No.236160[Показать все]
Вы пришли на Доброчан и хотите создать очередной тред про Абу?
Вы хотите обсудить, как вас забанили на Ычане?
Вам не терпится узнать, какие новости сегодня на нультиречах и прочих постнульчанах?
Хотите обсудить особенности поведения колчков и выяснить, откуда явились очередные залетные?
Создали свою имиджборду и желаете обсудить её перспективы?
Поздравляю, теперь для этого есть отдельная нить, присоединяйтесь! Не стесняйтесь и обсудите всё как следует. Главное – без фанатизма! Помните, что в серьёзной дискуссии ни одна мысль не застрахована от подтверждения или опровержения.
Предыдущий: >>232217 Навигатор бордосферы со списком всех русскоязычных АИБ: https://austrellum.github.io/navigator No.238433
>>238430>никаким боком не относится к реальности и к слову "используется"Раз ты так сказал, то ладно. Тогда
ТЕРПИ.
>Большинство парашеводов скачивают ванильный движок и на нём админят.И? Движок работает? Работает. Если хочешь какой-то конкретный дизайн, то пожалуйста, делай, все открыто. Не можешь сделать сам? Найми того, кто может.
Это как плакать, что, оказывается, надо арендовать свой сервер, чтобы оно работало нормально. Не могут чтоль сделать бесплатные борды?
No.238434
>>238432define "нормально"
No.238435
>>238433>Не можешь сделать сам? Найми того, кто может.У нас говнокод? Твои проблемы. Найми того, кто его будет разгребать.
No.238436
>>238432Из моего опыта разработке движка борды - кому не нравилоьсь, люди брали и делали свои цветовые темы, скидывали и просили добавить. Не вижу никаких проблем.
No.238437
>>238435Оставь баг-репорт разработчику и
ТЕРПИ. Нет сил
ТЕРПЕТЬ? Исправляй сам. Не можешь сам? Найми того, кто может.
No.238438
>>238436> Из моего опыта разработке движка бордыЕсли ты установил сборочку кусабы по гайду, это не значит что у тебя был опыт разработки движка борды.
No.238440
>>238439Простите глубоко уважаемый парашевод с большим стажем разработки параш, что усомнился в ваших навыках.
No.238441
>>238440А теперь на колени и быстро ступни целовать.
No.238447
>>238445Я не понимаю чего ты говоришь такое. Куда мне вписываться когда я даже этого не могу.
No.238448
>>238447Но ты всегда можешь вписать своим ртом в мой хуй.
No.238451
>>238449> это просто стилизация, а так это в браузере работает, поверх интерфейса сайтаНе, это кстати, прикольно сделано. Но в чем сама идея?
Прости не сижу постоянно на пост-сосачах.
No.238452
>>238450Ну и почему твой рот не может понять мой хуй?
No.238453
>>238452Ты пишешь вещи, которые я не понимаю.
No.238454
>>238453Почему твой рот не может понять мой хуй?
No.238456
>>238454Прошу прощения, я не могу больше отвечать. Не знаю как. Это повторения у тебя.
No.238457
>>238451>Не, это кстати, прикольно сделаноЗнаю, я просто пояснил что это именно стилизация через css, а то можно подумать что это на компе экзешник запущен
>Но в чем сама идея?Реализовать игрушечную криптовалюту, которая использует тред на борде для хранения истории транзакций. В некоторых бордах есть трипкоды, это по сути криптографические подписи сродни тех что используются в блокчейне. Была мысль использовать трипкоды как аналог адреса кошелька. Сам кошелёк реализуется в виде букмарклета (то-есть скрипта который сохраняется как закладка в браузере) и при его активации окошко кошелька отображается в интерфейсе сайта. Делалось специально под оливьеч.
Подразумевалось что будет две функции - майнинг и отправка монет другому пользователю. Для майнинга надо было раз в сутки заходить и клацать по кнопке "начать добычу". Скорость добычи можно увеличить если за туже самую игрушечную крипту покупать и прокачивать нефтяные вышки.
Реализовано было на половину. Был свёрстан интерфейс и реализована логика работы с тредом как с БД. Я даже реализовал подстановку процедурно генерируемого оп-пика (используя внешний сервис) при автоматической генерации треда скриптом (чтобы обойти ограничение связанное с запретом дублей картинок; механизм перекатов также планировалось реализовать чтобы не тормозило когда вся БД в одном большом треде)
Оставалось реализовать только высокоуровневую логику майнинга и переводов. я также собирался сделать кеширование в localStorage чтобы уменьшить число обращений к серверу
No.238458
>>238297я еще и hoic и спрут помню
No.238459
>>238457>кеширование в localStorageРазве там не стоит ограничение в 2мб?
No.238461
>>238451А, ну и ещё, всё это пакуется в один js-файл (вместе с css, html и картинками) а он пакуется в картинку (как rarjpeg только без rar), чтобы хостить скрипт прямо на борде в виде обычной картинки в посте и уже оттуда его загружать.
Букмарклет это скрипт встроенный в адрес закладки поэтому он в одну строчку и имеет такое ограничение длины как и любой url, обычно букмарклет не содержит непосредственно полезного кода а содержит лишь загрузчик который подтягивает полезную нагрузку из другого источника. Мне удалось уместить в букмарклете распаковщик полезной нагрузки из картинки, если кому интересно, вот код распаковщика:
javascript:fetch('https://alivechan.ch/b/src/174480350457.jpg').then(
r=>r.arrayBuffer().then(
e=>{const n="---SEPARATOR---",t=new Uint8Array(e),r=new TextDecoder("utf-8").decode(t),c=r.indexOf(n);return eval(r.substring(c+15))}
)
)и деминифицированный:
async function main(){
//скачиваем картинку
let response = await fetch('https://alivechan.ch/b/src/174480350457.jpg')
//получаем картинку как байтовый буффер
let buffer = await response.arrayBuffer()
//разграничитель JPEG и скрипта
const separator="---SEPARATOR---"
//конвертируем буффер в массив байт
const array = new Uint8Array(buffer)
//конвертируем массив байт в строку
const text = new TextDecoder("utf-8").decode(array)
//определяем позицию разделителя в тексте
const separatorIndex = text.indexOf(separator)
//получаем код идущий после разделителя
const code = text.substring(separatorIndex+15)
//выполняем код
return eval(code)
} No.238464
>>238462Не бойся, это не вирус, он не запустится сам. От пользователя требовалось ручками загрузчик поместить в закладку
No.238468
>>238459Вроде стоит но этого должно было быть достаточно. Ведь как работает блокчейн? В нём хранятся записи о том с какого кошелька на какой сколько монет отправилось и чтобы узнать сколько у тебя сейчас на кошельке всего денег надо перебрать все записи в блокчейне, посмотреть всю историю переводов и вычислить текущий баланс. Моя идея заключалась в том что по каждому кошельку можно хранить только баланс за какое-то время а потом просто смотреть транзакции которые шли после этого времени. таким образом в localStorage надо хранить не всю историю транзакций а только балансы кошельков и время последнего апдейта кеша
No.238469
>>238462Страшна. И очень позновательно. Пусть продолжает.
>>238464Да, понятно что у тебя это не вирус а просто функционирующий эксперимент с дырами в безопасности ряда браузеров. Другие, менее альтруистичные, вот на такой-же архитектуре вирусы пилят. Понимание, что так можно уже половина схемы защиты от такого.
Кстати в глубокую историю - если уж вспоминать за майнеры по желанию использующего - чего не по возможности бинарный исполняемый модуль под набор целевых ОС? Чтоб работало с адекватной скоростью и хоть каким-то вменяемым выхлопом.
No.238470
>>238469>эксперимент с дырами в безопасностиНет, ты не прав. Это была бы дыра в безопасности если бы код запускался только от того что на странице присутствует картинка с кодом.
Если же открытие страницы с картинкой не инициирует запуск кода а пользователь должен сам ручками запустить скрипт то это не дыра. Если ты запустил скрипт то ты ему уже дал право делать в браузере всё что угодно и именно в этот момент безопасность рухнула, а дальше нет никакой разницы содержится ли потенциально вредоносный код в самом скрипте, подгружается ли из отдельного модуля или из контейнера в картинке
По сути, то как я храню код в картинке это просто аналог rarjpeg. Да, ты можешь скачать rarjpeg, распаковать его винраром, достать оттуда экзешник и запустить его но само по себе присутствие картинки на странице безопасно
No.238472
>>238469>чего не по возможности бинарный исполняемый модуль под набор целевых ОС?Обычно запуск экзешника может быть потенциально опасным, это может вызвать недоверие со стороны пользователей. Другое дело скрипты, они запускаются в браузерной песочнице и в принципе безопасны
No.238473
>>238469>эксперимент с дырами в безопасностиПриведу такую аналогию чтобы ты лучше понял ситуацию. Допустим есть программа которая может с помощью машинного зрения оцифровывать код написанный на бумаге и выполнять его. Если пользователь установил эту программу и с её помощью выполнил вирус написанный ручкой на листе, значит ли это что это уязвимость бумаги и чернил?
No.238542
>>238535>Скиньте ссылкуТето, залогинься
No.238544
>>238470Условно завтра условно я толкаю картинку на картинкопомойку или иные средства постинка. Оборачиваю в условные (url)(/url) код стартера. Оборачиваю (url)
http://rf.dobrochan.net/vichan/b/res/236160.html&код стартера(/url) в фишинговый пост социальной инженернией побуждающий жертву кликнуть по ссылке.
Мало кто ожидает что попасть можно просто перейдя по ссылке, даже вроде указывающей на безопасное место.
>скрипты, они запускаются в браузерной песочнице и в принципе безопасныДа нифига они не безопасны. Видел не одну демонстрацию, правда только на новомоднявых браузерах на примере Google Chrome как стартом через JS идёт выход на запуск бинарного кода, повышение прав этого кода, и заражаение целевой машины.
На чём-нить пообщее типа Opera presto - только заражение браузера (когда скрипт-вредонос "прилипает" к браузеру и начинает выполняться на любых открытых страницах, перезапуск, чистка кеша не помогают) но не думаю что далее невозможно - просто в то время особой массовости сей группы клиентов не задавались вопросом. (тогда в этом плане больше flash и java штурмовали)
Так что вся "песочница" уровня надежд, что не зеро-дей и антивирусник вовремя взвопит.
>>238473Есть другая аналогия - браузер это исторически-идейно интерпретатор статичных страниц с отвёртсанным текстом. Это вся его полезная функция. Когда в это пытаются добавить функцию исполнения каких-то произвольных математических операций, особенно если работа этого аддона неуправляема со стороны пользователя ПО - это дыра в безопасности или нет?
Ну или вот выворачивая твой пример: Программа которая может с помощью машинного зрения оцифровывать код написанный на бумаге. На этом всё. Выполнять результат может другое ПО, может другой модуль-плагин этой программы, в том числе пользователь сам может собрать систему с конвеерным автовыполнением (собрать скрипт результаты условного ABBYY fine reader подающий в компилятор с++, ну и выхлоп компилятора запускающий на выполнение)
Но тут выясняется что есть сочетание закорючек на бумажке побуждающее распознавалку безусловно запускать на исполнение распознанный код с бумажки. Оно может даже где-то описано в документации, как зачем-то сделанная "фича". (или баг задеплоеный в фичу)
No.238547
>>238544>Видел не одну демонстрацию, правда только на новомоднявых браузерах на примере Google Chrome как стартом через JS идёт выход на запуск бинарного кода, повышение прав этого кода, и заражаение целевой машины.Покажешь? По-моему это либо уже известные CVE, которые уже пропатчили, либо зеро-дей, за которые нужно платить много денег или самому потратить неизвестно сколько времени на поиски.
No.238556
>>238554Работает только у фортрана на локалхосте.
No.238560
Так смешно наблюдать на неспособностью сделать защиту от абуз на домен. Столько примеров вокруг работающих сайтов, которым все ни по чем. Да даже был такой пример в истории имиджборд. Может владельцем этих борд не стоит заниматься парашеводством?
No.238563
>>238560>Может владельцем этих борд не стоит заниматься парашеводством?Как так? Обезьяна ведь не дремлет! Только этого и ждёт! Нужно СРОЧНО спасать бичесферу!
No.238577
>>238560эм…тут недавно харкач сложили…как бэ
No.238584
>>238577Ого, даже харкач не устоял, уму не постижимо!
No.238588
То есть получается заабьюзить можно вообще любой сайт, который
а) Находится в клирнете
б) Позволяет загружать картинки или хотя бы постить на него публично доступный текст
в) Не имеет юридического отдела, который бы перехватывал все арбузы раньше, чем их снесут
Что мешает абузуху снести вообще все параши, например? Или даже не параши.
No.238590
Не трястись!
No.238591
>>238560Как ты себе представляешь защиту от абуз?
No.238594
>>238591Что-то мне подсказывает, что такими советами лучше здесь не делиться
за бесплатно уж точно. Могу только посоветовать посмотреть в ту сторону, где такая защита очевидно есть или же была. А где именно эта сторона - задачка для самостоятельного размышления.
No.238596
есть подозрения, что русскоязычные сайты заабузить проще и жела даже не толлько в не понимании контекста
No.238599
>>238588А пусть сносят. И параши, и непараши. Чем быстрее это явление примет массовый характер, тем быстрее на это обратят внимание и найдут решение проблемы. ППОшники тут? Давайте уже валите все борды по списку. Хватит сопли жевать
No.238610
>>238599Да расслабься ты.
No.238620
>>238588Все так. Единственная защита это работать по законам РФ в тесной кооперации с властями, ололо.