Вот уже пятый день по ЖЖ гуляет немалая дыра в защите, позволяющая легко и просто любому мудаку испортить любую запись в любом блоге.
Технология этого дела очень простая: достаточно бросить определённый код в комментарий, как весь пост и остальные комменты наглухо закрываются произвольным изображением с монструозными размерами (или бэкграундом, выведенным наверх). После этого ситуацию исправить может только хозяин блога, вручную найдя на странице комментов эту запись и удалив её.
Ну а если кому недосуг? Или человек уехал в отпуск, а ему уже весь журнал загадили?
Об этом недавно написал Экслер, выразив надежду, что компания "Суп" как-то улучшит ситуацию.
Вскоре после этого важно отозвался А. Носик, разъяснив (от имени "Супа", насколько я понимаю), как именно проблема решается. Он предложил:
а) вычищать вручную вредоносные комменты, и
б) банить придурков
Вот тут-то у меня происходит мозговой коллапс. То есть, если, например, откроется следующая дырка в безопасности, будет предложено отключить комменты вообще и опять "банить придурков". А попытаться закрыть дыру простым изменением списка допущенных тегов в комменте как-то никому в голову не приходит?
Если уж начался абсурд, то пора его докручивать, это правило такое.
Вот этот вредоносный код, забивающий весь пост невинному юзеру.
С использованием чёрного бэкграунда:
<div style="position:relative;top:-10000px;le
С использованием фоновой картинки:
<div style="background: white url(http://img227.imageshack.us/img227/5696/1217235540073oj1.jpg ) repeat scroll 0% 0%; position: relative; top: -10000px; left: -30px; width: 2000px; height: 10500px; -moz-background-clip: -moz-initial; -moz-background-origin: -moz-initial; -moz-background-inline-policy: -moz-initial;"></div>
Ответить на этот пост можно. Прочесть по простой ссылке - http://bujhm.livejournal.com/363819.html - нельзя.
Update: Дыра исправлена, всем спасибо!
← Ctrl ← Alt
Ctrl → Alt →
← Ctrl ← Alt
Ctrl → Alt →