Помощь
listener
Теоретизировать можно до упора, однако лекарства пока так и не нашли...
Аватары
#41
Mr. Anderson 
- phpBB Guru
-
- Группа: Пользователи
- Сообщений: 945
- Регистрация: 05 Октябрь 03
Отправлено 25 Июнь 2005 - 17:32
#42
kanapfelka
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 777
- Регистрация: 06 Август 04
Отправлено 25 Июнь 2005 - 17:41
Mr. Anderson
да спасибо так гораздо понятнее.
теперь всё самовыражение, через подпись,до некоторых пор.
а возможно ли решение, когда аватара не загружается, а как картинка в подписи берётся через ссылку?
да спасибо так гораздо понятнее.
теперь всё самовыражение, через подпись,до некоторых пор.
а возможно ли решение, когда аватара не загружается, а как картинка в подписи берётся через ссылку?
#43
Vladson
- Advanced Member
-
- Группа: Участник клуба Voodoo Masters
- Сообщений: 566
- Регистрация: 07 Август 04
Отправлено 25 Июнь 2005 - 17:54
Цитата
Проблема лечится элементарно. После того, как закачана картинка, она конвертируется в JPEG. В результате в качестве аватара мы имеем гарантированно картинку. Попутно, можно большие картинки ресайзить. Все.
Проблема решается ещё проще, при загрузке проверяется картинка ли это и всё (соответсвующий патч именно для рнрВВ я уже сделал) только вот такое ощущение что есть ещё какая-то дыра (на этот раз именно в IE) о которой мне не говорят и которая якобы позволяет выполнить вредоносный код не загружая её на сервер (но тогда не вижу смысла в отключении аватар, т.е всё это можно провернуть через картинку в подписи, в тексте сообщения и.т.д...)
Одним словом глупости всё это... (ИМХО)
#44
listener
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 618
- Регистрация: 08 Май 03
Отправлено 25 Июнь 2005 - 18:13
Mr. Anderson
А что теоретизировать?
Что сложного в том, чтобы напустить на закачанную картинку
Добавлено спустя 6 минут 4 секунды:
Vladson
Меня, в свое время запугивали XSS, якобы можно загрузить скрипт вместо картинки, потом этот скрипт утащит пароль из куки и отошлет хозяину картинки.
Сделать это изнутри IMG мне не удалось, на что запугивавший сказал, что я все равно умру.
Еще было переполнение буфера в GDI+, но это пофиксили полгода назад во всем, что GDI использовало, а недавно, без лишнего шума - и в FF (AFAIR, в 1.0.2 починили jpeg, в 1.0.4 - TIFF).
Про что-то еще с картинками я не слышал.
Про проверку на картинку, сказали, что можно, якобы, создать скрипт с заголовком от картинки. (у меня проверка на то, что это картинка - по 2 строки на формат+ еще строчка - получение первых шести байт файла).
А что теоретизировать?
Что сложного в том, чтобы напустить на закачанную картинку
imagecreatefromjpeg (...); или imagecreatefromgif (...); imagejpeg (...)
Добавлено спустя 6 минут 4 секунды:
Vladson
Меня, в свое время запугивали XSS, якобы можно загрузить скрипт вместо картинки, потом этот скрипт утащит пароль из куки и отошлет хозяину картинки.
Сделать это изнутри IMG мне не удалось, на что запугивавший сказал, что я все равно умру.
Еще было переполнение буфера в GDI+, но это пофиксили полгода назад во всем, что GDI использовало, а недавно, без лишнего шума - и в FF (AFAIR, в 1.0.2 починили jpeg, в 1.0.4 - TIFF).
Про что-то еще с картинками я не слышал.
Про проверку на картинку, сказали, что можно, якобы, создать скрипт с заголовком от картинки. (у меня проверка на то, что это картинка - по 2 строки на формат+ еще строчка - получение первых шести байт файла).
#45
Vladson
- Advanced Member
-
- Группа: Участник клуба Voodoo Masters
- Сообщений: 566
- Регистрация: 07 Август 04
Отправлено 25 Июнь 2005 - 18:21
Цитата
Про проверку на картинку, сказали, что можно, якобы, создать скрипт с заголовком от картинки
Чушь, IE выдаст ошибку и скрипт не будет выполнен... (проверено)
#47
Mr. Anderson
- phpBB Guru
-
- Группа: Пользователи
- Сообщений: 945
- Регистрация: 05 Октябрь 03
Отправлено 25 Июнь 2005 - 19:02
Vladson
Не решается она так. Можешь у Хперта получить ответ на наш баг-репорт, поймешь.
listener
А то, что имага может быть анимированной? А то, что она может заметно потерять в качестве и/или увеличится в размере?
Еще раз говорю - эту проблему не первый день обсуждают, но 100%-действенного решения нет по сей день.
Ждем майкрософта.
Не решается она так. Можешь у Хперта получить ответ на наш баг-репорт, поймешь.
listener
А то, что имага может быть анимированной? А то, что она может заметно потерять в качестве и/или увеличится в размере?
Еще раз говорю - эту проблему не первый день обсуждают, но 100%-действенного решения нет по сей день.
Ждем майкрософта.
#49
listener
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 618
- Регистрация: 08 Май 03
Отправлено 25 Июнь 2005 - 19:42
Mr. Anderson
Анимированная - да, этот метод не подходит. Здесь нужен ImageMagick
Касательно качества - если оно важно - загружать .gif и записать .gif или просить грузить .bmp если важно качество, и выводить jpeg (чтобы избежать рекомпрессии).
Но, самое главное - мне неясно в чем дыра: изнутри IMG это не работает, а если что-то открывает аватары отдельно (в смысле, делает на них переход) - сам дурак.
Анимированная - да, этот метод не подходит. Здесь нужен ImageMagick
Касательно качества - если оно важно - загружать .gif и записать .gif или просить грузить .bmp если важно качество, и выводить jpeg (чтобы избежать рекомпрессии).
Но, самое главное - мне неясно в чем дыра: изнутри IMG это не работает, а если что-то открывает аватары отдельно (в смысле, делает на них переход) - сам дурак.
#50
Mr. Anderson
- phpBB Guru
-
- Группа: Пользователи
- Сообщений: 945
- Регистрация: 05 Октябрь 03
Отправлено 26 Июнь 2005 - 10:06
Vladson
А еще не решается проблема с УЖЕ загруженной авой. Особенно удаленной.
listener
Побудьте суппортером - поймете сколько таких "сам дурак"... В этом-то и проблема.
А еще не решается проблема с УЖЕ загруженной авой. Особенно удаленной.
listener
Побудьте суппортером - поймете сколько таких "сам дурак"... В этом-то и проблема.
#51
listener
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 618
- Регистрация: 08 Май 03
Отправлено 26 Июнь 2005 - 19:42
Mr. Anderson
Знаю. Был. Есть. Количество дураков уменьшается запретом открытия картинки без указания referrer, либо, если referrer не указан, редиректом на страничку, внутри которой эта аватар обернут в IMG.
Не в плане наезда, а для константации файкта ради: есть два подхода к решению проблемы: 1) решить проблему; 2) объяснить, почему ее решить нельзя. Я предпочитаю, когда возможно, действовать по первому варианту.
Знаю. Был. Есть. Количество дураков уменьшается запретом открытия картинки без указания referrer, либо, если referrer не указан, редиректом на страничку, внутри которой эта аватар обернут в IMG.
Не в плане наезда, а для константации файкта ради: есть два подхода к решению проблемы: 1) решить проблему; 2) объяснить, почему ее решить нельзя. Я предпочитаю, когда возможно, действовать по первому варианту.
#52
Mr. Anderson
- phpBB Guru
-
- Группа: Пользователи
- Сообщений: 945
- Регистрация: 05 Октябрь 03
Отправлено 27 Июнь 2005 - 01:06
listener
Опять же - сообщите это "выше"... Не мне, а хоть бы майкрософту и пхпбб груп...
Опять же - сообщите это "выше"... Не мне, а хоть бы майкрософту и пхпбб груп...
#53
~~~ZETT~~~
- Advanced Member
-
- Группа: Участник клуба Voodoo Masters
- Сообщений: 667
- Регистрация: 11 Март 04
Отправлено 08 Июль 2005 - 12:08
Ну так все таки когда?
.
#56
kanapfelka
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 777
- Регистрация: 06 Август 04
Отправлено 09 Июль 2005 - 00:48
успокойтесь. 
#58
kanapfelka
- Advanced Member
-
- Группа: Пользователи
- Сообщений: 777
- Регистрация: 06 Август 04
Отправлено 09 Июль 2005 - 02:18
Цитата
зато теперь форум просто летает
у меня и с аватарами летало
