Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

Замена стандартного ввода сообщений на Xinha

Есть любые вопросы, связанные со стилями/темами для phpBB 2.0.x? Ишите ответы здесь!
Char0Day
phpBB 1.0.0
Сообщения: 3
Стаж: 16 лет 11 месяцев

Замена стандартного ввода сообщений на Xinha

Сообщение Char0Day »

Интересует вопрос замены стандартного интерфейса добавления сообщения на Xinha.
Очень уж нравится. :D
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
Char0Day
phpBB 1.0.0
Сообщения: 3
Стаж: 16 лет 11 месяцев

Сообщение Char0Day »

Может, я вопрос не так задал? :lol:
Имеется ввиду прикрутка к textarea для постов какого-нибудь визуального html редактора (Xinha, FCKeditor, и т.п)
Что, никто таким не занимался?
Аватара пользователя
RedNaxi
Former team member
Сообщения: 933
Стаж: 17 лет 1 месяц
Откуда: BeBoss.ru
Благодарил (а): 2 раза
Поблагодарили: 14 раз

Сообщение RedNaxi »

Char0Day
У вас на форуме разрешен html?
Это уже сильный удар по безопасности.
Char0Day
phpBB 1.0.0
Сообщения: 3
Стаж: 16 лет 11 месяцев

Сообщение Char0Day »

Включен только BBCode.
Html отключен.
Я имею ввиду прикручивал ли кто-нибудь WYSIWYG HTML редакторы или нет. Прямой ввод HTML в них запрещен. ТО есть на попытки ввести спец символы <> получишь &lt &gt (не помню точно код)

Суть вопроса понятна? :-)
Аватара пользователя
Mylene
phpBB 1.2.0
Сообщения: 15
Стаж: 16 лет 10 месяцев
Откуда: Moscow
Контактная информация:

Сообщение Mylene »

Char0Day, извините, что перебила. :roll: Просто попутный вопрос на утверждение...

RedNaxi писал(а):Это уже сильный удар по безопасности.
Йиииии... *Что делать, что делать?*
А если в конфигах всего несколько штук прописаны и разрешены?... Ну, к примеру, перечёркивание текста, для ссылок, картинок,... ещё парочка? :shock:
Или это уже без разницы - сколько и какие разрешены, главное, что сам факт - "разрешены" - означает капец и зелёный свет для "униженных и оскорблённых" но продвинутых недоброжелателей?
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец!
© Гёте
Форум Беседы у камина
Аватара пользователя
RedNaxi
Former team member
Сообщения: 933
Стаж: 17 лет 1 месяц
Откуда: BeBoss.ru
Благодарил (а): 2 раза
Поблагодарили: 14 раз

Сообщение RedNaxi »

Для зачеркивания текста должен быть бб код:) конечно теги типа б, у и т.д. можно разрешить. Но для таких кодов не нужен редактор типа что вижу то и получаю. ИМХО
Аватара пользователя
Mylene
phpBB 1.2.0
Сообщения: 15
Стаж: 16 лет 10 месяцев
Откуда: Moscow
Контактная информация:

Сообщение Mylene »

Да я их, в общем-то, для себя прописала. Просто у меня мод стоит - скрывать ссылки от гостей, но мне нужно было, чтобы некоторые из них всё-таки были видны и гостям, где-то процентов 15 от общего числа, и html-коды как раз и отвечают моему запросу - мод на них не реагирует. Мне намного важнее было узнать, чем вообще может грозить разрешённый html? И зачем тогда предоставлена такая возможность, раз это опасно? (Просто за прошедший год никаких инцидентов не было, я и расслабилась.)
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец!
© Гёте
Форум Беседы у камина
Аватара пользователя
RedNaxi
Former team member
Сообщения: 933
Стаж: 17 лет 1 месяц
Откуда: BeBoss.ru
Благодарил (а): 2 раза
Поблагодарили: 14 раз

Сообщение RedNaxi »

ну например если разрешить тег <a> </a> то будет разрешен и такой вариант тега:
<a href="javascript:alert('xss')">text</a>
У себ попробовал - тег обработался, ява скрипт запустился. Соответственно на месте alert('xss') может быть что угодно вплоть до скрипта который бдет передавать ваши кукисы сниферу. Тогда злоумышленник разместивший подобную ссылку сможет получить кукисы всех юзеров которые перейдут это этой ссылке. думаю ясно чем потенциально грозит получение злоумышленниками админских кукисов. Если включен автологин то в админку они конечно не попадут но над форумом поиздеваютя.
Да и просто то что кто-то сможет заходить от имени ваших пользователей врядли хорошо скажется на репутации вашего форума.
Аватара пользователя
Mylene
phpBB 1.2.0
Сообщения: 15
Стаж: 16 лет 10 месяцев
Откуда: Moscow
Контактная информация:

Сообщение Mylene »

Ясно! Большое спасибо за пояснения. Буду теперь думать, как выкрутиться.
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец!
© Гёте
Форум Беседы у камина
Закрыто

Вернуться в «Стили для phpBB 2.0.x»