0
<< предыдущая заметкаследующая заметка >>
09 ноября 2011
Уязвимость

Опять Палант обнаружил дырки в движке — две. Позор мне.

Рекомендую обновиться.

Кроме того, я обновил систему логина. Теперь мы используем не виджет Логинзы, а виджет http://ulogin.ru — он гораздо более пристойный. Мы используем его для логина по OpenID и для соцсетей. В Логинзе обнаружена дыра, позволявшая провести регистрацию от имени любого пользователя любого сервиса. Господь им судья.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Linux Firefox
0
0
Andrey Pozdnyakov
А как обновляться правильнее, через /install
или install/php?
Linux Firefox
0
0
Andrey Pozdnyakov
А логины все еще проблемные.
Залогинился по новой системе, но сайт пытается перелагинить в прежний логин.
Linux Firefox
 Москва
0
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
А сейчас?
Linux Firefox
 Москва
0
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Там очень была адская вещь.

Для того, чтобы строить многопользовательский сервис, куки должны выставляться с доменом .lleo.me, а не lleo.me

Но браузеры дико глючат, когда поверх существующей куки пытаются записать такую же, но с другой областью. Иногда браузеры глючат и когда запись куки делает то сервер, то JS. Поэтому я все куки перевел на JS. И почистил во всех местах.
Windows Firefox
 Санкт-Петербург
0
0
Cat's shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
offtopic: Help, pls...
Как к этому движку правильно "прикрутить" openid сервер? Или хотя бы делегирование от того же myopenid.com? В качестве OpenID (при использовании делегирования от myopenid.com) выдается полный url, а не только домен.
Linux Firefox
 Москва
0
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
OpenID сервер будет, но позже.
Делегирование прикручивается элементарно: на заглавной странице пишете в тексте заметки:

{_HEADD: link rel="openid.server" href="http://www.myopenid.com/server"_}
{_HEADD: link rel="openid.delegate" href="http://lleo.myopenid.com/"_}
{_HEADD: link rel="openid2.local_id" href="http://lleo.myopenid.com"_}
{_HEADD: link rel="openid2.provider" href="http://www.myopenid.com/server"_}
{_HEADD: meta http-equiv="X-XRDS-Location" content="http://www.myopenid.com/xrds?username=lleo.myopenid.com"_}

И в HEAD страницы добавляются эти параметры.
Windows Firefox
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Угу. Пробовал.
Но в результате получается OpenID вида: http://neko.ru.net/index вместо http://neko.ru.net, если в качестве основной установлена не статическая страница, а последняя запись в блоге, то каждый раз при добавлении новой записи OpenID изменяется на её полный адрес с датой.(проверено при логине в жж, у вас сменить OpenID для своей записи не получается -- "идет соединение" и отображается курсор индицирует "ожидание").
Возможно дело в том, что основная страница в вашем случае отображается в адресной строке браузера как http://lleo.me -- без полного адреса? Как подобного добиться (извиняюсь за "чайниковский" вопрос)?
Linux Firefox
 Москва
1
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я вас понял. Это другая проблема.

Надо просто главную страницу, указанную в rootpage=, назвать не 'index' а index.htm или index.html

Движок проверяет главную страницу на совпадение с 'index.', и если да, то скрывает ее имя. Такова древняя традиция веба, страницу словом index называть вроде не принято, движок не был готов к такому ;)

В коде движка проверка такая: if(substr($rootpage,0,6)=='index.')
Windows Firefox
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Спасибо огромное!!! Сейчас проверю!

P.S. Заработало!
P.P.S. А если в качестве rootpage используется страница типа blog (т.е. последняя заметка) -- как быть в такой ситуации?
Linux Firefox
 Москва
0
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
С трудом представляю такую ситуацию. Вы одновременно хотите, чтобы корень перебрасывался на очередную 2011/11/11.html, но чтобы одновременно никуда не перебрасывался и оставался корнем?
Windows Firefox
 Санкт-Петербург
0
0
cats_shadow
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Похоже на то.
Хотелось бы, чтоб посетитель попадал сразу в дневник, а не "заглавную страницу". С другой стороны, модуль ANONS решает эту проблему. И блог остается блогом, и корневая страница фиксирована.

Правильная формулировка задачи -- 90% решения. :) TNX!

P.S. Да, если что-либо осмысленное получаться будет в плане дописывания функций -- делиться? Как минимум хочется до-/переписать кросспостер в жж (или аналогичные сервисы, живущие на том же движке) -- для поддержки "подзамочных" записей.
Linux Firefox
0
0
Andrey Pozdnyakov
test
Linux Firefox
0
0
Andrey Pozdnyakov
Работает, вроде.
Хотелось бы правда, чтобы логины с разных серверов идентифицировались как один пользователь. Сейчас приклепился тот, что с фейсбука, а с гугла какбудто новый пользователь.
Linux Firefox
 Москва
0
0
LLeo
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Это пока отключено, и так путаницы хватает. Посмотрим, как оно с нашими настройками живет.
Linux Firefox
 Москва
0
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Я уже давно использую /install

install.php полезен только при первоначальной установке или при каком-то фатальном сбое, которого я пытаюсь избежать.

PS: Подождите сутки с инсталляцией, я систему логина доведу до ума, а то там ужас пока.
Windows Opera
0
0
$нежная баба
А можно опять вопрос по любимой теме? А как теперь фотки превьюшками вставлять? Может, я какую запись пропустила, но не получается...
Linux Firefox
 Москва
0
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Когда вы выбираете в "фотоальбоме" нужные фотки и нажимаете зеленую кнопку вставки, то у вас в заметке (особенно, если редактор при этом открыт) появляется конструкция типа:

{_FOTOS: WIDTH=120
mode=fotom
/blog/2011/03/foto1.jpg
/blog/2011/03/foto1.jpg
_}

Чтобы фотки показывались превьюшками, нужно убрать строку "mode=fotom".
Windows Opera
0
0
$нежная баба
Не работает. У меня.

Я больше скажу: Леонид, а это... Чо-та у меня админская панель не вылазит...
Nokia-E90 Safari
 Москва
0
0
lleo dsdfsf
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Так вы небось разлогинились админом? Залогиньтесь в /install
Linux Firefox
0
0
Andrey Pozdnyakov
Уже можно обновляться или еще обождать?
Хочется стабильной версии с логинами.

И еще вопрос. Когда жмешь на Install check появляется список файлов разноцветный. Не очень очевидно как там закодированы цвета и что значит зачеркнуть.
Linux Firefox
 Москва
0
0
Leonid Kaganov
Этот человек не загрузил свой юзерпик, и я подобрал ему этот. Человек, пишущий такое, должен именно так выглядеть, верно?
Можно, оно стабильное пока сейчас ;)

Только надо в /install в Mysql кое-чего в базы добавить, что оно попросит, однако НЕ УДАЛЯТЬ пока `obr` и `lju`, а то будет ошибки сыпать.
Linux Opera
 Европа
0
0
Roman Erykalov
Замечу, хоть и не по теме, что ссылка "содержание" перебрасывает на список страниц дневника, а не блога.

всего комментариев: 24

<< предыдущая заметка следующая заметка >>