Некоторые видели, что в diary spirit вместо комментариев к новогоднему посту открывается непонятная страница с контентом, запрещённым в РФ. На следующий день это убрали. Штош, взломали сайт, бывает -- так думал я. А подумал я неправильно.
Почему-то у меня даже мысли не возникло, что надо разобраться в том, как это устроено (а обычно такие мысли возникают). Потом я узнал, что ещё в кое-каких местах дайари можно посмотреть на ту самую страницу. Я её открыл и внимательно изучил.
К моему удивлению, это оказался не дефейс, и даже не взлом в строгом смысле слова. Эта страница являлась текстом комментария. Просто этот текст был так сделан, что скрывал за собой интерфейс дайари. То есть, это форма спама. Но как же это было сделано?
По понятным причинам, я не привожу целиком текст, но я определил минимальные параметры, которые позволяют делать такие комментарии в любом дневнике любого автора. Это работает до сих пор, и будет работать, пока не настроят фильтр ввода HTML-кода так, чтобы он исключал определённые атрибуты у тегов. Какие же атрибуты помогают делать комментарий, выходящий за рамки интерфейса?
Первый атрибут это position:fixed. Если поиграть с шириной и высотой div-блока и с его координатами, то можно разместить див любого размера в любом месте экрана, а не только внутри предыдущего див-а. Но этого мало для полного успеха, потому что этот див будет перекрыт другими элементами интерфейса.
Тут на помощь нам приходит другой атрибут, z-index. Он позволяет располагать див-блок выше или ниже остальных (по оси, направленной в сторону пользователя). Ну и если задать это значение достаточно большим, то див-блок будет располагаться поверх всех остальных.
Теперь о методах борьбы для простых пользователей. Ваш друг -- это браузерный отладчик, который включается при нажатии Ctrl+Shift+i.
После этого надо выбрать об'ект (т.е. див-блок), для чего в левом краю строки отладчика имеется иконка с указателем мышки и прямоугольником (и в хроме, и в ФФ). Что выбирать -- понятно. Надо кликнуть на пустом месте поближе к краю. Снизу в исходном тексте подсветится нужный див-блок. Читать текст не надо, надо кликнуть правой кнопкой мыши и выбрать там delete node (или delete element, или похожее). Всё, вы должны увидеть интерфейс дайари и тот самый комментарий (там будет пусто). Комментарий можно удалить, если у вас есть нужные права доступа.
Почему-то у меня даже мысли не возникло, что надо разобраться в том, как это устроено (а обычно такие мысли возникают). Потом я узнал, что ещё в кое-каких местах дайари можно посмотреть на ту самую страницу. Я её открыл и внимательно изучил.
К моему удивлению, это оказался не дефейс, и даже не взлом в строгом смысле слова. Эта страница являлась текстом комментария. Просто этот текст был так сделан, что скрывал за собой интерфейс дайари. То есть, это форма спама. Но как же это было сделано?
По понятным причинам, я не привожу целиком текст, но я определил минимальные параметры, которые позволяют делать такие комментарии в любом дневнике любого автора. Это работает до сих пор, и будет работать, пока не настроят фильтр ввода HTML-кода так, чтобы он исключал определённые атрибуты у тегов. Какие же атрибуты помогают делать комментарий, выходящий за рамки интерфейса?
Первый атрибут это position:fixed. Если поиграть с шириной и высотой div-блока и с его координатами, то можно разместить див любого размера в любом месте экрана, а не только внутри предыдущего див-а. Но этого мало для полного успеха, потому что этот див будет перекрыт другими элементами интерфейса.
Тут на помощь нам приходит другой атрибут, z-index. Он позволяет располагать див-блок выше или ниже остальных (по оси, направленной в сторону пользователя). Ну и если задать это значение достаточно большим, то див-блок будет располагаться поверх всех остальных.
Теперь о методах борьбы для простых пользователей. Ваш друг -- это браузерный отладчик, который включается при нажатии Ctrl+Shift+i.
После этого надо выбрать об'ект (т.е. див-блок), для чего в левом краю строки отладчика имеется иконка с указателем мышки и прямоугольником (и в хроме, и в ФФ). Что выбирать -- понятно. Надо кликнуть на пустом месте поближе к краю. Снизу в исходном тексте подсветится нужный див-блок. Читать текст не надо, надо кликнуть правой кнопкой мыши и выбрать там delete node (или delete element, или похожее). Всё, вы должны увидеть интерфейс дайари и тот самый комментарий (там будет пусто). Комментарий можно удалить, если у вас есть нужные права доступа.
06.02.2025 в 07:03
06.02.2025 в 10:34
06.02.2025 в 14:41
06.02.2025 в 16:37
А что ты думаешь про вчерашний косяк с сертификатом? Проводил ли расследование?
06.02.2025 в 16:38
06.02.2025 в 16:52
Про косяк -- а я не понял, что произошло. На основном домене у меня грузился нормальный сертификат, действительный со вчера. А на поддоменах какой-то древнющий, который истёк даже не позавчера, а год назад.
К сожалению, я не знаю, как происходит подгрузка и назначение сертификатов.