?

Log in

No account? Create an account
Это и рвем

ru_grelka


Общество любителей рваных грелок

и их тузиков...


Previous Entry Share Flag Next Entry
Почему нельзя голосовать за свой рассказ?
lleo wrote in ru_grelka
Можно! Еще как можно! Достаточно элементарных познаний HTML. Открываем страницу голосования, например, в Firefox. Наводим на серый прямоугольник мышку и открываем "Исследовать элемент". И видим, что ваш рассказ имеет опцию, запрещающую вносить пометки:

<input disabled="" value="" style="background-color: rgb(192,192,192)" type="text" name="T12345" size="2">

А все остальные рассказы - нет:

<input type="text" name="T12346" size="2" value="">

Просто редактируем тэг, убираем disabled="" и смело ставим цифру 1. Цифрами 2,3,4,5,6 отмечаем погремушечные рассказы, которые все равно не пройдут. Нажимаем "Проголосовать".

Вуаля! Конкурсный движок согласен, что вы успешно проголосовали! Он принял ваш голос!
Сообщений "Ошибка: Вы не проставили никому первое место!" не будет. Ваш голос записан в базу. Весь запрет-то был на уровне браузера, на сервере никаких проверок нет.

Только никому не говорите.

Buy for 100 tokens
Buy promo for minimal price.

  • 1
Я проверял. Движок ответил, что ПРИНЯЛ мой голос с 1 местом своему рассказу. И далее сообщал, что мое голосование состоялось.

По причинам этики я не стал дожидаться окончания голосования, а поспешил дать знак разработчикам, чтобы у них было время исправить.

Но если разработчики ведут себя высокомерно, впору задать прямой вопрос: и как же устроен движок в этом случае? Варианты:

1) Засчитал мой голос за самого себя?

2) Засчитал мое голосование за места 2,3,4,5,6, позволив не поставить первое место никому?

3) В момент окончания голосования движок сам бы нашел ошибку и перевел меня в разряд "не проголосовавших", хотя прежде писал, что мой голос принят успешно?

4) В момент окончания голосования пришел бы живой человек, сел всё проверять руками и, возможно, заметил бы ошибку и выкинул меня вручную?

Нормально одаренный участник написал бы мне об этой проблеме в личку, а не стал бы устраивать здесь балаган. Я помню, как один альтернативно гендерный участник на первом конкурсе в движке засрал в своем произведении все текстом на джаваскрипте alert(1) https://ru-grelka.livejournal.com/490351.html. Наверно хотел хайпануть, как и сейчас, но обломился. А мог бы в личку написать. Так и не признался, кто это. Так и сейчас. В движке нормально все. Хочешь получить ответ на свой вопрос - проголосуй неправильно и жди.

А, понятно.
То есть, вместо благодарности за вовремя сообщенную информацию о возможной уязвимости (задолго до окончания голосования), мы пожинаем упреки, а главное - советы на будущее пытаться использовать любые замеченные дырки в боевом режиме, а не сообщать о них.

Хорошо, ответ принят. Если мне случится в будущем обнаружить уязвимость, я не буду останавливать эксперименты и сообщать о ней публично, а сперва поразвлекаюсь до конца и посмотрю, к чему это приведёт. Именно такой совет вы только что дали, и я не вижу причин вам не верить.

Ты ж моя мусенька!!!! :))))

Это теперь у нас "ст 272 неправомерный доступ к информации" - проголосовать за собственный рассказ на конкурсе Рваная Грелка? :))))))

Ты уж пойди поищи нам статью пострашнее. Подделка избирательных документов. Или оскорбление власти Грелки. Или унижение религиозных чувств грелочников :)))

А я думала, что желание ломать чужие игрушки обычно оставляют далеко в детстве... Но это так, отнюдь не злобное скрежетание. Наблюдаю с интересом. Все же не каждый день пятидесятилетний неглупый дядька признается в таком невинном детском желании пакостить и радоваться.

Вы просто не разбираетесь в этом совсем.

В мире IT принято изучать в чужих системах различные уязвимости - не для того, чтобы воспользоваться ими, а чтобы подать сигнал разработчику и он успел это поправить до того, как дырой воспользуются люди нечестные и нанесут урон.

Почти каждый из вас тоже в какой-то мере тестировал движок: когда пробовал отправить рассказ меньше 5000 или больше 50000 знаков - запрещено, но вдруг бы получилось?

Мне тоже много людей так помогало. Один даже, помнится, взломал мой дневник и написал забавный постик от моего имени. Чтобы позже рассказать, в чем уязвимость (ранних версий PHP) и посоветовал, как исправить. Тот его постик до сих пор висит, и мне бы сроду не пришло в голову обижаться - я до сих пор благодарен ему, потому что мой ДОБРОЖЕЛАТЕЛЬ нашел ошибку и указал мне на нее прежде, чем ее бы нашел ЗЛОУМЫШЛЕННИК.

К сожалению, нынешний администратор Грелки - Фролов - ведет себя в этом смысле непрофессионально: легкие попытки доброжалателей проверить типичные уязвимости прежде, чем их найдут хакеры, он воспринимает как агрессию против его великой системы, фыркает, грозит статьей УК и иным образом ведет себя так, словно у него уже с кредитки списали миллион.

Это конечно полностью его право. Но соответственно ни у меня, ни у тех, кто наблюдает его реакцию, не возникнет впредь никакого желания обсуждать с таким человеком вопросы безопасности или ошибок его движка - даже если они будут обнаружены. Себе дороже. Скажешь ему, мол, вот тут у тебя по ссылке оказалась открыта информация не для доступа - а он тебе тут же начнет УК угрожать. Да нахуй надо ;)

Re: Вы просто не разбираетесь в этом совсем.

Ага. Это, разумеется, была невинная помощь координатору движка во время конкурса. Как же до меня сразу-то не дошло!
Лавры Дивова покою не дают, надо полагать? )

милая, именно

Это именно был сигнал координатору обратить внимание на то, что при определенных условиях движок ПРИНИМАЕТ бюллетень с голосом за свой рассказ, не выдавая ошибку, словно так и надо. И отправил я это в первые дни голосования, чтобы у координатора было время разобраться и устранить проблему, если таковая имеется. Если бы я желал нарушить работу конкурса или подтасовать результаты я бы, как вы могли бы и сами догадаться, отнюдь не спешил рассказывать о своем наблюдении. Но вместо спасибо мы услышали хмурые вопли про УК и старые жалобы на какого-то прохожего, который десять лет в качестве псевдонима использовал слово "alеrt(1);alеrt(1);alеrt(1);", чем нанес Фролову великие мучения.

А что не так с Дивовым? Я понимаю, вы молоды и на Грелке играете от силы первый десяток лет. Но если вы не в курсе, Дивов вообще-то и организовал Грелку. Это проект Дивова в известном смысле. Так что Дивову следует говорить спасибо, а не кидать в его сторону невнятные упреки. Дивов придумал Грелку. И ею занимался Нестеров. Потом Вывь. Потом Ворч. Потом Слай. Могу путать последовательности или имена. Сейчас Фролов. Спасибо ему, что тащит для нас этот нелегкий груз последние годы. Но есть и отдельные неадекватности в его поведении.

Re: да, монженераль

Мне не интересен ни мир айтишников, ни вскормленные ядовитым молоком тролли со сдвинутым восприятием мира, ни мальчики, любящие ломать игрушки.
Лео. Простите. На данном этапе достаточно.
Спасибо.

Re: да, монженераль

Да он просто не понимает, что сообщать о таких вещах публично - это все равно что на всю округу закричать: "Смотрите, у него ширинка расстегнута!".
К сожалению, мразей довольно много вокруг. Не стал фоткать с расстегнутой ширинкой и выкладывать везде, и на том спасибо.

Re: да, монженераль

Он понимает, Сереж. Но считает адекватную реакцию, которую ты сейчас демонстрируешь, признаком слабости. Типа, в мире крутых так поступают друг с другом, еще и спасибо говорят. Адаптивный механизм, имхо.
Не заводись.

Edited at 2019-05-03 05:39 pm (UTC)

Ого, ты меня уже назвал мразью.

Не думаю, что мне имеет смысл с тобой вообще когда-либо общаться после такого. Сказочный неадекват.

Отдельно любопытным прозвучал рассказ про человека, забившего поле конкурсного текста командами alert(1). Намекается, что это был я? При всем желании не могу ни признаться, ни опровергнуть: если я 9 лет назад теста ради набрал alert в каком-то текстовом поле какого-то сайта - то уж такую хуйню я в своей памяти 9 лет не храню точно. Если бы человек пытался вместо alert угнать админские document.cookie или выполнить эксплойт, удаляющий mysql-таблицы - тогда точно не я. А безобидный alert мог вполне и я написать, тоже мне, проблема. А мог это сделать любой другой человек - это же элементарная классическая проверка текстовой формы сайта, учебник школьника, глава один.

Смешно тут другое: если спустя 9 лет админ помнит, как кто-то ему написал alert(1)... То это значит только одно: сработало. Ввод был не заэканирован и браузер действительно покрылся единичками. Но тогда это позор для админа, понятно, почему 9 лет он не забывается. Мне в дневнике на сайте такое каждую неделю пытаются написать, не сработало, и уходят. Если б я по 9 лет вспоминал каждого и скрежетал зубами вслед... :)))

PS: ради интереса поискал в базе своего дневника - нашел одного посетителя, пытавшегося зарегистрироваться в неведомый год под ником alert('kuku'), и другого как alert(777). Возможно, они и грелку вам поломали :)

  • 1