Recent Posts
А как Я её должен другим людям пересылать? Снова загружать на сервер с компа чтоли?Во-первых, почему бы и нет? Я еще могу понять, когда место на собственных накопителях экономят, но когда экономят место на серверах вк... Жамкнул по ссылке, открылась картинка, скопировал в буфер, вставил в миранде - она ушла. Или ты думаешь, что потребность рассмотреть картинку в полном размере — более редкий кейс, чем пересылка? Во-вторых, в контекстном меню сообщения NS есть пункт "Переслать". Конечно при его использовании пересылается все сообщение, да и локально это отображается криво из-за того, что оно зачем-то обернуто в тег code (уберу в ближайшее время), но зато на сервер ничего не улетит, кроме номера пересылаемого сообщения.
Правильно говорят что россияне свиньи...Ты поаккуратнее с выражениями. Это, конечно, больше о твоей воспитанности говорит, чем о чем-то другом, но ты не в свинарнике на стене пишешь, а на русскоязычном форуме, где полно русских людей. И где с тобой нормально общаются без перехода на личности и оскорбления тебя и твоей нации, кем бы ты там не был. Я больше на эту тему предупреждать не буду, но от полного игнора с моей стороны ты в одном шаге. Впрочем, аргументация, подобная твоей, появляется только когда других аргументов не остается.
В System32 всякой хрени хватает, которая и без указания параметров может дел натворить, какойнибуть winlogon повторно запустиш, ладно если просто ошибка вылезит а может и система навернуться.Сходил, запустил winlogon.exe. Жив, здоров, чего и тебе желаю. Что б такого запустить, чтобы система упала? Можно поконкретнее?
Да и с передачей параметров тойже cmd.exe думаю лишь вопрос времени и нестандартности мышления.Вот когда сможешь туда параметры передать, тогда и обсудим. А до того, эта ситуация с обработкой file:// - максимум позволит безобидно похулиганить без какого-либо ущерба. Что не означает, что нужно эту ситуацию оставить как есть без правки, просто степень опасности, мягко говоря, сильно преувеличена.
Странный ты, безполезные и неподдерживаемые фунции ВК стремишся оставить, а полезные такие как прямая ссылка на картинку старого образца отвергаеш.Да, очень странный. Во мне очень странная смесь альтруистичного и эгоистичного, и я стараюсь эту смесь поддерживать в гармонии. Например, я тащу что-то недокументированное только если оно сильно нужно мне самому. В противном случае мне впоследствии придется прилагать какие-то усилия для поддержки этого, мне ненужного. И категорически не люблю делать того, что считаю бессмысленным. Очень странный я, да.
Поэтому в качестве временного патча который можно сделать прямо сейчяс и предложил самый простой вариант - замена символов BB кодов во входящих сообщениях плагином ВК, чтобы они не обрабатывались NS.Срочность вопроса в чем? Падает и захватывает мусор из памяти? Нехорошо, не спорю, обязательно надо фиксить так или иначе. Но вообще говоря, бывает. Кто-то сможет, используя это, построить атаку на пользователя? Ну, тот, кто этого очень боится для себя, может пока отключить поддержку bbc в настройках, не говоря уже о том, что сценария такой атаки никто не продемонстрировал и маловероятно, что продемонстрирует. Если Хазан решит, что проще всего и надежнее лишить все SRMM (или только NS) поддержки bbc в посылаемых пользователями сообщениях - так тому и быть. Невелика потеря. С моей точки зрения, конечно, правильнее парсер до ума довести, но ему виднее.
Это вопрос вообще не к VK, а к NewStory. Такую ссылку можно руками отправить по любому протоколу. И лучше бы создать про недостатки NS отдельную тему.То что NS надо переделывать об этом уже писал, но когда ещё это будет ХЗ, может через три дня, может через три недели, может через пол года. Поэтому в качестве временного патча который можно сделать прямо сейчяс и предложил самый простой вариант - замена символов BB кодов во входящих сообщениях плагином ВК, чтобы они не обрабатывались NS.
Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.Это вопрос вообще не к VK, а к NewStory. Такую ссылку можно руками отправить по любому протоколу.
И где трагедия? Картинка на винте лежит, открывается при клике на ссылке, в чем глубокий смысл открытия ее именно из веба?
...под 8 гигабайт закачалось... Мне места на моих накопителях не жалко, а уж тем более не жалко места на чьих-то накопителях.
Ну ткнет из любопытства пользователь ссылку, и? Сценарий атаки какой? Какой деструктивный результат возможен?
Но уж точно не блокировкой BBC для пользователя.
Тут речь сейчяс не про модификацию ссылки а о том что её вобще нет ни в окне чата ни в истории, есть только ссылка на локальный файл, а исходную ссылку чтобы можно было её скопировать брать неоткуда.И где трагедия? Картинка на винте лежит, открывается при клике на ссылке, в чем глубокий смысл открытия ее именно из веба?
Тебя может и устраивает, а у меня больше гига уже этот сраный кэш, несмотря на то что Я даже эти чаты не открывал, пришлось привью отключять, иначе жесть.Ну когда я стабильность синхронизации истории тестировал, под 8 гигабайт закачалось. И? В чем опять трагедия? Мне места на моих накопителях не жалко, а уж тем более не жалко места на чьих-то накопителях. Тем более, что загрузку можно полностью отключить в настройках. И выбор есть: можно графику ссылками показывать, можно с помощью IEView, пока IE есть в системе - никто не запрещает. Другое дело что в дальнейшем, я, если и буду отображение в журнал дорабатывать, то исключительно под NewStory.
Могу только общий принцып написать, там уже пускай реализует тот кто занимается плагином NSТы даже не представляешь, насколько несопоставимо то, как ты себе это все выдумал с тем, как есть на самом деле. Примерно так же, как несопоставимо устройство полипа с устройством кошки. Поэтому тот "общий принцип", что ты описал, я не буду комментировать. Одно прошу: не делай так больше, я уже понял, что патчей не будет.
А оно и без file:// работаетТак сделано намеренно.
Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.Чего бы ради? Честно говоря, хотя dartraiden и завел соответствующий тикет, я не вижу в этом никакой беды. Ну ткнет из любопытства пользователь ссылку, и? Сценарий атаки какой? Какой деструктивный результат возможен?
Насчёт безопасности img тега это до поры до времени, пока дыра в нём не выявиться.Когда/если выявится, приходи - обсудим. Учитывая, что для ВК картинки скачиваются исключительно из аттачментов, то есть проходят через перекодирование на серверах ВК, и, к примеру вместо картинки бинарник в принципе не загрузить, я думаю, обсуждение не состоится.
В данном случяе [img=C:/Windows/system32/cmd.exe]http://Ссылка[/url] после слова Ссылка появляются какието нечитаемые символы, обрати внимание что закрывающийся тег не[/img] а [/url]Да, тут баг однозначно есть, парсер сейчас с такими ситуациями не справляется. Вот это серьезно, это надо исправлять. Но уж точно не блокировкой BBC для пользователя.
А если отправить так 12345[/url] то миранда тупо падает.
Да, так задумано. Подменять ссылку аттачмента на его локальную копию - это одно. Подменять присланную ссылку на другую ссылку по недокументированному правилу - это другое и реализовываться не будет.Тут речь сейчяс не про модификацию ссылки а о том что её вобще нет ни в окне чата ни в истории, есть только ссылка на локальный файл, а исходную ссылку чтобы можно было её скопировать брать неоткуда.
Мы принимаем патчи. Текущее состояние меня лично устраивает на 98%Тебя может и устраивает, а у меня больше гига уже этот сраный кэш, несмотря на то что Я даже эти чаты не открывал, пришлось привью отключять, иначе жесть.
Вместо
filePut(fileGet(https_Ссылка), "C:\кэш_картинок\123.jpg")); //Сохранение картинки на диск
NS_IMG_export=fileGet(Ссылка на локальный файл); //Вывод картинки в окно чата
array ImgCache[20]; //Размер кэша 20 картинок
ImgCache[1]=fileGet(https_Ссылка); //Загрузка первой картинки в массив
NS_IMG_export=ImgCache[1]; //Вывод первой картинки в окно чата из массива ОЗУ
for (i=0; i<20; i++){ImgCache[i]="";} //Чистка кэша при закрытии окна чата
Без понятия какие там функции используются для загрузки файлов, поэтому написал рандомные, но общяя суть понятна
Возможно на уровне протокола закрою возможность получения url=file:// извне.А оно и без file:// работает
[url=C:/Windows/system32/cmd.exe]Ссылка[/url]Будет правильнее вобще отключить обработку BB кодов извне по крайней мере в ВК т.к. они там не применяются, а чтобы NS их не обрабатывал, в качестве временного кастыля в плагине ВК заменять [ ] во входящих сообщениях к примеру на { } как минимум в img и url тегах.img тег сам по себе безопасен...
С img проблем не вижу. Если это не картинка, то litehtml не сможет сделать превью.Насчёт безопасности img тега это до поры до времени, пока дыра в нём не выявиться.
В данном случяе [img=C:/Windows/system32/cmd.exe]Ссылка[/url] после слова Ссылка появляются какието нечитаемые символы, обрати внимание что закрывающийся тег не [/img] а [/url]
А если отправить так 12345[/url] то миранда тупо падает.
выполнением shell кода ещё не эксперементировал, но теоретически если изощериться думаю это вполне реально.Если известен путь, куда ложатся файлы и включена автозагрузка, то дропаем ему бинарник, следом запускаем url=file://путь/к/бинарнику]ГОЛЫЕ ФОТО БОРИСА МОИСЕЕВА СМОТРЕТЬ[/url]
если это не p2p переданный файлУ протоколов с историей на сервере (ICQ, TG, VK) нет никакого P2P. Файл при отправке сохраняется на сервере, как и любое другое событие, например, текстовое сообщение. Оттуда его стягивает другая сторона. Нет разницы, в привате это событие произошло или в чате.
а в отображении картинок в окне истории вобще не вижу смыслаА мне вот приходилось возвращаться в историю и смотреть скриншоты, которые мне прислали.