ты лучше смысл объясни

я забыл разлогиниться когда проверял это https://www.linux.org.ru/news/opensource/10534550?cid=10544507

в результате наспамил.. (случайно)

>пойдаляйте пожалоста сообщения про курагу

Тебе пизда школохакир.

Отряд спецназа ГРУ уже выехал для проведения мероприятий по профилактическому засовыванию кураги в твой анус.

"это" - это что это. что именно у тебя работает?

тыж ыво поддерживал? :)

не знаю как вы ребята -- но я серъёзно терпеть не могу курагу.. и изюм и прочие засохшие фрукты..

ну проидитесь поиском по базе, и удалите -- дел на 10 минут же?

у эхе "ii.dev.14" -- там про курагу пишет кто-то другой (не я) -- зайди и глянь... :-)

я это и имею ввиду что работает..

а принцип какой? мне про курагу неинтересно, ты лучше про принцип объясни.

суть в том что кода web-движёк принимает POST-запрос -- то он обязан проверять CSRF-токен.

если CSRF-токен совпадает -- то POST-запрос должен проходить нормально, если не совпадает -- то POST-запрос должен *откланяться(!) ..

(для каждой web-сессии должен генерироваться свой CSRF-токен .. ну или не для каждой сессии а для каждого пользователя)

а на текущий момент -- web-движёк принимает все подрят запросы (не глядя на CSRF-токен) -- поэтому появляется возможность постить от чужёго имени (нужно лишь заманить чужака на свой хацкерский школосайт :))

вместо CSRF-окена -- можно передать hash-код (тот самый который пароль как бы)... но передавать его нужно обязательно НЕ через cookie, а именно как обычный POST-параметр

>тыж ыво поддерживал? :)

Ничего подобного, кураговых бендеровцев не поддерживаем.

Только теплый ватный крыжовник, только Путинка, только хардкор!

P.S. bad message, соси хуй, пидораз!

> P.S. bad message, соси хуй, пидораз!

откуда столько ненавести, ребят! яж для дела стараюсь! а резлогиниться РЕАЛЬНО забыл (не специально!! ещё раз повторяю)

будьте добрее! же! :-)

яж вот ни рдного матного слова не сказал.. а вы... эххх... стараешься тут для вас... :-(

а он чё, не через как пост-параметр передаётся? он же вроде просто подставляется как post-код, а кука - вобще для барабану? или нет.

ты по исходникам делал или просто форму глянул?

да это привидение местное. это он меня обматерил :)

ну тогда не страшно :-)

в исходниках 51t -- до конца так и не смог разобраться.. (хотя сайт про курагу -- я тоже делал на pybottle) -- так что просто по отклику web-баузера пришлось делать сайт про курагу..

исходный код сайта про курагу вот -- https://www.dropbox.com/s/vryr61d2ubv0kr2/51kuraga.tar.xz

но если ещё пол часа повтыкаю на исходники 51t -- то может сразу и патч сделаю... :-)

но мне бы хотелось бы чтоб разработчик сайта 51t -- понял бы суть всего этого инцедента (это было бы более полезно для мирового прогресса в целом!)

я нифига не понял - если cookie просто вставить в hidden-форму, подставляя при отрисовке формы, и проверять только этот post-параметр - курс кураги резко сократится?

> но мне бы хотелось бы чтоб разработчик сайта 51t -- понял бы суть всего этого инцедента (это было бы более полезно для мирового прогресса в целом!)

я не верю в безопасность - я верю в добрых людей и открытые двери. как попадает спам, не особо важно, и с ним бы бороться. а заавторизован ли при этом юзер - это вообще не важно, тут даже как такового, аккаунта нет, а подделку в общении выявить легко :)

Вон, какие :)

> я не верю в безопасность - я верю в добрых людей и открытые двери.

ну сделай ты чтобы "auth" передавался бы НЕ в cookie а в обычном POST-параметре.. во время отправки любого POST-запроса...

если уж не хочешь возиться с CSRF-токенами :-)..

пойми что я тут за 30 минут смастерил говно-на-палочке (сайт про курагу), а умные люди (умее меня, которые) -- наверно могли бы сделать что-то более умное :-) чем рекламу кураги :-) ..

мне бы вот например было бы неприятно если бы вдруг от моего имени якобы-я начал-бы писать матерные сообщение... и быть может я получил бы за это бан :-) .. так что могут и опасное что-нибудь сделать же

А что за тема с курагой? Что там по ссылке? Мне просто спасибо говорит.

Интересная вещь, про информацию, тут же будет все теряться далеко в истории... с кучей народа, и без поиска...

> я нифига не понял - если cookie просто вставить в hidden-форму, подставляя при отрисовке формы, и проверять только этот post-параметр - курс кураги резко сократится?

да-да-да!! hidden-параметр! да!

во время обработки POST-запроса -- нужно НЕ смотреть на куку , а смотреть только на обычные POST-параметры!

курага вообще после этого без шанса :-)

да тут по 30000 сообщений иной раз валится.

меня волнуют не технические вопросы, а психологические. перво наперво, "зачем" :) иначе этой борьбой можно заниматься всю жизнь - лучше вообще в ней не участвовать :)

а эту штуку - исправим, наверное. если не учитывать того, что я мало что понял :)


> и быть может я получил бы за это бан :-)

тут не банят. максимум, таймлимиты двигают. тем более, если понятно, что это не ты :) вернули бы номер владельцу :)


> ну сделай ты чтобы "auth" передавался бы НЕ в cookie а в обычном POST-параметре.. во время отправки любого POST-запроса...

мне почему-то казалось, что так оно и есть. я переповерю api-auth


большое спасибо за аудит, за совет, и за курагу, конечно! :)

> Интересная вещь, про информацию, тут же будет все теряться далеко в истории... с кучей народа, и без поиска...

поиск делается в локальной базе и на клиенте ;)

> А что за тема с курагой? Что там по ссылке? Мне просто спасибо говорит.

благодарность (спасибо) -- это за то что учавствуешь в эксперименте..

а вообще в эхе "ii.dev.14" некоторые уже отписали про курагу -- в момент когда им тоже говорили спасибо..

а что за web-браузер у тебя? какие настройки и т д?

> большое спасибо за аудит, за совет, и за курагу, конечно! :)

пажалуйста -- когда будешь протеводействовать кураге -- сделай заодно (добавь) и HTTP-хеадер на все странички:

"X-Frame-Options: DENY"

это не касается кураги (курага это CSRF .. а хеадер про который я написал -- это от ClickJacking)..

ну вобщем погугли там, если что будет не понятно... для ClickJacking-случаев -- нужно обладать более изошрённым умом чтобы заэксплуатировать это -- но всё равно не надо злоумышленникам давать и такого шанса тоже :-)

Я насчитал 20 пользователей. Не густо.

20 пользователей чего, и в какой промежуток? :)

думаю возможно это развить) выглядит это очень классно)

Test message

test msg

test

> Test message

новую курагу чтоль делаешь? :-)

20 уникальных постеров в этой эхе

> думаю возможно это развить) выглядит это очень классно)

Согласен, что-то в этом есть. Дизайн веб-морды только стрёмный. И очень разный.
Кстати, есть список скрытых эх?

Прошу прощения за "курагу", это была не курага, я только учусь.

дизайн допилить не такая большая проблема, главное реализация, и люди внутри)

>> А что за тема с курагой? Что там по ссылке? Мне просто спасибо говорит.
> благодарность (спасибо) -- это за то что учавствуешь в эксперименте..
> а вообще в эхе "ii.dev.14" некоторые уже отписали про курагу -- в момент когда им тоже говорили спасибо..
> а что за web-браузер у тебя? какие настройки и т д?

Фокс, noscript. Я уже посмотрел исходники кураги.

> Фокс, noscript. Я уже посмотрел исходники кураги.

всё, ждём "Курага наносит ответный удар"? :)

> Фокс, noscript. Я уже посмотрел исходники кураги.

noscript он такой, да :-)

что-то старожилы не припомнят такого количества людей, да ещё незнакомых, в одном месте.

я ненавижу курагу
её румяную боку
взял бы и съел её давно
но жалко, вкус её - ...

я маленький, и новенький) забрел случайно ^^
сижу вот в исходниках, чего код такой там страшный?

> сижу вот в исходниках, чего код такой там страшный?

я его детям по ночам показываю, чтобы учились хорошо

>20 пользователей чего, и в какой промежуток? :)

20 пользователей твоего ануса. В промежуток между 00:00 и 03:00.

спи давай, а то завтра всё самое интересное проспишь!

> Я уже посмотрел исходники кураги.

страшный кстати?

а ты смотрел через CTRL+U ли прям отсюда https://www.dropbox.com/s/vryr61d2ubv0kr2/51kuraga.tar.xz ?

короче, ты за старшую. будут сильно ломать - отбивайся палками

а я спааать! в крайнем случае, завтра hg revert сделаю, а самое интересное руками перекину

я щитаю -- не хватает в потоколе -- отдельного поля для картинки..

можно было бы делать двач-подобные GUI !

http://store.artlebedev.ru/_i/catalog/qzy9tku3.jpg