27368
-
BladeW #26027 Mind1, ezt az új üzenet értesítő dobja:
Mixed Content: The page at 'https://sg.hu/forum/tema/1019331381' was loaded over HTTPS, but requested an insecure script 'http://www.sg.hu:32141/?callback=_resp&id=1019331381&max=350761&_=1454360594875'. This request has been blocked; the content must be served over HTTPS.
SgCodes.getNewForumMessages = function(maxUnique, topicId, newMessages) {
setTimeout(function() {
$.ajax({
url: 'http://www.sg.hu:32141',
Egyébként ?PageSpeed=noscript az URL után és bejönnek a képek mindenhol ;) -
BladeW #26026 Chrome blokk témához: nálam is ez van már napok óta, talán összefügghet ezzel?
https://support.google.com/chrome/answer/1342714
Címsávban, a bookmark mellett jelenik meg ez az ikon. (Bár a "load unsafe scripts" sem segít úgy tűnik.) -
#26025
Ugyanezt tapasztalom én is, hogy valami megfoghatja meg chromeot használva a képeket, mert már mindent töröltem, volt reinstall is, de még mindig chromemal lassan vagy egyáltalán nem, vagy csak trükközve (hozzászólás száma ki, külön megnyitva, sok újra után) jeleníti meg a képeket (sem spoilerre kattintva, sem magában), más böngészővel meg igen. (szűzinstallal sem, semmi bővítmény)
Utoljára szerkesztette: AnuluWork, 2016.02.01. 06:17:13 -
#26024
Néha van random reklám a tetején ami elrontja a saját dizájnt a topikokban. -
#26023
Plusz egy mozdulat az SG-t fehérlistára tenni a reklámblokkolóban - olyan sok minden nincs is itt, ami miatt egyáltalán dolgoznia kellene, főleg a fórum oldalakon. -
#26022
uBlock Origin alatt jó minden 
Egyedül a twitter képek nem szoktak betölteni, de az meg szerintem valami másik addon miatt van. De ezzel az SG nem nagyon tud mit kezdeni :D
Utoljára szerkesztette: SzirmosSzisza, 2016.01.31. 11:50:53 -
Blum #26021 Én semmilyen hibát nem tapasztalok 
-
Lokker #26020 Ja valami baja van, uBlock alatt se jönnek elő a képek, majd javítják, mert néha 1-1 kép bejön...
Utoljára szerkesztette: Lokker, 2016.01.31. 10:36:43 -
![[HUN]FaTaL](https://media.sg.hu/forum/avatars/10557508481320070594.gif "[HUN]FaTaL")
#26019
Azzal is szar lesz. Valami bugos mindegyiknek az értelmezőjével, mert az a lista ami ff alatt jó, az összes chrome alapú böngészőben szar. -
#26018
Ilyenkor érdemes kikapcsolni az összes bővítményt és megnézni, hogy úgy is rossz-e. -
Blum #26017 AdBlock kuka, rakj fel uBlock-ot. -
Lokker #26016 adblock plus van fent, írták is hogy a magyar lista bezavar
-
#26015
39es verzoval jo. reklamfogod van? -
#26014
máris megyek a google irodámba és fejlesztem a krómot
nálam egyébként megjelennek ugyanezzel a krómmal, bővítmények ilyesmik rendben?
azon kívül hogy nem jelenik meg, tudsz mondani valami konkrétat is? konzol log? -
Lokker #26013 Google Chrome 48.0.2564.97 verzió. Tegnap óta egy kép se jelenik meg egyik topikban se. -
Solt #26012 Pontatlanul fogalmaztam, a kijelölés menete az ami macerás egérrel... úgy emlékeztem, hogy régebben volt olyan lehetőség, hogy az adott oldalon lévő üzeneteket egy kattintással ki lehetett jelölni, aztán törölni.
A Tab -> Space működik, és egy fokkal kényelmesebb mint egérrel kijelölni. Köszönöm! -
#26011
Egy képernyőre valót tudsz egyszerre törölni, ha jobb oldalt kijelölöd mindet, és lent rányomsz a törlésre. A kijelölés gyorsabban mehet, ha az elsőre rányomsz, majd a Tab gombbal léptetsz, a Space-el kijelölsz (remélem ez működik minden böngészőn) -
Solt #26010 Üdv Urak!
A privát üzeneteket (alaposan felhalmozódtak) tényleg csak egyesével lehet törölni, vagy én nem vettem észre valamit? -
#26009
holnap napközben átállunk php7-re, várhatóak problémák, leállások, nem működések, csúnyaságok
ha észrevesztek ilyet, és épp lehetséges postolni (
), ide írjatok légyszi, köszönöm
ahol egyébként borítékolható, hogy parák lesznek, az a mobil oldal, erre figyeljetek, ha tudtok
Utoljára szerkesztette: j0nNyKa, 2016.01.19. 18:04:49 -
#26007
A FB nagyon erősen elszívja a népeket. A magánemberek inkább ott posztolnak és társalognak, a cégek ott nyomják a marketinget és tartják a kapcsolatot. Egy egyéni honlap sokkal jobban személyre szabható és messze jobbak a technikai lehetőségek, de úgy, ahogy a tévéműsoroknál, itt is dúl az igénytelenség. Ahogy egy öreg zenész megénekelte: meleg a sör, de nekünk így is jó. -
#26006
Igaz, de nem mindenhol és nem ilyen mértékben. Sok más oka is van ennek, írtam is hogy ez csak részben felelős. Az oldal vezetősége meg majd eldönti fontos-e nekik visszafogni ezt a jelenséget, vagy inkább rásegítenek egy kicsit. -
#26005
hoppá
több nyelvet kéne támogatnia az sg nek! -
kamionosjoe #26004 Pedig az sg.hu sokkal jobb. 
-
#26003
Szerintem tuti az utóbbi, mindent lefölöz a FB és társai. -
![[NST]Cifu](https://media.sg.hu/forum/avatars/10356591011409433815.png "[NST]Cifu")
#26002
Én úgy vettem észre, hogy nem csak az Sg fórumának, de sok más nagy fórumnak (úgy magyarhonban, mint külföldön) megcsappant a látogatottsága. Most vagy nekik is az Sg fórumhoz hasonló technikai jellegű problémáik vannak, ami miatt kiábrándultak a felhasználók, avagy totál független ettől a látogatottság csökkenése, és az okok inkább az alternatív szociális lehetőségek (első sorban Facebook) elterjedésében keresendők.
-
#26001
Értem én, nekem sincs túl sok időm meg kedvem szabadidőmben ilyenekkel foglalkozni. :D Engem egyébként annyira nem zavar. Nem vagyok túl aktív, a belépés sem gond nálam. De az SG látogatottsága érezhetően megcsappant, ez részben az ilyen dolgok miatt van. Mikenak meg van egy sajátos stílusa, de marhára igaza van. Kár volt magadra venned, amíg ez neked egy hobbiproject addig nem vagy felelős megoldani ezeket. De ettől még van probléma, ezt próbáltam érzékeltetni.
(CORS meg kinyírna sok dolgot, de az aktív témákban hamar rendeződne, a többi meg úgysem számít. Valamit valamiért. Kis áldozat lenne, minimális módosítással minden mehetne ahogy előtte.) -
#26000
az a bajom ezekkel, hogy a nem létező időmet kéne rászánni valamire, ami
- "csak" téged érdekel (no offense, de tényleg)
- rontana valamilyen szinten a felhasználói élményen, CORS pl kinyírna jópár fejléc scriptet
nem látom, hogy miért érné meg
meg ami egy nagyon erős érvem, hogy az sg alatti kód egy okádék, képzelj el (nem túlzok!) egy teljesen kezdő php fejlesztőt, ahogy saját keretrendszert ír, és az alá átportol egy tizenX éves kódot, de csak a felét, a másik felét (mobil oldal, hírlevél, akadálymentes, stb) egy az egyben megtartja
namost ebben nagyon szép romantikus kép az, amit leírsz, de egyébként hamarabb kaparom ki a saját szemem -
#25999
Üdv, a fórum headerben becsúszik a tartalom mögé az a rész, ahol az üzenetre hívja fel a figyelmet, így napokig nem vettem észre, hogy írt valaki.
A bekarikázott rész az:
![]()
Win 10, legújabb FF -
#25998
Az XSS elleni védelem is fontos dolog, bár én rosszul írtam először mert a scriptek jártak a fejemben. Viszont a CSRF látszólag semmilyen módon sincs kezelve, így pedig jóformán ugyan azt el lehet érni mint amire a védelem megszületett. Csak itt még az IP ellenőrzés és társai sem működnének. Ha gondolod tudok küldeni privátban egy példát, elég beteg dolgokat lehet művelni ezzel a felhasználó becsapása nélkül is.
Minden esetre a lentieket fontoljátok meg. Megoldható lenne a rendes bejelentkezve maradás a scriptek mellett is. Elég nagy segítség lenne a felhasználók megtartásában. Nyilván a lentiek csak ötlet kezdemények, a végső megoldást át kell gondolni, kezelni kell pár kivételt, stb. Alapvetően viszont egy csomó szabványosított lehetőséget fel lehet használni, csak össze kell legózni. Például új ötlet: CORS. Szimplán kontrolláljátok a külső helyekre mutató forgalmat. Saját célra itt is lehet kivételeket beállítani, és az egész csak egy header csatolásából áll. -
#25997
xss ellen óriási foltok voltak, főleg az akadálymentes és a mobil oldalakon, ezeknek a foltozgatásába nem 1 meg nem 2 napot toltam bele
konkrétan volt olyan hetem hogy ötszáz valahány sql parancsot írkáltam át 50-60 fájlban
hogy maradt-e ilyen? biztosan. kukázni kéne az egész kódot, de arra kinek van ideje meg pénze?
Utoljára szerkesztette: j0nNyKa, 2016.01.13. 09:05:15 -
#25996
A szavazó most se működik sokaknak, hiszen az egész sg.kreatura.hu (ahol a szavazás megjelenik) nem működik https-ről (tanúsítványprobléma és egyebek), a kevert tartalmat meg a böngészők nagy része zsigerből blokkolja.
A többihez én nem értek, csak azt tudom, amit leírtam (le volt tiltva minden külső forrás, most már nincs, és a https miatt volt nyűglődés, több körben is) - ha jonnynak lesz ideje-türelme feldolgozni amit írsz, akkor szakmai választ is kaphatsz :) -
#25995
A külső scriptek már most is le vannak tiltva, csak inline kódot adhatsz meg ahogy látom (bár az valszeg betölthet egy másik, immár külső helyről származót). A szavazótopikban minimális script töltődött az SG-re, csak azért volt anno külön behúzva mert egyszerűbb volt dolgozni vele. Illetve átadtam a házigazda szerepet másoknak, szóval hozzáférésem sem volt utólag.
Ha httpOnly sütiket használna az oldal, akkor mindez nem lenne probléma. Könnyű átírni szerveroldalon, megmarad a biztonság, és még a mostani scriptek is mehetnek tovább, módosítani sem kell őket. Még azokat sem, amik saját célra továbbra is használnának sütiket, bár arra amúgy is szerencsésebb lenne a localStorage.
Az előző CSRF dologgal meg az a helyzet, hogy nagyon könnyen lehet célzottan és automatizálva használni. Nem akarok tippeket adni a rosszakaróknak, ezt az egészet csak azért hoztam fel mert most sem védett eléggé az oldal. A scriptes mókára meg megoldást kínál a fenti ötlet. Szóval lehetne ez jó, csak kapacitás kell hozzá. Én azt is értem hogy j0nNyKa ezt hobbiból csinálja, de legalább ne az legyen az indoklás most már évek óta hogy nem lehet. Lehet azt, csak a megfelelő embereknek is akarni kell. -
#25994
Külső scriptek, css-ek ilyesmik blokkolása volt kb. 2 napig az új design megjelenésekor, gyakorlatilag megölte a rendesen specializált topicokat, ahol a fejlécben többek között dinamikus tartalmak is futnak - mondjuk szavazótopic.
Aztán a https átállás szintén megborogatta a dolgokat, mert sok külső script még mindig http-ről fut, és a paranoidabb böngészők ezt azonnal letiltják, és félig-meddig leállt egy csomó téma - mondjuk szavazótopic. -
#25993
Ahogy látom nem nagyon, sikerült távolról postolnom az egyik topikba. Referer ellenőrzés + a fontosabb helyekre (pl. beállítások) egyszer használatos, userhez és eseményhez köthető tokent kellene generálni. Most technikailag egy jól megírt URL-lel vagy egy megtévesztő oldallal ugyan azt el lehet érni mint amit védeni akartok. -
#25992
CSRF-re gondoltam, sry. -
#25991
Nálad nem tárolódik semmi sem (jobb esetben), te csak egy véletlenszerűen generált azonosítót kapsz bizonyos időközönként. Ezzel ismer fel az oldal és társítja hozzád a profilod adatait. A "maradj belépve" funkció is hasonló elven működik. Ha valaki megszerez egy ilyen azonosítót és felhasználja ellened, akkor beléphet a te profiloddal a jelszó ismerete nélkül is. Ezért kérik be sok helyen a jelszót adatmódosításkor is, és ezért vannak ilyen extra védelmi megoldások mint az IP ellenőrzés. A kérdésre válaszolva: igen, most is ellopható ez az azonosító scriptekkel, de az IP ellenőrzés miatt használhatatlan.
-
Ennek ellenére lehetne egy köztes utat találni, sőt, akár megoldani is ezt a problémát a scriptek maradása mellett. Nem olyan nehéz behozni pár új szabályt és ellenőrzést. Például külső scripteket blokkolni, csak inline kódot lehetne megadni, amiben ellenőrizhető lenne a cookie és más kulcsszavak jelenléte. Az eval és hasonlókra keresve az obfuscated kód sem feltétlen akadály, csak alaposan ki kell gondolni. Pl. szűrni kell arra is hogy az inline kód ne húzhasson be külső kódot.
Ellenben sokkal jobb és logikusabb megoldás lenne a httpOnly biztonságos sütik. Az oldal simán meglenne vele, szinte 0 módosítással járna, és ez lehetővé tenné hogy a sciptek semmilyen módon se férhessenek hozzá egyetlen sütihez sem.
Bónusz: vajon mennyire van védve az SG XSS támadások ellen? Vannak kételyeim. Ha pedig nem eléggé, akkor kb. értelmetlen bizonságról beszélnünk. -
#25990
Nem értem. Most laikusként kérdezem, hogy ha egy eszközön biztonságosan el lehet menteni a bejelentkezési adatokat (jelenlegi állapot) akkor miben más ugyanezt egy másik eszközön is megcsinálni? Mitől lesz sebezhetőbb a bejelentkezési adat? Ezek szerint akkor már most is lenyúlhatóak ezek az adatok, de mivel nem lehet egyszerre több helyről bejelentkezni ezért "használhatatlan?"
-
#25989
Minden fórum bizonyos célokra, feladatokra születik, az Sg.hu-n szabadabb a script és egyébb formázási lehetőség (pl. bannerek lehetősége a topicban, akár a háttérképet lecserélheted, sőt, szinte teljesen átszabhatod a teljes topic kinézetét). A RiOS egy másik véglet, gyakorlatilag kismillió szempontból korlátozottabb, cserébe ott sokkal inkább kézben lehet tartani azt, hogy mit csinálhat meg a felhasználó.
Especiel nekem a RIOS belogolása azért nem fekszik, mert itthon automatikus belogolás van, munkahelyen viszont privát böngészőablakban lépek be, tehát ott nem elég az e-mailt és jelszót begépelni, de még ki kell pipálnom mindhárom checkbox-ot is minden egyes alkalommal... -
#25987
Fél évente el van magyarázva, hogy itt miért nem lehet megcsinálni, ahogy látom idén Dzsini a soros :D -
#25986
Na, akkor így januárban gyorsan letudjuk erre az évre is.
Azért nem lehet több gépen bejelentkezni (és kliens oldalon tárolni a bejelentkezési adatokat), mert itt szabadon lehet a fejlécbe bárki által scripteket írni, amivel egy villanás alatt el lehet lopni bármelyik topicba látogató bejelentkezési adatait, majd azzal könnyedén visszaélni (kezdve azzal, hogy a nevében posztolsz). Ugyanezt nem lehet elkövetni egyetlen másik fórumon se.
Tehát vagy nincs fejlécek szabad szerkesztése, és ott mindenféle külső dolgok futtatása, vagy nincs szabad bejelentkezés több gépen.
