SlovakChat

jj a mne to dokonca dáva na kraj obsah ... finálna verzia to rieši ale som smutný, že ju nemôžem vydať hneť

Odpoveď na tvoju otázku, či si opravil zabezpečenie zaheslovaných miestností som ti nechal priamo na chate, v miestnosti pre adminov, ku ktorej nemám prístup

má to jeden háčik -> žiadna taká neexistuje ... opravoval som včera o 22:30

Zaujímavé, ja sa k tej miestnosti môžem sám dostať (keďže píšem jej ID ručne, tak sa mi stále javí ako existujúca). Ale skúšal som sa dostať aj do iných zaheslovaných miestností (v čase písania môjho príspevku, čiže dávno po 22:30) a išlo to

nešlo skúšal som aj ja ...
inak vysvetli ako si mi "dosral miestnosti?", že vždy na začiazku mi napíše tú hovadinu?

To by ti tak nanajvýš mohol dokakať v prípade, že má prístup k FTP alebo potom máš slabú ochranu proti PHP/SQL injection. A overil si si že to bol on alebo ho tu krivo obviňuješ?!

bol to on ...
prístup nemá ... ani ja ho neviem ...
skôr ta ochrana ale už som to prerábal ale on mi to "posral" už predtým ...

Pozri...ak sa niečo má nazvať bezpečné a ochránené, tak nesmie existovať niečo/niekto schopný(é) by to "posrať". Takže to že ti to niekto "dosral" ukazuje na to,že tam máš chyby. A mohol to byť pokojne aj užívateľ, ktorý trebars použil ' alebo ".

keď mám všade napísané:
[2008-03-22 13:07:13] nick vraví:
prepáčte ale táto miestnosť už existuje
tak viem že je to shaggy
a ošetroval som to včera (alebo predvčerom) o 22:30.
Nemám možnosť vidieť čo mám v DB ...

Ja hovorím o tom, že mám prístup k miestnostiam, ktoré sú zaheslované (heslo nepoznám).
edit: Teraz som vytvoril novú miestnosť, ten môj príspevok tam stále ešte je, ale už aspoň nejde pridávať príspevky do neexistujúcich miestností.
+ som si všimol, že si ošetril dĺžku názvu miestnosti, ale zakázať pomlčky a zátvorky je blbosť na n-tú.

A keďže si na to prišiel vďaka mojim upozorneniam, tak by som čakal aspoň poďakovanie

napíš do miestnosti testadmin ...
2, čo si spravil s tým príspevkom?

Napísal som ti do tej miestnosti. Bola to hračka ;-)

jj už som si aj našiel chyby v PHP a ten príspevok?

//opravujem, potom ti napíšem ...

no opravil som ale už sa strácam vo vlastných kódoch ... tak sa na to mrkni, a ešte stále si mi nepovedal, prečo mám furt -> prepáčte ale táto miestnosť už existuje

No hurá, konečne je to opravené.
Pôvodne by ma ani nenapadlo, že to nemáš ošetrené, len keď som si všimol adresu tých miestností v tvare:

(v tom passworde bol nejaký hash)

tak som skúsil použiť:

a fungovalo to (btw, to je tá miestnosť pre administrátorov, stále existuje, ak sa nemýlim.

A ten príspevok v nových miestnostiach ti ukazuje, lebo som zistil, že sa dalo prispievať do miestností, ktoré neexistujú (po zadaní vymysleného id) a tak som ich tam pár pridal (po miestnosť č. 90), aby si si myslel, že to je v každej
Neboj, čoskoro už nebudú.

ako to že do ľubovoľného ID? to sa dá?
inak 2 veci:

keď som to videl, som skoro odpadol, že čo za somariny tam mám ...

2, Diki, nebol by som na to prišiel ...

Nie, už sa nedajú posielať príspevky do ľubovolného ID, asi si to opravil pri večerňajšej aktualizácii.

jea! ok dikes ... a ako sa to dalo?

omg, ty si pribrzdený?
Proste sa to dalo tak, že som napísal do URL adresy náhodné číslo. Neviem ako to inak vysvetliť.

tipujem, ze si mal v scripte, ze ti zistovalo, ake ID miestnosti sa ma zobrazit a v kode si mal:
CREATE TABLE IF NOT EXISTS $idmiestnosti
a tym ju vlastne aj vytvoril, ale v zozname miestnosti sa nezobrazovala, pretoze tam sa zobrazi az vtedy, ked ju nekdo vytvara, lebo na zoznam miestnosti mas zvlast tabulku iba s nazvami.. a ked vytvaras miestnost, pripise sa ti do tej tabulky a vytvori sa nova...

lenze shaggy vytvoril len tu novu, a ked nekdo spravil novu miestnost, ta tabulka uz existovala...


MOJA TEORIA

Alebo moja teória, že pri otvorení miestnosti (existujúcej alebo neexistujúcej) sa nekontrolovala jej existencia. Z databázy sa načítali všetky príspevky, ktoré boli priradené k tejto miestnosti (čiže žiadne) a keď som napísal nový príspevok, pridalo ho do tabuľky príspevkov a ako "id" miestnosti mu priradilo id neexistujúcej miestnosti.
Keď sa potom miestnosť vytvorila, už boli k tomu id priradené príspevky.
Ak by to bolo tak, ako vravíš ty Blackshadow, tak pri vytvorení novej miestnosti (nie mnou) by táto dostala nasledujúce id (vyššie číslo) a nie to číslo, ktoré som použil ja

ako shaggy píše, písal aj do neexistujúcich miestností a nemal som to ošetrené ...
BS: zbytočne to nekomplikujem s miesnoťami ...
inak shaggy: asi som bol pribrzdený lebo to som si neuvedomil (nemyslel som že som na tom až tak zle ...)

a ešte jedna vec for shaggy: podlľa príspevkov v chate som si myslel, že závidíš alebo chceš schválne zrobiť border ... ale podľa toho príspevku až do 90 ID si myslím, že už nie si celkom v poriadku ... komu by sa to chcelo robiť? samozrejme nemyslím to úplne vážne ale vieš koľko roboty si mi narobil? ... jas raz z teba asi odpadnem ...

počuva dá sa tam ešte dostať bez hesla?
lebo tomuto nerozumiem:
[2008-03-24 23:08:28] nbusr vraví:
to je skúška, nechaj tak... to je medzi mnou a adminom ;-)

k tomuto ti poviem iba tolko, ze nie shaggy, ale ty si si narobil tolko roboty. keby predsa pises kod poriadne, nemas s tym ziadnu robotu

to je na jednej strane pravda ... ale keď už som sa ponáhľal a kód bol poslabší, nemusel mi to až tak pokaziť tearz aby som vytvoril 90 miestností ...

on ti nic nepokazil, nespravil ani zlomok z toho co by ti spravil co i len trosku skusenejsi hacker... TY si si vyrobil tolko bezpecnostnych dier, lebo teba to na zaciatku vobec nezaujimalo. pises si pises aby to co najskor bolo hotove a potom spatne hladas chybu. keby tu shaggy neskusal na tvojom webe vtipky, tak tu zacnes o mesiac vyhlasovat, ze si vytvoril najuzasnejsi a najlepsie zabezpeceny chat vsetkych dob

jasne ale až do 90tky? stačilo 50, 40, alebo 30 ...
ale ja rozumiem čo mi chcete pvedať a som vďačný shaggymu že mi to našiel ale nemusel zas až do ID-90

to je taky problem vymazat vsetky spravy zo zatial neexistujucich miestnosti?

Tiež si myslím >.<

Prosím? Však si tam mal existujúce miestnosti po 60-70 cca.
Mne zabralo priradenie príspevkov k neexistujúcim miestnostiam približne minútu, takže určite nie som psycho.

Ten príspevok, čo som tam napísal "to je skúška, nechaj tak... to je medzi mnou a adminom" bol pre tvojho moderátora, lebo ten zjavne nechápe súvislosti a vyhráža sa mi banom za každú sprostosť.

A inak, nie je to moja chyba, je bežná prax, že si takýchto ľudí najímajú programátori ešte pred spustením projektu. Tu vidíš, prečo sa to v TROCH ĽUĎOCH NEDÁ ROBIŤ. Ak by som to neurobil ja, urobí to niekto iný. Ja bežne píšem príspevky tak, že zadám priamo id tej stránky, miestnosti, témy... a mohlo sa ľahko stať, že by sa niekto pomýlil - namiesto id=50 by ti dal id=500, začal by písať, dal odoslať a až potom by si to všimol.