Разработка сайта в действии: скрины и эксплоиты

Зобанить мну! Зобанить! :D

Говоря по существу, у меня никакого умысла портить что-либо здесь не было (еслиб было, то сайт мигом в зловонную помойку превратился бы :D )

Проект сугубо тематический и ориентирован на дружеское общение по делу :)
Строго говоря, заинтерисован в этом проекте только благодря просветительской деятельности SATtva и unknown: благодаря SATtva заинтерисвался своей безопасностью, а unknown помог стать профессиональным параноиком :D

Но SATtva сам предложил протестировать не проект, а движок, который очевидно предназначен не только для этого проекта, но и для совершенно других, подчас очень агрессивных сред :) А раз так, то и было решено проверить его на прочность :)
Но, действия spinore всётаки осуждаю: играться надо в специальной песочнице предназначенной для тестирования движка, а не по всему проекту :D

Но, действия spinore всётаки осуждаю: играться надо в специальной песочнице предназначенной для тестирования движка, а не по всему проекту :D

Боюсь тогда будут проблемы с мотивацией. В песочнице словно дитю малому играться неспортивно. Хулиганить так на самой грани :-) репутация проекта от этого не пострадает, он ведь некоммерческий, перед клиентами оправдываться не надо, а свои всё поймут им ещё на пользу пойдёт.

Тем более он ничего не поломал, ничего плохого не написал, так нафлудил малость.

Кроме того, это не произвело бы ТАКОГО впечатления. Ну была бы очередная дыра в движке и всё, потенциал которой до конца бы не осознали. А так всё очень наглядно в онлайне и можно о многом подумать.

Не осуждаю :-)

unknown:
Может помещать вновь зарегистрировавшихся пользователей в карантин с минимальным набором прав?

Хотя что потом с ними делать? Вручную подозрительных отслеживать? Так они хитрые, затаиться могут :-)

Ничего не понял. Запретить писать комменты в произвольных темах что ли? А редактировать документы итак могут толкьо члены группы OpenPGP, которая не столь многочисленна, и туда как я понимаю, попадают те, кто уже более-менее известен пользователям проекта.
Да, есть ещё более интересный вариант, который используется в "агрессивных средах" \© mellon\ – регистрация по личному запросу к администратору либо по его приглашению, причём людей с улицы не берут. Для данного проекта, думаю, это не имеет смысла. Как станет среда агрессивной – так и надо будет думать. Пока важно чтоб не было копрометации и возможности взлома сайта, а загадить можно любой форум при желании если постить разрешено.
В частности, возможность читать оригиналы подписанных сообщений – это большое добро, так как проверяя их, всегда можно сказать что к чему несмотря на взлом/копрометацию сайта.

mellon:
Говоря по существу, у меня никакого умысла портить что-либо здесь не было (еслиб было, то сайт мигом в зловонную помойку превратился бы :D )

Вот видите? Видите? Он уже нарывается! Я ж говорил...

mellon:
Но, действия spinore всётаки осуждаю

А за спинороцид статья есть...

unknown:
Ну была бы очередная дыра в движке и всё, потенциал которой до конца бы не осознали. А так всё очень наглядно в онлайне и можно о многом подумать.

Поднял вверх все свои 4 лапы чтобы поддержать :-)

unknown:
Кстати, на протяжении всей истории люди чем-то похожим занимались, только эта стратегия была придумана не для забавных игр

Я слышал вот о каких вещах, которые может быть имеют отношение к делу:

• НЛП-тренинги для корпораций. И вообще всякие психологические тренинги, польза/вред от которых довольно спорны, и многие вообще после них инвалидами остаются.
• Языковые игры, о которых нам рассказывали на лекциях по философии – я толком не помню что там, но так, слышал... Это философия 20-го века, кажется.
• Собственно, театр, чем это всё и является.

Я не про НЛП, не про НЛО и не про прочие страшилки для обывателей.
По ссылкам как это кое-где принято не ходили, я совсем не про это, ну да ладно, проехали.

Ничего не понял. Запретить писать комменты в произвольных темах что ли? А редактировать документы итак могут толкьо члены группы OpenPGP,

Ну хотя бы подписи запретить временно использовать, хотя сам понимаю, что это бред.
Избавление от перхоти методом гильотины.

регистрация по личному запросу к администратору либо по его приглашению, причём людей с улицы не берут. Для данного проекта, думаю, это не имеет смысла. Как станет среда агрессивной – так и надо будет думать.

Закрытые клубы и сообщества быстро застаиваются и деградируют. Или какая-то масонская ложа получиться с надменной иерархией, вместо свободного общения пусть и с возможностью нарваться на слегка неадекватных субъектов. (без них тоже скучно).

А за спинороцид статья есть...

Тогда если spinore ещё разбушуется, отправим лечить его от спиноротоксикоза.

unknown:

По ссылкам как это кое-где принято не ходили, я совсем не про это, ну да ладно, проехали.

Я просто английский очень плохо знаю, особенно на общественные темы. Мне надо долго напрягаться чтоб перевести. Я читаю английские тексты не по специальности/компам толкьо если очень интересно/сильно_надо. То есть, проблема исключительно в языке.
unknown

Ну хотя бы подписи запретить временно использовать

За что такая немилость? Их и делали именно затем, чтоб могли их использовать всё, даже неавторизованные пользователи(!).
Или вы имеете в виду всё ту же атаку с подменами символов? Так SATtva уже вроде пофиксил сие (?)
unknown

Закрытые клубы и сообщества быстро застаиваются и деградируют.

В целом это правда, но не совсем: новые члены могут приходить, просто отбор должен быть хоть какой-то. Типа, есть один отстойник, который доступен всем, второй отстойник, куда попадают только проявившие себя хорошо в первом, и истиное место, куда приглашают только тех, кто хорошо себя проявил во втором отстойнике. Схема реально работает, новые члены появляются. Хотя надёжность клуба, возможно, не оправдывает геморрой связанный с вышеуказанным разделением на отстойнике.
unknown

Тогда если spinore ещё разбушуется, отправим лечить его от спиноротоксикоза.

Ну меня осталось забанить только здесь, на obsd.ru и на runetbsd.ru чтобы я перестал гнить на форумах :-)
В принципе, полезное дело будет. Когда меня на лоре зобанили я наконец-то вернулся к нормальной жизни :-))) А то просто жил там.

Я сделал некоторую проверку ников на похожесть при регистрации и добавлении комментария / правки страницы гостем.

Раз уж в теме есть слово "эксплоиты", то добавлю от себя о своей же схеме. Эта защита даст результат только в том случае, если пытаться сымитировать никнэйм, написанный в одной раскладке. Если же в никнэйме (легитимном) изначально использовались похожие по начертанию подстановки, то его можно будет подделать, просто добавив ещё одну подстановку.

Например, если бы мой никнэйм был SATтva, достаточно было бы заменить вторую или последнюю "a" на кириллическую, чтобы проверка прошла.

Проблема предложенной схемы проверки в том, что она тестирует (на наличие в БД) только три варианта написания: 1) предложенный пользователем, 2) со всеми кириллическими подстановками, 3) со всеми латинскими подстановками. Т.е. без смешанных вариантов. Чтобы сделать полную защиту, требуется собрать массив всех комбинаций подстановок и проверять их все. Сие есть дурдом. Но если кто-нибудь предложит алгоритм (можно в псевдокоде), можно будет и сделать.

да, кстати по поводу бана, вспомнил:
Возникала у меня как-то в жизни ситуация когда нельзя было себя разрегистрировать.
Как говорится, это нужно не часто, но метко. В этом форуме есть такая возможность или только руками SATtva'ы?

SATtva:

Чтобы сделать полную защиту, требуется собрать массив всех комбинаций подстановок и проверять их все.

Это будет сделано в будущем? (по уму надо, конечно, именно так делать)
P. S.: вспоминается: "проще всего, конечно, запретить кириллицу..." © SATtva

Только выносить ручками из каждой таблицы БД. Изначально в WackoWiki возможности удалить пользователя предусмотрено не было, а за недостатком прецедентов здесь я тоже данную возможность ещё не реализовал. Это, кстати, будет не так просто, как может показаться: простой delete from users where name = 'nickname' не пройдёт, поскольку имя останется владельцем каких-то документов, наблюдений и т.п.

Бана пока, кстати, тоже нет. :-)

Чтобы сделать полную защиту, требуется собрать массив всех комбинаций подстановок и проверять их все.

Это будет сделано в будущем? (по уму надо, конечно, именно так делать)

Я тут намедни посмотрел реализации таких проверок в других веб-движках. К сожалению, ничего лучшего, чем у нас, не увидел. "По уму" действительно следует проверять все варианты. Труднее написать алгоритм для построения такого списка. Открыт для предложений.

SATtva:

простой delete from users where name = 'nickname' не пройдёт, поскольку имя останется владельцем каких-то документов, наблюдений и т.п.

ну и что. Во многих форумах при забанивании/удалении пользователя его комментарии/темы остаются. Коменты/темы трутся если нарушают правила/противоречат_личному_вкусу_админа, а бан соответствует просто запрету логиниться в таком случае. Удаление – тоже самое, толкьо запрет логиниться навечно.

SATtva:

Труднее написать алгоритм для построения такого списка. Открыт для предложений.

Не понял в чём проблема.
берём имя пользователя, находим все буквы, которые можно использовать для незаметной подмены – вы уже писали где-то этот список букв.
Далее для каждой из подменяемых букв мы знаем как найти для неё подмены из таблицы соответствий.
Конструируем функцию, которая по по номеру позиции в слове подменяемой буквы конструирует все возможные подмены этой буквы. пусть это функция fun0. И пусть эта функция умеет обрабатывать массив входных имён.
Вначале конструируем первое подменное имя, соответствующее первой подмене первой подменяемой буквы и вносим его в массив. это вызов SATtva – получили SАTtva. Других вариантов подменить Aнет. иначе бы получили массив имён. Полученное имя (массив в общем случае) – добавляем в массив подмен MAS.
Потом находим вторую подменную букву – в случае SATtva это буква T. Вариант один – подмена на Т. Эту подмену (в общем случае массив подменых имён, где подменена только вторая буква) добавляем в MAS, потом суём на вход функции fun0, то есть находим всевозможные комбинации где обе первые буквы подменены в произвольных комбинациях. Полученные подмены добавляем в MAS.
Теперь находим третью подменную букву, в случае SATtva – это буква t. И подмена будет SATтva. Суём SATтva в MAS, подаём на вход fun0 и получаем массив MAS со всевозможными подменами первых 3 подменяемых букв. Продолжаем пока не исчерпаются все подменяемые буквы.

Полученный массив MAS поэлементно сравниваем с каждым из существующих уже имён пользователей на сайте.
P. S.: можно сделать чтоб fun0 не обрабатывала массив – тогда надо будет вместо передачи массива вызывать её несколько раз дял каждого из элементов массива.
Улучшения, думаю, возможны, это – вариант слёту.

Дополнение: функция fun0 каждый раз вызывается со своим аргументом, соотвествующим номеру подменяемой буквы, например.
Идея, думаю, ясна если подумать