Technické záležitosti serveru - bezpečnost

> zakázať všetok HTML kód v príspevkoch okrem vybraných tagov... To by mohlo dojít tak daleko, že by nebylo možné vložit ani samotný, 'doma' předem upravený a zformátovaný text (třeba kvůli CSS). Ale tak přísně to asi myšleno nebylo :-) Moje obava vzikla ze srovnání širokých grafických možností Písmáka s ostatními (nebo již neexitujícími) 'skladišti' podobného typu (Literra, Sapsi, Likerium apod.)

jasně!:)) jen dál motivuj je to záslužná činnost:)

já snad ten důvod nebudu - já o bezpečnosti a zabezpečení serveru teda fakt psát nemožu - ale furt čekám že se někdo chytne tématu...

protože sem píšeš blbosti jako my?

chjo, zas se mi koník cpe do debaty :o(

pozo, brek má pravdu, jeho sem nezklamala, nic ode mne nečeká, co taky - s mou pamětí a přístupem :o) brek.u, pozo má taky pravdu... :o) ale proč tu nikdo nediskutuje o tom o čem já nemám páru - o bezpečnosti a zabezpečení serveru a aplikace? :o)

brek.: všichni s tebou nesouhlasí

šmankote, že bych šla do sebe? jak já vám to chlapci enem vynahradím?!

myslím, že mluvím za všechny, když řeknu, že martinez svým výrokem zklamala nás všechny ;( čekalo se víc

martinez, já od tebe čekal nějakou moc pěknou repliku na thema, kterak ochránit svá díla, a ty takhle, zklamalas, děvče... :o))

aha, chaos to řeší tu, tož to moje avi bylo navíc - že sorry :o) ale většině toho tu nerozumím - to jen tak abyste ode mne nic chytrýho nečekali :o)

Přesně jak píše CrawlingChaos... -zamezení html(dá se krásně nahradit. např. BBTagy či některým dostupným editorem textu) a ostatních vstupních parametrů do DB (např. vkládání skriptů či mysql_injection). -nezahashované heslo je snad dokonce trestné :) -optimalizovat Písmák nejen pro IE, ale i další menšinové prohlížeče (FF,Opera,NetScape...)

za mojimi pripomienkami a návrhmi si napriek zákernej snahe o zdiskreditovanie mojej osoby stojím mierne som ich pozmenil berúc ohľad na dasslerov text vyššie 1. zakázať tag <script> vo všetkých vstupoch pre zamedzenie útokov XSS a tiež html event atribúty, určite zakázať atribút "style" - zabraňuje zneužitiu diel, pošty a kritík na záškodnícku činnosť, ktorej výsledkom môže byť ukradnutie cookies, alebo zasvinenie stránok (viď moju autorskú stránku, ktorá je k dnešnému dátumu príkladom) 2. prípadne zakázať všetok HTML kód v príspevkoch okrem vybraných tagov a zaviesť vlastnú syntax pre pridávanie obrázkov a zvýrazneného textu - asi ako prvý bod, ale možno jednoduchšie na implementáciu 3. hashovať heslá v databáze algoritmom SHA1 a pri prihlásení overovať hash proti hashu namiesto plain textu proti plain textu /vyžaduje novú implementáciu podpory pre zabudnuté heslo - vygenerovanie nového hesla a zaslanie na užívateľov email - za týmto účelom je pri registrácii dobré overiť existenciu emailovej adresy, aby nedošlo k situácii, že týpek chce nové heslo, ale nemá platný email/ - toto slúži na zabránenie úniku hesiel pri nedajbože prieniku do DB, resp. zneužitie hesiel administrátormi DB - s využitím javascriptu je možné posielať heslo na server už zahashované 4. zabezpečiť zobraziteľnosť pri vypnutí javascriptu - niektorí ľudia z bezpečnostných dôvodov vypínajú JS, bolo by dobré, keby si mohli písmák zobraziť tak ako ostatní 5. umožniť užívateľovi vypnúť zobrazovanie niektorých informácii (dátum posledného prihlásenia) na jeho autorskej stránke - účelom je chrániť súkromie užívateľov (mňa osobne dátum posledného prihlásenia irituje) 6. prepracovať politiku sankcií za porušovanie pravidiel, rebríček trestov od dočasného zákazu prispievania až po zrušenie účtu (pri dodržaní zákonov ČR), používať varovania /podmienené tresty/ - zmysel opatrenia ukázali kauzy nedávno minulé

JiKo ... měl jsem na mysli takové poznatky a treba i navrhy na reseni, jako naznacil CrawlingChaos a Dero pod mym prvnim zde prispevkem. Myslim, ze CrawlingChaos dokonce nejakou takovou diskusi mel i u sveho nicku, jestli se nepletu. Ja bych to sem i prekopiroval, ale urcite si myslim, ze se tady jeden i druhy take zastavi a zapoji se (at neprendavam jejich texty bez jejich vedomi). -d-

To je těžkej skoro až nesmyslnej dotaz když nevíme jak je to teď :)))