Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Новая критическая уязвимость в WordPress, opennews (?), 28-Апр-15, (0) [смотреть все] Это просто праздник какой-то , anonimous (?), 10:19 , 28-Апр-15, (1) +11 // Для вордпресса каждый день - такой праздник , pkdr (ok), 10:34 , 28-Апр-15, (4) +10 Вордпресс - это праздник, который всегда с тобой , anonymous (??), 10:43 , 28-Апр-15, (8) +7 // Праздник каждый день , Аноним (-), 21:28 , 28-Апр-15, (45) да уж, лучше использовать чистый html чем это , нонэйм (?), 10:23 , 28-Апр-15, (2) // Чистый html - совершенно не годится Текст на голом html будет очень легко читат, pkdr (ok), 10:42 , 28-Апр-15, (7) +16 // Ммм, простыню текста раскинувшуюся на весь экран от левого края до правого удобн, Онотоле (?), 13:06 , 28-Апр-15, (20) +1 // CSS Нет, никогда не слышал и слышать не желаю , Аноним (-), 13:20 , 28-Апр-15, (23) +2 не экран, а окно думать надо головой покупая экран с соотношением от 16 9 и, Аноним (-), 13:26 , 28-Апр-15, (24) +1 У меня так и есть 16 9, 23 моник На весь экран И мне удобно , playnet (ok), 13:39 , 28-Апр-15, (26) +1 Так у нормальных сайтов резиновая верстка и они на весь экран как раз получают, Аноним (-), 18:35 , 28-Апр-15, (40) Есть, кстати, 2048х1536, тоже 4 3 , Vkni (ok), 20:01 , 28-Апр-15, (43) Хз, мне достойные внимания аппараты за разумные деньги в продаже не попадались , Аноним (-), 22:02 , 28-Апр-15, (47) Для большого настольного дисплея широкий формат удобнее Уже 17-ти дюймовый ноут , Vkni (ok), 22:27 , 28-Апр-15, (48) Вообще это 16 9 16 10 8212 2560х1600 , Аноним (-), 20:06 , 29-Апр-15, (53) Немного увеличенным шрифтом - вполне удобно И у меня экран лёгким движением рук, pkdr (ok), 14:42 , 28-Апр-15, (31) Если экран - не совсем щель, то это даже лучше 4 3 , Vkni (ok), 20:02 , 28-Апр-15, (44) Табличная вестка же Там это делается элементарно , playnet (ok), 13:38 , 28-Апр-15, (25) +1 поле TEXT в MySQL не может превышать 64 Кб, в то время как лимит на размер комм, Аноним (-), 10:26 , 28-Апр-15, (3) +1 // ну ошиблись, сделать alter table, поменять TEXT на LONGTEXT и всё заработает или, Аноним (-), 11:20 , 28-Апр-15, (10) –1 // Движок самдолжен запрашивать макс размер поля в БД, Умник (?), 12:51 , 28-Апр-15, (19) // На каждый запрос клиента Получать типы, размерности, связи и прочее Этак мы до, playnet (ok), 13:42 , 28-Апр-15, (27) в смысле, перечитывать свойства базы при изменениях в админке, причём не во всех, playnet (ok), 13:44 , 28-Апр-15, (28) Какой LONGTEXT VARCHAR xxx уже давно как позволяет до нескольких мегабайт запис, Ilya Indigo (ok), 19:47 , 28-Апр-15, (42) +1 Сначала не понял откуда такое число, ноЕсли я правильно понял, в самом WP никако, йцу (?), 10:37 , 28-Апр-15, (6) +1 // Точнее, разметку можно и нужно делать HTML-подобной - такое большему числу люд, Crazy Alex (ok), 12:07 , 28-Апр-15, (15) +1 html проще парсить, чем тот же markdown Не говоря о textile , Аноним (-), 12:37 , 28-Апр-15, (17) А все потому что мыскль В нормальной субд при превышении размера поля будет erro, Аноним (-), 11:05 , 28-Апр-15, (9) –1 // Какой флаг нужно вписать в sql-mode , Аноним (-), 13:08 , 28-Апр-15, (21) +1 // STRICT_ALL_TABLES, Аноним (-), 13:49 , 28-Апр-15, (29) // У меня STRICT_TRANS_TABLES, Аноним (-), 14:21 , 28-Апр-15, (30) Если таблицы в InnoDB - сойдёт , Аноним (-), 16:56 , 28-Апр-15, (37) TokuDB, Аноним (-), 17:35 , 28-Апр-15, (38) Ну или так, TRANS_ - это для всех движков, которые Transactions YES в SHOW ENG, Аноним (-), 17:50 , 28-Апр-15, (39) Если не 90 , Онотоле (?), 13:09 , 28-Апр-15, (22) всё 8208 таки пицца оказалась не умнее сыра , arisu (ok), 11:59 , 28-Апр-15, (14) +3 // Увы Это, наверное, зелёная Жаба виновата Давно пора было уволить , A.Stahl (ok), 15:24 , 28-Апр-15, (33) Да просто не надо полагаться на то, что в базе html типа чистый - нужно очищат, vitalif (ok), 14:46 , 28-Апр-15, (32) +1   // Нет, тут не XSS и не всего лишь, а возможность впихать свой JS, который при прос, Аноним (-), 18:40 , 28-Апр-15, (41)   Слушайте, а у меня идея ставишь на localhost любой http сервер, на него загружа, Музыкант (?), 21:50 , 28-Апр-15, (46) // https www staticgen com is your friend , Typography Nazi (?), 01:09 , 29-Апр-15, (49) +1 // Спасибо Я просто не смог найти, как этот подход называется - везде тупо давали , Музыкант (?), 11:39 , 29-Апр-15, (50) Я такую фигню на python, bottle и scp собрал минуты за две Правда, не для блого, бедный буратино (ok), 16:19 , 29-Апр-15, (52) Wordpress удалили из портов OpenBSD Ибо нефиг , бедный буратино (ok), 11:56 , 29-Апр-15, (51) 1,2,3,6,9,14,32,46,51

Сообщения

[Сортировка по времени | RSS]

32. "Новая критическая уязвимость в WordPress"	+1 +/–
Сообщение от vitalif (ok), 28-Апр-15, 14:46
Да просто не надо полагаться на то, что в базе html типа "чистый" - нужно очищать ПОСЛЕ того, как берёшь из базы. Заодно получаешь защиту от просто подстановки яваскрипта через какую-нибудь дыру, которая позволяет текст записей менять. Очищать кстати норм htmLawed'ом. P.S: Я думал, что "критичная" - это выполнение кода, а тут XSS всего лишь... этих XSS'ов там по-моему на каждом углу.
Ответить | Правка | Наверх | Cообщить модератору

	41. "Новая критическая уязвимость в WordPress"	+/–
	Сообщение от Аноним (-), 28-Апр-15, 18:40
	> P.S: Я думал, что "критичная" - это выполнение кода, а тут XSS > всего лишь... этих XSS'ов там по-моему на каждом углу. Нет, тут не XSS и не всего лишь, а возможность впихать свой JS, который при просмотре админом может лихо вкачать PHP shell на сервер и далее поиметь все и вся с правами пользователя под которым php крутился. Это, конечно, многоходовочка, но с учетом массовости вордпресса - такое будет летать чартерными рейсами в самом обозримом будущем. Халявные шеллы нужны всем, так что пощады от хакерья не ждите.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема