?

Log in

No account? Create an account
Это и рвем

ru_grelka


Общество любителей рваных грелок

и их тузиков...


Previous Entry Share Next Entry
Почему нельзя голосовать за свой рассказ?
lleo wrote in ru_grelka
Можно! Еще как можно! Достаточно элементарных познаний HTML. Открываем страницу голосования, например, в Firefox. Наводим на серый прямоугольник мышку и открываем "Исследовать элемент". И видим, что ваш рассказ имеет опцию, запрещающую вносить пометки:

<input disabled="" value="" style="background-color: rgb(192,192,192)" type="text" name="T12345" size="2">

А все остальные рассказы - нет:

<input type="text" name="T12346" size="2" value="">

Просто редактируем тэг, убираем disabled="" и смело ставим цифру 1. Цифрами 2,3,4,5,6 отмечаем погремушечные рассказы, которые все равно не пройдут. Нажимаем "Проголосовать".

Вуаля! Конкурсный движок согласен, что вы успешно проголосовали! Он принял ваш голос!
Сообщений "Ошибка: Вы не проставили никому первое место!" не будет. Ваш голос записан в базу. Весь запрет-то был на уровне браузера, на сервере никаких проверок нет.

Только никому не говорите.

Buy for 100 tokens
Buy promo for minimal price.

  • 1

Re: Новый движок?

Недостаточная проверка вводимых данных на стороне бекенда, я полагаю. И отсутствие банальной валидации вводимых полей со стороны фронтэнда, сейчас туда можно хоть афывафыв писать, лишь бы поля с цифрами были(числовое поле в диапазоне прописать полторы минуты дела).

Что и приводит к таким казусам.

Re: Новый движок?

Вы проверяли логи голосований, чтобы такое говорить?

Я проверял. Движок ответил, что ПРИНЯЛ мой голос с 1 местом своему рассказу. И далее сообщал, что мое голосование состоялось.

По причинам этики я не стал дожидаться окончания голосования, а поспешил дать знак разработчикам, чтобы у них было время исправить.

Но если разработчики ведут себя высокомерно, впору задать прямой вопрос: и как же устроен движок в этом случае? Варианты:

1) Засчитал мой голос за самого себя?

2) Засчитал мое голосование за места 2,3,4,5,6, позволив не поставить первое место никому?

3) В момент окончания голосования движок сам бы нашел ошибку и перевел меня в разряд "не проголосовавших", хотя прежде писал, что мой голос принят успешно?

4) В момент окончания голосования пришел бы живой человек, сел всё проверять руками и, возможно, заметил бы ошибку и выкинул меня вручную?

Нормально одаренный участник написал бы мне об этой проблеме в личку, а не стал бы устраивать здесь балаган. Я помню, как один альтернативно гендерный участник на первом конкурсе в движке засрал в своем произведении все текстом на джаваскрипте alert(1) https://ru-grelka.livejournal.com/490351.html. Наверно хотел хайпануть, как и сейчас, но обломился. А мог бы в личку написать. Так и не признался, кто это. Так и сейчас. В движке нормально все. Хочешь получить ответ на свой вопрос - проголосуй неправильно и жди.

А, понятно.
То есть, вместо благодарности за вовремя сообщенную информацию о возможной уязвимости (задолго до окончания голосования), мы пожинаем упреки, а главное - советы на будущее пытаться использовать любые замеченные дырки в боевом режиме, а не сообщать о них.

Хорошо, ответ принят. Если мне случится в будущем обнаружить уязвимость, я не буду останавливать эксперименты и сообщать о ней публично, а сперва поразвлекаюсь до конца и посмотрю, к чему это приведёт. Именно такой совет вы только что дали, и я не вижу причин вам не верить.

УК РФ Статья 272

Ты ж моя мусенька!!!! :))))

Это теперь у нас "ст 272 неправомерный доступ к информации" - проголосовать за собственный рассказ на конкурсе Рваная Грелка? :))))))

Ты уж пойди поищи нам статью пострашнее. Подделка избирательных документов. Или оскорбление власти Грелки. Или унижение религиозных чувств грелочников :)))

А я думала, что желание ломать чужие игрушки обычно оставляют далеко в детстве... Но это так, отнюдь не злобное скрежетание. Наблюдаю с интересом. Все же не каждый день пятидесятилетний неглупый дядька признается в таком невинном детском желании пакостить и радоваться.

Вы просто не разбираетесь в этом совсем.

В мире IT принято изучать в чужих системах различные уязвимости - не для того, чтобы воспользоваться ими, а чтобы подать сигнал разработчику и он успел это поправить до того, как дырой воспользуются люди нечестные и нанесут урон.

Почти каждый из вас тоже в какой-то мере тестировал движок: когда пробовал отправить рассказ меньше 5000 или больше 50000 знаков - запрещено, но вдруг бы получилось?

Мне тоже много людей так помогало. Один даже, помнится, взломал мой дневник и написал забавный постик от моего имени. Чтобы позже рассказать, в чем уязвимость (ранних версий PHP) и посоветовал, как исправить. Тот его постик до сих пор висит, и мне бы сроду не пришло в голову обижаться - я до сих пор благодарен ему, потому что мой ДОБРОЖЕЛАТЕЛЬ нашел ошибку и указал мне на нее прежде, чем ее бы нашел ЗЛОУМЫШЛЕННИК.

К сожалению, нынешний администратор Грелки - Фролов - ведет себя в этом смысле непрофессионально: легкие попытки доброжалателей проверить типичные уязвимости прежде, чем их найдут хакеры, он воспринимает как агрессию против его великой системы, фыркает, грозит статьей УК и иным образом ведет себя так, словно у него уже с кредитки списали миллион.

Это конечно полностью его право. Но соответственно ни у меня, ни у тех, кто наблюдает его реакцию, не возникнет впредь никакого желания обсуждать с таким человеком вопросы безопасности или ошибок его движка - даже если они будут обнаружены. Себе дороже. Скажешь ему, мол, вот тут у тебя по ссылке оказалась открыта информация не для доступа - а он тебе тут же начнет УК угрожать. Да нахуй надо ;)

Re: Вы просто не разбираетесь в этом совсем.

Ага. Это, разумеется, была невинная помощь координатору движка во время конкурса. Как же до меня сразу-то не дошло!
Лавры Дивова покою не дают, надо полагать? )

милая, именно

Это именно был сигнал координатору обратить внимание на то, что при определенных условиях движок ПРИНИМАЕТ бюллетень с голосом за свой рассказ, не выдавая ошибку, словно так и надо. И отправил я это в первые дни голосования, чтобы у координатора было время разобраться и устранить проблему, если таковая имеется. Если бы я желал нарушить работу конкурса или подтасовать результаты я бы, как вы могли бы и сами догадаться, отнюдь не спешил рассказывать о своем наблюдении. Но вместо спасибо мы услышали хмурые вопли про УК и старые жалобы на какого-то прохожего, который десять лет в качестве псевдонима использовал слово "alеrt(1);alеrt(1);alеrt(1);", чем нанес Фролову великие мучения.

А что не так с Дивовым? Я понимаю, вы молоды и на Грелке играете от силы первый десяток лет. Но если вы не в курсе, Дивов вообще-то и организовал Грелку. Это проект Дивова в известном смысле. Так что Дивову следует говорить спасибо, а не кидать в его сторону невнятные упреки. Дивов придумал Грелку. И ею занимался Нестеров. Потом Вывь. Потом Ворч. Потом Слай. Могу путать последовательности или имена. Сейчас Фролов. Спасибо ему, что тащит для нас этот нелегкий груз последние годы. Но есть и отдельные неадекватности в его поведении.

Отдельно любопытным прозвучал рассказ про человека, забившего поле конкурсного текста командами alert(1). Намекается, что это был я? При всем желании не могу ни признаться, ни опровергнуть: если я 9 лет назад теста ради набрал alert в каком-то текстовом поле какого-то сайта - то уж такую хуйню я в своей памяти 9 лет не храню точно. Если бы человек пытался вместо alert угнать админские document.cookie или выполнить эксплойт, удаляющий mysql-таблицы - тогда точно не я. А безобидный alert мог вполне и я написать, тоже мне, проблема. А мог это сделать любой другой человек - это же элементарная классическая проверка текстовой формы сайта, учебник школьника, глава один.

Смешно тут другое: если спустя 9 лет админ помнит, как кто-то ему написал alert(1)... То это значит только одно: сработало. Ввод был не заэканирован и браузер действительно покрылся единичками. Но тогда это позор для админа, понятно, почему 9 лет он не забывается. Мне в дневнике на сайте такое каждую неделю пытаются написать, не сработало, и уходят. Если б я по 9 лет вспоминал каждого и скрежетал зубами вслед... :)))

PS: ради интереса поискал в базе своего дневника - нашел одного посетителя, пытавшегося зарегистрироваться в неведомый год под ником alert('kuku'), и другого как alert(777). Возможно, они и грелку вам поломали :)

Re: Новый движок?

К фронт-энду логи отношения вообще не имеют.

Бек... Данные отправляются? Да. Ошибка есть? Нет. А должна. Так что говорить "такое" можно и нужно.

При всём уважении лично к вам и понимании, что из себя может представлять самописный движок с одним разработчиком.

Re: Новый движок?

А тем временем у Лео упал сайт...

Re: Новый движок?

Ну это ко мне точно не относится, я даже хз чё там за сайт.

  • 1