Intellect Board Pro
Расширяемый движок форума с разделами разных типов
Объявление
Вышла версия 3.05 с фотогалереей и поддержкой PostgreSQL и SQLite.
Перейти к скачиванию
Привет, гость!

Можно ли применить вспомогательные блоки для айфреймов в объявлениях тем?

Через алгоритм ‘коллективных правок’ предоставлять участникам возможность управления объявлениями темы.

Настройки отображения темы Показывать по сообщений с сортировкой .
Выводить , отправленные .
Страницы:
  • 1
  • 2
Распечатать
4X_Pro
Основатель проекта
Всего сообщений: 401
Зарегистрирован: 22 сент. 2014 г., 18:56
Откуда: Москва, Перово
Рейтинг пользователя: 15
1
. Редактировалось 1 раз, последний — #11
Теги добавляются в lib/bcode.php, вывод отдельного поста можно попытаться сделать в modules/stdforum.php, написав там для этого отдельный action.
Критикуя — предлагай, предлагая — обосновывай!
4xpro.ru — мой личный сайт-мультиблог на Intellect Board.

_1_
Сомнительный тип
Всего сообщений: 346
Зарегистрирован: 14 окт. 2014 г., 09:11
Рейтинг пользователя: 17
Штрафных баллов: 1
0
. Редактировалось 1 раз, последний — #12
_1_ написал(а):
... ещё раз поднимаю вопрос о "единичных" бесшапочных форумных постах.

Я пока так и не нашёл времени разобраться с php-кодом герерации таких постов. Но эту работу обязательно придётся кому-то выполнить.

И, если предположить, что такие посты уже возможны, сейчас рассмотрим алгоритм редактирования  модерированных  постов обычными авторами: если форумный начальник подкючил в посте [галочку HTML-кода], то в дальнейшем любая правка рядовым автором не должна приводить к отмене этой галочки (а сейчас она сбрасывается при первой же авторской правке ).



4X_Pro
Основатель проекта
Всего сообщений: 401
Зарегистрирован: 22 сент. 2014 г., 18:56
Откуда: Москва, Перово
Рейтинг пользователя: 15
0
#13
Ага, а дальше получаем просто идеальную дыру для социнженерии. Злонамеренный пользователь под каким-то предлогом уговаривает того, у кого есть полномочия на HTML (а они должны быть только у самых доверенных пользователей) отредактировать сообщение и поставить галочку. А потом вставляет туда вредоносные скрипты и собирает cookies или делает ещё какие гадости, имея возможность выполнить произвольный скрипт, который будет к тому же выполняться с same origin. То есть можно, скажем, будет открыть окно с другой темой и натворить там почти что угодно от имени пользователя.
Вы бы почитали про XSS и CSRF уязвимости, прежде чем такое предлагать…
Критикуя — предлагай, предлагая — обосновывай!
4xpro.ru — мой личный сайт-мультиблог на Intellect Board.

_1_
Сомнительный тип
Всего сообщений: 346
Зарегистрирован: 14 окт. 2014 г., 09:11
Рейтинг пользователя: 17
Штрафных баллов: 1
0
#14
4X_Pro написал(а):
Злонамеренный пользователь под каким-то предлогом уговаривает того, у кого есть полномочия на HTML (а они должны быть только у самых доверенных пользователей) отредактировать сообщение и поставить галочку. А потом вставляет туда вредоносные скрипты и собирает cookies или делает ещё какие гадости. То есть можно, скажем, будет открыть окно с другой темой и натворить там почти что угодно от имени другого? пользователя.
Да-а... весело.
Форум - это вообще токсичное место: люди собираются очень разные...
Вот почему, как только хостинг подешевел, эксперты разбрелись по личным сайтикам. А теперь стоит задача их объединения. И я не понимаю причин, которые до сих пор заставляют Вас бороться с чужими внешними ссылками:
4X_Pro написал(а):
Раскрою вам страшную тайну: подавляющее большинство владельцев сайтов (и я в том числе) заинтересованы в том, чтобы на их сайтах гиперссылок на внешние, неподконтрольные им ресурсы было как можно меньше, а те, что есть, можно было бы легко отследить и проконтролировать. Не говоря уж о том, что это потенциальные дыры в безопасности.
Ведь именно при помощи ссылок идёт объединение сайтов и форумов!

Может быть, следующие мысли помогут Вам отказаться от этой борьбы?
Я понял, что на самом деле мне нужна не популярность перед обывательскими массами, а круг своих людей, единомышленников-идеалистов.
Эта мысль, конечно, тоже ещё изменится под грузом сложных задач, когда "единомышленники" не смогут вытянуть автора...
Всё-таки, надо думать и о тематических сообществах экспертов...

_1_
Сомнительный тип
Всего сообщений: 346
Зарегистрирован: 14 окт. 2014 г., 09:11
Рейтинг пользователя: 17
Штрафных баллов: 1
0
. Редактировалось 1 раз, последний — #15
4X_Pro написал(а):
Ага, получаем просто идеальную дыру для социнженерии.

Ну, не знаю... Я сторонник простых и надёжных мер безопасности. «Против лома нет приёма». Например,
  1. Статичные виртуальные темы - ссылаться на них из тематических объявлений. Это обычные вебстранички на хостинге (даже без скриптов).

  2. Копии всех моих постов (храню их в doc-файле). Кто бы что на форуме не редактировал, у меня много лет хранятся правильные экземпляры. К тому же, это возможность быстрого поиска по ключевым словам (ищем не на форуме, а в локальном документе).

  3. У данного пользователя нет прав размещать ссылки! Иерархия тем и групп: эксперты общаются в "высоких" темах; там меньше гадёнышей... А что творится "внизу" - мало кого колышет.

Эта тема была упомянута по адресу https://4xpro.ru/lytdybr/2106/post-7394.htm
Страницы:
  • 1
  • 2
Распечатать

У вас нет прав для отправки сообщений в эту тему.