::   ::   ::   ::   ::
 
 

Foros de discusión HispaSeti
Unión de los grupos Hispanos de Seti@Home
 
 RegistrarseRegistrarse 
 FAQFAQ   BuscarBuscar   MiembrosMiembros   Grupos de UsuariosGrupos de Usuarios   RegistrarseRegistrarse   Volver a la Web principalVolver a HispaSeti.org
 PerfilPerfil   Entre para ver sus mensajes privadosEntre para ver sus mensajes privados   LoginLogin 

Problemas con la firma

 
Publicar nuevo tema   Responder al tema    Foros de discusión -> Soporte Técnico Seti
Ver tema anterior :: Ver tema siguiente  
Autor Mensaje
Arrakis
Pulso
Pulso


Registrado: 06 Jul 2004
Mensajes: 77
Ubicación: Argentina

MensajePublicado: Mar 21 Sep 2004 21:34:18    Asunto: Problemas con la firma Responder citando

Nuevamente tengo inconvenientes con la firma, solo vean como sale Evil or Very Mad
Que es lo que sucede quise agregar la de LHC y aunque he probado de volverla a quitar las otras no aparecen correctamente, que es lo que hago mal?
_________________


Volver arriba
Ver perfil de usuario Enviar mensaje privado MSN Messenger
Nexus 7
Extraterrestre
Extraterrestre


Registrado: 27 Mar 2002
Mensajes: 2019
Ubicación: Alcalá de Henares - Madrid

MensajePublicado: Mar 21 Sep 2004 23:04:42    Asunto: Responder citando

Hola Arrakis.

He comprobado la configuración de los foros y están OK.

He intentado poner una imagen normal y me sale correctamente .

Pero cuando la imagen es alguna de la web de mundayweb lo que se obtiene es [img]http://seti.mundayweb.com/stats.php?userID=247[/img]

Si pinchas aquí http://seti.mundayweb.com/stats.php?userID=247 sale la imagen sin ningún problema algo que es extraño. Así pues, me fui a otros foros y traté de poner una de las imágenes de tu firma y los resultados son arto curiosos.

De primeras, y cuando le digo insertar imagen en la ventana de "publicar respuesta" la imagen aparece correctamente (ambos foros utilizan programas diferentes) por lo que el servidor de mundayweb está operativo, pero cuando le doy a "vista previa" en vez de salirme la imagen me sale lo mismo que en estos foros (algo que también es la primera vez que veo que ocurra tal cosa)

Me temo que no es problema nuestro y es cuestión de mundayweb. Parece como si desde mundayweb hubieran restringido enviar imágenes cuando se solicita desde una dirección que incluyera la palabra "foros".

Saludos.
_________________
"Nexus, siempre harás todo lo posible por hacer lo menos posible"
www.HispaSeti.Org
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor Yahoo Messenger MSN Messenger
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mar 21 Sep 2004 23:42:22    Asunto: Responder citando

He estado haciendo unas pruebas algo más intensivas, y la cosa tiene guasa:

Como habeis podido ver los dias anteriores mi firma funcionaba perfectamente (en mi servidor, no es en mudoyweb). He probado a poner una de las firmas de arrakis, y a partir de ese momento no ha funcionado ni la de mi servidor ni la de mundayweb.

Sin embargo, si funciona con imagenes normales.

Al final creo que he dado con la tecla: El foro (la nueva versión) no traduce el codigo [img] [/img] a HTML a menos que el fichero que pongamos en medio tenga una extensión de imagen usual (.jpg, etc). De hecho he probado con imagenes de mi propio dominio (estaticas) y funcionaban, y las dinamicas (que no acaban en extensiones conocidas, sino en parametros) no se traducen.

Incluso he probado a poner un nombre de imagen "al azar" (vease http://sdfasdfasfasdfasdfa.com/mecmocmic.jpg) y esa si que intenta traducirla, aunque obviamente sale el iconito de imagen no encontrada.

O sea que el problema debe estar en el foro (puesto que en otros foros si sirven tanto la firma de mundayweb como la mia). Sugiero revisar las configuraciones de imagenes, a ver si pone algo de restringir a "solo tipos de imagenes conocidos" o algo asi.

Por ultimo deciros que mi modulo de firmas esta disponible, y podeis acceder a él a traves de mi pagina de estadisticas ( http://150.214.190.154/BOINCStatistics/ ), en la pagina de estadisticas individuales. Como novedad decir que se pueden poner en la firma estadisticas de varios proyectos simultaneamente (LHC y pirates se añadiran pronto en cuanto ofrezcan sus estadsiticas como XML).

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Nexus 7
Extraterrestre
Extraterrestre


Registrado: 27 Mar 2002
Mensajes: 2019
Ubicación: Alcalá de Henares - Madrid

MensajePublicado: Mie 22 Sep 2004 00:09:39    Asunto: Responder citando

Hola de nuevo.

Zerjillo escribió:
Al final creo que he dado con la tecla: El foro (la nueva versión) no traduce el codigo [img] [/img] a HTML
He habilitado temporalmente el HTML, he hecho pruebas utilizando HTML directamente, y luego lo he vuelto a poner en su configuración inicial. Y tampoco funcionó. Así pues, no es problema de conversión del BBCode al HTML.


Cita:
a menos que el fichero que pongamos en medio tenga una extensión de imagen usual (.jpg, etc).
Esto parece ser que sí es así, pero sigo sin saber porqué ocurre eso.

Cita:
O sea que el problema debe estar en el foro (puesto que en otros foros si sirven tanto la firma de mundayweb como la mia). Sugiero revisar las configuraciones de imagenes, a ver si pone algo de restringir a "solo tipos de imagenes conocidos" o algo asi.
No he encontrado nada parecido, pero todas las opciones de imágenes están habilitadas y la única restricción es el tamaño (10Megas) Por lo que tampoco creo que ésta sea la causa.

¿Más sugerencias? ¿Algún otro administrador o webmaster sabe por donde pueden ir los tiros?

Saludos.
_________________
"Nexus, siempre harás todo lo posible por hacer lo menos posible"
www.HispaSeti.Org
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor Yahoo Messenger MSN Messenger
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 00:46:36    Asunto: Responder citando

Nexus, personalmente no conozco la configuración de este tipo de foros, pero SI que tiene pinta de ser un problema en la conversión, ya que si te fijas los "tags" de BBCODE aparecen cuando lo que pone dentro no acaba en extension de imagen usual... por lo tanto no se está traduciendo de BBCODE a HTML.

Otra cosa es que puede ser un bug, o una nueva feature (lo mismo pensaban que asi evitaban que se intentaran poner imagenes que no son imagenes y no "cayeron en la cuenta" que hay imagenes que son dinámicas?).

En cualquier caso yo recomendaria a Danilo (creo que fue él quien cambió la versión del foro, ya que esto no pasaba antes) que mirase la lista de cambios del foro a ver si se menciona algo.

Voy a hacer una pequeña búsqueda en las páginas de estos foros a ver si comentan algo.

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 01:04:50    Asunto: Responder citando

Vale, investigado y "solucionado".

Como se comenta en:

http://www.phpbb.com/phpBB/viewtopic.php?t=188803&highlight=bbcode+img+signature

por seguridad han desactivado las imagenes que no acaben en una extension comun, y por eso no se traduce el codigo BBCODE a HTML.

La solución para arreglarlo es un poco chapuzas, y es añadir algo de codigo a la url de nuestra imagen de tal manera que lo engañemos. La idea sería ponerlo mas o menos como a continuación:

[img]http://150.214.190.154/BOINCStatistics/Signature/Signature.php?userName=Zerjillo#i.png[/img]

Como veis he añadido al final de la url: #i.png, con lo que "engañamos" al foro, haciendole creer que es una imagen "clasica", "estatica".

Ojo, sale en este mensaje porque he desactivado el BBCode, pero si debeis poder ver mi firma en mis mensajes.

Asi pues, la cosa creo que queda solucionada.

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 01:16:30    Asunto: Responder citando

Pues no!... Leyendo mas detenidamente ese thread, parece que se podia seguir haciendo lo que querian evitar por motivos de seguridad, con lo que está desactivado el traducir imagenes que no acaben en extensiones usuales, que tengan ?, # y vete tu a saber, con lo que usualmente no se van a poder usar este tipo de firmas aqui.

El caso es que el que controla el servidor de firmas puede hacer una "trampa" para que las urls no tengan esta sintaxis, pero sinceramente, yo en mi servidor paso de comerme el coco, y no se si el de mundayweb tendrá intención de hacer esto para poder poner firmas en algunos foros.

Eso si, otra opción es que Danilo desactive esta comprobación en el código de phpBB, concretamente en el fichero includes/bbcode.php (line 284), donde dice:

Código:

$text = preg_replace("#\[img\]((ht|f)tp://)([^ \?&=\"\n\r\t<]*?(\.(jpg|jpeg|gif|png)))\[/img\]#sie", "'[img:$uid]\\1' . str_replace(' ', '%20', '\\3') . '[/img:$uid]'", $text);


Alli podría "relajar" las condiciones y permitirnos poner este tipo de imagenes. Por supuesto relajar la condicion implicaría que algún joputa se aproveche de la "vulnerabilidad", aunque sinceramente creo que no sería tarea sencilla.

En fin... ¿que opinais que es más conveniente? permitir estas imagenes o no?

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 01:27:01    Asunto: Responder citando

Acabo de entender como podría utilizarse este tema para fastidiar en los foros: Alguien en vez de una imagen podría poner facilmente el codigo del foro que se utilizaría, por ejemplo, para salir de la sesion (con lo que la persona que ve el foro quedaría "desconectado" automaticamente), o incluso para bloquear el mensaje (con lo que en cuanto un moderador entrara a ver un mensaje sin querer lo cerraria).

En fin, el exploit posible es serio, así que no sería lo que es más correcto.

Me lo apunto para comprobar que pasa en otros foros... Quizás debería pensarse otro "mecanismo" para las firmas o imagenes... lo que pasa es que las imagenes dinámicas tienen muchas ventajas, y todas las soluciones pasan por hacer cambios en los sistemas de firmas (ya sea el mio o el de mundoyweb). Por otro lado los sistemas de firmas basicamente son para foros (y muchos de phpBB, que es uno en los que se puede explotar esta vulnerabilidad)... asi que... En fin, no es fácil el asunto.

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Arrakis
Pulso
Pulso


Registrado: 06 Jul 2004
Mensajes: 77
Ubicación: Argentina

MensajePublicado: Mie 22 Sep 2004 01:33:38    Asunto: Responder citando

Bueno hurgando en la pagina de Mundaweb encontre esto y arece que funciona

Alternative Stats Graphic URL

Some forums, like the latest phpBB forums have prevented image links to PHP scripts being included in posts to such forums. To enable your graphic to be viewed in these forums and other web sites, you can include your Seti graphic by following these simple procedures regarding your http://boinc.mundayweb.com/lhc URL:


use "/" where you would normally use "&"
use ":" where you would normally use "="
do not use a "?" anywhere in the URL
add "/.png" to the end of URL (this is not required by seti2.mundayweb.com but is required by phpBB forums)

Therefore, in your case you would write for no transparancy:

http://boinc.mundayweb.com/lhc/stats.php/userID:111/trans:off/.png instead of http://boinc.mundayweb.com/lhc/stats.php?userID=111&trans=off

The resulting phpBB code would therefore be in this case:

and for transparency:

http://boinc.mundayweb.com/lhc/stats.php/userID:111/.png instead of http://boinc.mundayweb.com/lhc/stats.php?userID=111

The resulting phpBB code would therefore be in this case:
_________________


Volver arriba
Ver perfil de usuario Enviar mensaje privado MSN Messenger
Arrakis
Pulso
Pulso


Registrado: 06 Jul 2004
Mensajes: 77
Ubicación: Argentina

MensajePublicado: Mie 22 Sep 2004 01:41:44    Asunto: Responder citando

Ups sori no vi el mensaje donde explicas del exploit.....si quieren borren mi ultimo mensaje, si en algo ayuda a los que quieran utiliar el exploit.
_________________


Volver arriba
Ver perfil de usuario Enviar mensaje privado MSN Messenger
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 01:46:03    Asunto: Responder citando

Asi pues, la gente de mundayweb ya se han encontrado con este problema. Han dado una solución, pero me gustaría constatar que es un problema de phpBB, no suyo, ya que son los de phpBB los que tienen problemas con su foro, ya que permiten pasar argumentos a traves de la URL que realizan acciones de la base de datos, cuando realmente se debería usar el método POST.

Yo sinceramente voy a pensarme si hacer algo parecido en mi servidor, pero me jode tener que hacer un parchazo en mi servidor web para que se puedan ver las estadísticas, "solo" porque algunos foros estén mal diseñados (aunque no les quito mérito por la creación de phpBB, que realmente está currado, pero lo que no puedo entender es que en un proyecto más o menos gordo hayan dejado este tipo de vulnerabilidades tan a mano).

En fin, a ver que pasa. Realmente hay que tener cuidado en todos los foros phpBB que no estén actualizados... esto puede causar bastantes problemas.

Un saludo

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Zerjillo
Extraterrestre
Extraterrestre


Registrado: 26 Abr 2003
Mensajes: 1398
Ubicación: España

MensajePublicado: Mie 22 Sep 2004 01:52:41    Asunto: Responder citando

Tranki Arrakis, lo que has puesto no puede ayudar nada a quien quiera usar el exploit. De hecho dadas las restricciones de este foro en el tag IMG, se supone que estamos "seguros", pero claro, sin imagenes estáticas salvo parchazo del que crea las imagenes.

En fin... Una lata

Zerjillo
Volver arriba
Ver perfil de usuario Enviar mensaje privado Visitar sitio web del autor
Oldno7
Administrador del Foro
Administrador del Foro


Registrado: 22 Mar 2002
Mensajes: 1829

MensajePublicado: Mie 22 Sep 2004 08:27:42    Asunto: Responder citando

Bueno.. ante todo gracias a todos, sobre todo a ti, zerjillo, por ese estupendo "traceo".
Yo no veria un problema en parchear el codigo php (ya se ha hecho otras veces para otras cuestiones).. lo que ocurre es que estamos en pleno periodo de transicion: Danilo acaba de
actualizar la version del phpBB, lo que exige un trabajazo a la hora de adecuar esteticamente el foro (creedme: no os podeis imaginar la lata que dan todos esos iconitos
y monerias Smile ). Dentro de poco se tiene previsto remasterizar todo el dominio para usar
Minerva (un portal php).. y en estos momentos es poco recomendable realizar cambios
que puedan ser inutiles o incluso dar problemas. Yo tengo previsto realizar un par de utilidades cuando las cosas se calmen... en ese momento nos podemos plantear tocar codigo.. asi que hare un "request for changes" cuando vaya a meterme en ello.
Volver arriba
Ver perfil de usuario Enviar mensaje privado Enviar email Visitar sitio web del autor Yahoo Messenger
Mostrar mensajes de anteriores:   
Publicar nuevo tema   Responder al tema    Foros de discusión -> Soporte Técnico Seti Todas las horas son GMT + 2 Horas
Página 1 de 1

 
Cambiar a:  
Puede publicar nuevos temas en este foro
Puede responder a temas en este foro
No puede editar sus mensajes en este foro
No puede borrar sus mensajes en este foro
No puede votar en encuestas en este foro


Powered by phpBB © 2001, 2004 phpBB Group
 

Página alojada en http://www.Oldno7.org


Fotomaf - Galeria de fotos de Mauro A. Fuentes