorsabban mehet, ha az elsőre rányomsz, majd a Tab gombbal léptetsz, a Space-el kijelölsz (remélem ez működik minden böngészőn)
A privát üzeneteket (alaposan felhalmozódtak) tényleg csak egyesével lehet törölni, vagy én nem vettem észre valamit?
holnap napközben átállunk php7-re, várhatóak problémák, leállások, nem működések, csúnyaságok ha észrevesztek ilyet, és épp lehetséges postolni (), ide írjatok légyszi, köszönöm
ahol egyébként borítékolható, hogy parák lesznek, az a mobil oldal, erre figyeljetek, ha tudtok Utoljára szerkesztette: j0nNyKa, 2016.01.19. 18:04:49
A FB nagyon erősen elszívja a népeket. A magánemberek inkább ott posztolnak és társalognak, a cégek ott nyomják a marketinget és tartják a kapcsolatot. Egy egyéni honlap sokkal jobban személyre szabható és messze jobbak a technikai lehetőségek, de úgy, ahogy a tévéműsoroknál, itt is dúl az igénytelenség. Ahogy egy öreg zenész megénekelte: meleg a sör, de nekünk így is jó.
Igaz, de nem mindenhol és nem ilyen mértékben. Sok más oka is van ennek, írtam is hogy ez csak részben felelős. Az oldal vezetősége meg majd eldönti fontos-e nekik visszafogni ezt a jelenséget, vagy inkább rásegítenek egy kicsit.
Én úgy vettem észre, hogy nem csak az Sg fórumának, de sok más nagy fórumnak (úgy magyarhonban, mint külföldön) megcsappant a látogatottsága. Most vagy nekik is az Sg fórumhoz hasonló technikai jellegű problémáik vannak, ami miatt kiábrándultak a felhasználók, avagy totál független ettől a látogatottság csökkenése, és az okok inkább az alternatív szociális lehetőségek (első sorban Facebook) elterjedésében keresendők.
Értem én, nekem sincs túl sok időm meg kedvem szabadidőmben ilyenekkel foglalkozni. :D Engem egyébként annyira nem zavar. Nem vagyok túl aktív, a belépés sem gond nálam. De az SG látogatottsága érezhetően megcsappant, ez részben az ilyen dolgok miatt van. Mikenak meg van egy sajátos stílusa, de marhára igaza van. Kár volt magadra venned, amíg ez neked egy hobbiproject addig nem vagy felelős megoldani ezeket. De ettől még van probléma, ezt próbáltam érzékeltetni.
(CORS meg kinyírna sok dolgot, de az aktív témákban hamar rendeződne, a többi meg úgysem számít. Valamit valamiért. Kis áldozat lenne, minimális módosítással minden mehetne ahogy előtte.)
az a bajom ezekkel, hogy a nem létező időmet kéne rászánni valamire, ami - "csak" téged érdekel (no offense, de tényleg) - rontana valamilyen szinten a felhasználói élményen, CORS pl kinyírna jópár fejléc scriptet nem látom, hogy miért érné meg
meg ami egy nagyon erős érvem, hogy az sg alatti kód egy okádék, képzelj el (nem túlzok!) egy teljesen kezdő php fejlesztőt, ahogy saját keretrendszert ír, és az alá átportol egy tizenX éves kódot, de csak a felét, a másik felét (mobil oldal, hírlevél, akadálymentes, stb) egy az egyben megtartja namost ebben nagyon szép romantikus kép az, amit leírsz, de egyébként hamarabb kaparom ki a saját szemem
Üdv, a fórum headerben becsúszik a tartalom mögé az a rész, ahol az üzenetre hívja fel a figyelmet, így napokig nem vettem észre, hogy írt valaki.
A bekarikázott rész az:
Win 10, legújabb FF
Az XSS elleni védelem is fontos dolog, bár én rosszul írtam először mert a scriptek jártak a fejemben. Viszont a CSRF látszólag semmilyen módon sincs kezelve, így pedig jóformán ugyan azt el lehet érni mint amire a védelem megszületett. Csak itt még az IP ellenőrzés és társai sem működnének. Ha gondolod tudok küldeni privátban egy példát, elég beteg dolgokat lehet művelni ezzel a felhasználó becsapása nélkül is.
Minden esetre a lentieket fontoljátok meg. Megoldható lenne a rendes bejelentkezve maradás a scriptek mellett is. Elég nagy segítség lenne a felhasználók megtartásában. Nyilván a lentiek csak ötlet kezdemények, a végső megoldást át kell gondolni, kezelni kell pár kivételt, stb. Alapvetően viszont egy csomó szabványosított lehetőséget fel lehet használni, csak össze kell legózni. Például új ötlet: CORS. Szimplán kontrolláljátok a külső helyekre mutató forgalmat. Saját célra itt is lehet kivételeket beállítani, és az egész csak egy header csatolásából áll.
xss ellen óriási foltok voltak, főleg az akadálymentes és a mobil oldalakon, ezeknek a foltozgatásába nem 1 meg nem 2 napot toltam bele konkrétan volt olyan hetem hogy ötszáz valahány sql parancsot írkáltam át 50-60 fájlban
hogy maradt-e ilyen? biztosan. kukázni kéne az egész kódot, de arra kinek van ideje meg pénze? Utoljára szerkesztette: j0nNyKa, 2016.01.13. 09:05:15
A szavazó most se működik sokaknak, hiszen az egész sg.kreatura.hu (ahol a szavazás megjelenik) nem működik https-ről (tanúsítványprobléma és egyebek), a kevert tartalmat meg a böngészők nagy része zsigerből blokkolja.
A többihez én nem értek, csak azt tudom, amit leírtam (le volt tiltva minden külső forrás, most már nincs, és a https miatt volt nyűglődés, több körben is) - ha jonnynak lesz ideje-türelme feldolgozni amit írsz, akkor szakmai választ is kaphatsz :)
A külső scriptek már most is le vannak tiltva, csak inline kódot adhatsz meg ahogy látom (bár az valszeg betölthet egy másik, immár külső helyről származót). A szavazótopikban minimális script töltődött az SG-re, csak azért volt anno külön behúzva mert egyszerűbb volt dolgozni vele. Illetve átadtam a házigazda szerepet másoknak, szóval hozzáférésem sem volt utólag.
Ha httpOnly sütiket használna az oldal, akkor mindez nem lenne probléma. Könnyű átírni szerveroldalon, megmarad a biztonság, és még a mostani scriptek is mehetnek tovább, módosítani sem kell őket. Még azokat sem, amik saját célra továbbra is használnának sütiket, bár arra amúgy is szerencsésebb lenne a localStorage.
Az előző CSRF dologgal meg az a helyzet, hogy nagyon könnyen lehet célzottan és automatizálva használni. Nem akarok tippeket adni a rosszakaróknak, ezt az egészet csak azért hoztam fel mert most sem védett eléggé az oldal. A scriptes mókára meg megoldást kínál a fenti ötlet. Szóval lehetne ez jó, csak kapacitás kell hozzá. Én azt is értem hogy j0nNyKa ezt hobbiból csinálja, de legalább ne az legyen az indoklás most már évek óta hogy nem lehet. Lehet azt, csak a megfelelő embereknek is akarni kell.
Külső scriptek, css-ek ilyesmik blokkolása volt kb. 2 napig az új design megjelenésekor, gyakorlatilag megölte a rendesen specializált topicokat, ahol a fejlécben többek között dinamikus tartalmak is futnak - mondjuk szavazótopic.
Aztán a https átállás szintén megborogatta a dolgokat, mert sok külső script még mindig http-ről fut, és a paranoidabb böngészők ezt azonnal letiltják, és félig-meddig leállt egy csomó téma - mondjuk szavazótopic.
Ahogy látom nem nagyon, sikerült távolról postolnom az egyik topikba. Referer ellenőrzés + a fontosabb helyekre (pl. beállítások) egyszer használatos, userhez és eseményhez köthető tokent kellene generálni. Most technikailag egy jól megírt URL-lel vagy egy megtévesztő oldallal ugyan azt el lehet érni mint amit védeni akartok.
Nálad nem tárolódik semmi sem (jobb esetben), te csak egy véletlenszerűen generált azonosítót kapsz bizonyos időközönként. Ezzel ismer fel az oldal és társítja hozzád a profilod adatait. A "maradj belépve" funkció is hasonló elven működik. Ha valaki megszerez egy ilyen azonosítót és felhasználja ellened, akkor beléphet a te profiloddal a jelszó ismerete nélkül is. Ezért kérik be sok helyen a jelszót adatmódosításkor is, és ezért vannak ilyen extra védelmi megoldások mint az IP ellenőrzés. A kérdésre válaszolva: igen, most is ellopható ez az azonosító scriptekkel, de az IP ellenőrzés miatt használhatatlan.
-
Ennek ellenére lehetne egy köztes utat találni, sőt, akár megoldani is ezt a problémát a scriptek maradása mellett. Nem olyan nehéz behozni pár új szabályt és ellenőrzést. Például külső scripteket blokkolni, csak inline kódot lehetne megadni, amiben ellenőrizhető lenne a cookie és más kulcsszavak jelenléte. Az eval és hasonlókra keresve az obfuscated kód sem feltétlen akadály, csak alaposan ki kell gondolni. Pl. szűrni kell arra is hogy az inline kód ne húzhasson be külső kódot.
Ellenben sokkal jobb és logikusabb megoldás lenne a httpOnly biztonságos sütik. Az oldal simán meglenne vele, szinte 0 módosítással járna, és ez lehetővé tenné hogy a sciptek semmilyen módon se férhessenek hozzá egyetlen sütihez sem.
Bónusz: vajon mennyire van védve az SG XSS támadások ellen? Vannak kételyeim. Ha pedig nem eléggé, akkor kb. értelmetlen bizonságról beszélnünk.
Nem értem. Most laikusként kérdezem, hogy ha egy eszközön biztonságosan el lehet menteni a bejelentkezési adatokat (jelenlegi állapot) akkor miben más ugyanezt egy másik eszközön is megcsinálni? Mitől lesz sebezhetőbb a bejelentkezési adat? Ezek szerint akkor már most is lenyúlhatóak ezek az adatok, de mivel nem lehet egyszerre több helyről bejelentkezni ezért "használhatatlan?"
Minden fórum bizonyos célokra, feladatokra születik, az Sg.hu-n szabadabb a script és egyébb formázási lehetőség (pl. bannerek lehetősége a topicban, akár a háttérképet lecserélheted, sőt, szinte teljesen átszabhatod a teljes topic kinézetét). A RiOS egy másik véglet, gyakorlatilag kismillió szempontból korlátozottabb, cserébe ott sokkal inkább kézben lehet tartani azt, hogy mit csinálhat meg a felhasználó.
Especiel nekem a RIOS belogolása azért nem fekszik, mert itthon automatikus belogolás van, munkahelyen viszont privát böngészőablakban lépek be, tehát ott nem elég az e-mailt és jelszót begépelni, de még ki kell pipálnom mindhárom checkbox-ot is minden egyes alkalommal...
Na, akkor így januárban gyorsan letudjuk erre az évre is.
Azért nem lehet több gépen bejelentkezni (és kliens oldalon tárolni a bejelentkezési adatokat), mert itt szabadon lehet a fejlécbe bárki által scripteket írni, amivel egy villanás alatt el lehet lopni bármelyik topicba látogató bejelentkezési adatait, majd azzal könnyedén visszaélni (kezdve azzal, hogy a nevében posztolsz). Ugyanezt nem lehet elkövetni egyetlen másik fórumon se. Tehát vagy nincs fejlécek szabad szerkesztése, és ott mindenféle külső dolgok futtatása, vagy nincs szabad bejelentkezés több gépen.
Azzal, hogy mindig újra be kell lépni új eszközről. Elmentettem a böngészőkben az adatokat és így csak 1 tap, de így is körülményes. Érdekes módon egy lapcsaládnak nevezitek az SG-t, Prohardvert, Mobilarénát stb, az ottani fórumokon mégis gyönyörűen megvan oldva bejelentkezésnél, hogy mennyi ideig, miről szeretnék belépve maradni. Le lehetne másolni az ötletet, aztán mindenki boldog lenne és nem kellene félévente újra és újra elmagyarázni majd bannolni azokat akik nem értenek egyet.