Аватары
#41
Отправлено 25 Июнь 2005 - 17:32
Теоретизировать можно до упора, однако лекарства пока так и не нашли...
#42
Отправлено 25 Июнь 2005 - 17:41
да спасибо так гораздо понятнее.
теперь всё самовыражение, через подпись,до некоторых пор.
а возможно ли решение, когда аватара не загружается, а как картинка в подписи берётся через ссылку?
#43
Отправлено 25 Июнь 2005 - 17:54
Цитата
Проблема решается ещё проще, при загрузке проверяется картинка ли это и всё (соответсвующий патч именно для рнрВВ я уже сделал) только вот такое ощущение что есть ещё какая-то дыра (на этот раз именно в IE) о которой мне не говорят и которая якобы позволяет выполнить вредоносный код не загружая её на сервер (но тогда не вижу смысла в отключении аватар, т.е всё это можно провернуть через картинку в подписи, в тексте сообщения и.т.д...)
Одним словом глупости всё это... (ИМХО)
#44
Отправлено 25 Июнь 2005 - 18:13
А что теоретизировать?
Что сложного в том, чтобы напустить на закачанную картинку
imagecreatefromjpeg (...); или imagecreatefromgif (...); imagejpeg (...)
Добавлено спустя 6 минут 4 секунды:
Vladson
Меня, в свое время запугивали XSS, якобы можно загрузить скрипт вместо картинки, потом этот скрипт утащит пароль из куки и отошлет хозяину картинки.
Сделать это изнутри IMG мне не удалось, на что запугивавший сказал, что я все равно умру.
Еще было переполнение буфера в GDI+, но это пофиксили полгода назад во всем, что GDI использовало, а недавно, без лишнего шума - и в FF (AFAIR, в 1.0.2 починили jpeg, в 1.0.4 - TIFF).
Про что-то еще с картинками я не слышал.
Про проверку на картинку, сказали, что можно, якобы, создать скрипт с заголовком от картинки. (у меня проверка на то, что это картинка - по 2 строки на формат+ еще строчка - получение первых шести байт файла).
#45
Отправлено 25 Июнь 2005 - 18:21
Цитата
Чушь, IE выдаст ошибку и скрипт не будет выполнен... (проверено)
#46
Отправлено 25 Июнь 2005 - 18:28
Вот-вот. Я ответил то же самое (и даже не поленился проверить).
#47
Отправлено 25 Июнь 2005 - 19:02
Не решается она так. Можешь у Хперта получить ответ на наш баг-репорт, поймешь.
listener
А то, что имага может быть анимированной? А то, что она может заметно потерять в качестве и/или увеличится в размере?
Еще раз говорю - эту проблему не первый день обсуждают, но 100%-действенного решения нет по сей день.
Ждем майкрософта.
#48
Отправлено 25 Июнь 2005 - 19:23
#49
Отправлено 25 Июнь 2005 - 19:42
Анимированная - да, этот метод не подходит. Здесь нужен ImageMagick
Касательно качества - если оно важно - загружать .gif и записать .gif или просить грузить .bmp если важно качество, и выводить jpeg (чтобы избежать рекомпрессии).
Но, самое главное - мне неясно в чем дыра: изнутри IMG это не работает, а если что-то открывает аватары отдельно (в смысле, делает на них переход) - сам дурак.
#50
Отправлено 26 Июнь 2005 - 10:06
А еще не решается проблема с УЖЕ загруженной авой. Особенно удаленной.
listener
Побудьте суппортером - поймете сколько таких "сам дурак"... В этом-то и проблема.
#51
Отправлено 26 Июнь 2005 - 19:42
Знаю. Был. Есть. Количество дураков уменьшается запретом открытия картинки без указания referrer, либо, если referrer не указан, редиректом на страничку, внутри которой эта аватар обернут в IMG.
Не в плане наезда, а для константации файкта ради: есть два подхода к решению проблемы: 1) решить проблему; 2) объяснить, почему ее решить нельзя. Я предпочитаю, когда возможно, действовать по первому варианту.
#52
Отправлено 27 Июнь 2005 - 01:06
Опять же - сообщите это "выше"... Не мне, а хоть бы майкрософту и пхпбб груп...
#57
Отправлено 09 Июль 2005 - 01:37
еще б некоторые подписи поубирали
я был бы счастлив...
#58
Отправлено 09 Июль 2005 - 02:18
Цитата
у меня и с аватарами летало