?

Log in

No account? Create an account
Это и рвем

ru_grelka


Общество любителей рваных грелок

и их тузиков...


Previous Entry Share Next Entry
Почему нельзя голосовать за свой рассказ?
lleo wrote in ru_grelka
Можно! Еще как можно! Достаточно элементарных познаний HTML. Открываем страницу голосования, например, в Firefox. Наводим на серый прямоугольник мышку и открываем "Исследовать элемент". И видим, что ваш рассказ имеет опцию, запрещающую вносить пометки:

<input disabled="" value="" style="background-color: rgb(192,192,192)" type="text" name="T12345" size="2">

А все остальные рассказы - нет:

<input type="text" name="T12346" size="2" value="">

Просто редактируем тэг, убираем disabled="" и смело ставим цифру 1. Цифрами 2,3,4,5,6 отмечаем погремушечные рассказы, которые все равно не пройдут. Нажимаем "Проголосовать".

Вуаля! Конкурсный движок согласен, что вы успешно проголосовали! Он принял ваш голос!
Сообщений "Ошибка: Вы не проставили никому первое место!" не будет. Ваш голос записан в базу. Весь запрет-то был на уровне браузера, на сервере никаких проверок нет.

Только никому не говорите.

Buy for 100 tokens
Buy promo for minimal price.

  • 1

Новый движок?

Вообще это явный признак того, что конкурсу нужен новый движок, причём, возможно, давненько и со своим форумом.

Я бы даже взялся, если есть желание у организаторов + желание других людей принимать участие в разработке, потому как времени у одного не особо много.

Re: Новый движок?

Да много кто взялся бы, но что-то никто не берётся. Реально некогда делать большой движок со всеми задумками: работа, семья, литература та же самая, ещё какие-то дела. Так - решительно у всех.

Re: Новый движок?

Были бы исходники текущего где-то на гитхабе, слали бы коммиты. В одиночку сложные проекты тяжело тащить, а те, которые легко ничем лучше существующего не будут.

RE: Re: Новый движок?

Я бы написал с преогромным удовольствием (почту за честь), но проблема-то в том, что уже есть существующий движок с хорошей репутацией. Написать новый и просить народ играть на моём движке при живом старом - мудачество чистой воды.

Если делать, то с одобрения Фролова и прочих власть имущих.

Re: Re: Новый движок?

(Anonymous)
Бэк трогать не надо, а вот фронт допилить не мешало бы

Re: Новый движок?

Что "это"?

Re: Новый движок?

Недостаточная проверка вводимых данных на стороне бекенда, я полагаю. И отсутствие банальной валидации вводимых полей со стороны фронтэнда, сейчас туда можно хоть афывафыв писать, лишь бы поля с цифрами были(числовое поле в диапазоне прописать полторы минуты дела).

Что и приводит к таким казусам.

Re: Новый движок?

Вы проверяли логи голосований, чтобы такое говорить?

Я проверял. Движок ответил, что ПРИНЯЛ мой голос с 1 местом своему рассказу. И далее сообщал, что мое голосование состоялось.

По причинам этики я не стал дожидаться окончания голосования, а поспешил дать знак разработчикам, чтобы у них было время исправить.

Но если разработчики ведут себя высокомерно, впору задать прямой вопрос: и как же устроен движок в этом случае? Варианты:

1) Засчитал мой голос за самого себя?

2) Засчитал мое голосование за места 2,3,4,5,6, позволив не поставить первое место никому?

3) В момент окончания голосования движок сам бы нашел ошибку и перевел меня в разряд "не проголосовавших", хотя прежде писал, что мой голос принят успешно?

4) В момент окончания голосования пришел бы живой человек, сел всё проверять руками и, возможно, заметил бы ошибку и выкинул меня вручную?

Нормально одаренный участник написал бы мне об этой проблеме в личку, а не стал бы устраивать здесь балаган. Я помню, как один альтернативно гендерный участник на первом конкурсе в движке засрал в своем произведении все текстом на джаваскрипте alert(1) https://ru-grelka.livejournal.com/490351.html. Наверно хотел хайпануть, как и сейчас, но обломился. А мог бы в личку написать. Так и не признался, кто это. Так и сейчас. В движке нормально все. Хочешь получить ответ на свой вопрос - проголосуй неправильно и жди.

А, понятно.
То есть, вместо благодарности за вовремя сообщенную информацию о возможной уязвимости (задолго до окончания голосования), мы пожинаем упреки, а главное - советы на будущее пытаться использовать любые замеченные дырки в боевом режиме, а не сообщать о них.

Хорошо, ответ принят. Если мне случится в будущем обнаружить уязвимость, я не буду останавливать эксперименты и сообщать о ней публично, а сперва поразвлекаюсь до конца и посмотрю, к чему это приведёт. Именно такой совет вы только что дали, и я не вижу причин вам не верить.

Отдельно любопытным прозвучал рассказ про человека, забившего поле конкурсного текста командами alert(1). Намекается, что это был я? При всем желании не могу ни признаться, ни опровергнуть: если я 9 лет назад теста ради набрал alert в каком-то текстовом поле какого-то сайта - то уж такую хуйню я в своей памяти 9 лет не храню точно. Если бы человек пытался вместо alert угнать админские document.cookie или выполнить эксплойт, удаляющий mysql-таблицы - тогда точно не я. А безобидный alert мог вполне и я написать, тоже мне, проблема. А мог это сделать любой другой человек - это же элементарная классическая проверка текстовой формы сайта, учебник школьника, глава один.

Смешно тут другое: если спустя 9 лет админ помнит, как кто-то ему написал alert(1)... То это значит только одно: сработало. Ввод был не заэканирован и браузер действительно покрылся единичками. Но тогда это позор для админа, понятно, почему 9 лет он не забывается. Мне в дневнике на сайте такое каждую неделю пытаются написать, не сработало, и уходят. Если б я по 9 лет вспоминал каждого и скрежетал зубами вслед... :)))

PS: ради интереса поискал в базе своего дневника - нашел одного посетителя, пытавшегося зарегистрироваться в неведомый год под ником alert('kuku'), и другого как alert(777). Возможно, они и грелку вам поломали :)

Re: Новый движок?

К фронт-энду логи отношения вообще не имеют.

Бек... Данные отправляются? Да. Ошибка есть? Нет. А должна. Так что говорить "такое" можно и нужно.

При всём уважении лично к вам и понимании, что из себя может представлять самописный движок с одним разработчиком.

Re: Новый движок?

А тем временем у Лео упал сайт...

Re: Новый движок?

Ну это ко мне точно не относится, я даже хз чё там за сайт.

  • 1