Thalassa 0.3.50

Уязвимость уровня пхп стажера. Современные шаблонизаторы и фронтенд фреймворки по умолчанию вообще не допускают вставку html в текст. Может переписать Thalassa на что то более актуальное?

Открыл первый попавшийся под руку файл. Какой же там дикий говнокод.

Какой же там дикий говнокод.

Покажи.

LMAO. Этот клоун буквально идет по граблям чатиков из 90-х.

Какой же там дикий говнокод.

Он художник, он так видит…=)

Собственный проект, который увлекательно ковырять самому себе, для собственного удовольствия и развития - это очень здорово! Долгой жизни проекту и творческих успехов автору!

Стараниями виртуала Zeev «Столяров» стало именем нарицательным, как «Kali». Предлагаю добавить в теги чтобы можно было вычистить ленту.

Спасибо! Пойду зеркало на github обновлю.

Великий сишник столяров уже научился пользоваться goto и освобождать ресурсы, или в коде по-прежнему срач?

Основным и единственным разработчиком CMS является Андрей Викторович Столяров

Дичайше взвизгнул! Это же такой ультратонкий троллинг или ты серьезно?

Some brain-damaged webcoding addicts demonstrated me (by submitting comments with some related crap) the possibility to introduce JavaScript into user comments using tag attributes appeared in HTML5

brain-damaged webcoding addicts

лмао

Уязвимость уровня пхп стажера.

Ты наверное не видел уязвимость в математических формулах Github комментариев, которая позволяла вставлять base64-нутое изображение на весь экран сайта.

Some brain-damaged webcoding addicts demonstrated me (by submitting comments with some related crap) the possibility to introduce JavaScript into user comments using tag attributes appeared in HTML5 such as onclick, onpageshow etc., and browsers happily ignore the fact the document they render has nothing to do with HTML5. I have to admit I didn't realize things like that are possible. Luckily, all my sites are premoderated, so no visible consequences occured, but it became obvious for me that tag attributes need to be filtered just like tags theyselves.

;-)))))))))))))))))))))))))))))))))))))))))))

Ага, «brain-damaged». Ему показали, что если игнорируешь технологию (html5, js) - это еще не значит, что она тебя проигнорирует.

Емнип ему уже однажды где-то говорили, что js можно в коменты засунуть, он ответил, что не пропускает тег script.

Какой? Особо что-то не заметил или не обратил внимание. Код как код. Бывает лучше, бывает хуже.

Но отдельных лулзов там хватает, например, такое начало Makefile

   # re: ``diagnostics-{color,show-caret}''
   # fuck the gcc team! only idiots can like these 'new' diags.
   # if you use older versions of gcc (e.g. 3.* or 4.*), build
   # with smth. like
   #                   CC=gcc CXX=g++ make your_target
   # (*YES*, gcc 3.* is perfectly okay to build this soft)
CC = gcc -ansi -fdiagnostics-color=never -fno-diagnostics-show-caret
CFLAGS = -Wall -ggdb

Ну е-мое, не нравятся тебе новые Си, пишешь с -ansi, но чем раскраска сообщений не угодила?! Автор их что парсит или в каком-то очень ограниченном терминале, который их не понимает?

А почему должна нравиться раскраска чего либо? Меня вот раскраска тоже бесит, без всякого парсинга.

Интересно, а <a href="javascript:alert('Hello')">Click me<a> этот проект фильтрует, или автор такой код не посчитает за уязвимость? Честно говоря лень разворачивать, чтобы проверить.

Ну не нравится, отключил ее, благо обфаканая gcc team предусмотрела ее отключение, но зачем же ругаться?

Тоже лень сейчас, может попробую как-то на досуге. Будет прикольно если пропустит. Кстати, а пояснить почему такой код должен сработать можешь? А то мне бы в голову не пришло таким макаром вызывать js. Вроде ведь просто ссылка, которая никуда не ведет?

Почему бы и не поругаться в своём проекте. Законом не запрещено, вроде бы. Линус же ругается, а он даже книг не писал.

Ему показали, что если игнорируешь технологию (html5, js) - это еще не значит, что она тебя проигнорирует.

Наверное он думал, что если он написал доктайп XHTML 1.0, то браузер отключит все более новые технологии типа JS 6, CSS 3, HTML 5.

Когда кликнешь по этой ссылке, код сработает. Не знаю, почему, так с незапамятных времён браузеры работают. Наверное кому-то когда-то это показалось красивым. Типа есть протокол http:, mailto:, а есть протокол javascript:.

Когда кликнешь по этой ссылке, код сработает

Не, вопрос подразумевал, вырезает ли Столяров подобные ссылки из <a href="...">, или нет.

Читаю код, а ведь непохоже, чтобы он парсил href, не заметил в коде. Насколько я понял он только фильтрует теги, допуская только ограниченный их набор :)) Кстати, еще похоже можно поизвращаться с указанием кодов символов, типа

href="javascript:alert('Hello')"

vbr , чувствую, не обойдется без парсинга кода, чтобы надежно фильтровать

P.S. Хотя он кажется вообще ссылки на сайты не пропускает, вернее оставляет их в виде текста без <a

На полном серьёзе, находясь в здравом уме и твёрдой памяти.

Насколько я понял автору сабджа жалко глаза.

Стараниями виртуала Zeev

Чьего виртуала?

Ну как минимум одну (JFF) написал, хоть и в соавторстве.

это как в моей прогрессивной конторе, куда взяли трапа, все были начальниками отделов, где кроме «начальника» никого и не было

Сам архив с кодом не качал, поэтому судить не могу. Но какой же божественный HTML он генерит! Я аж прослезился когда увидел. Ничего, сука, лишнего, ни единого тега! Возвращает меня во времена чистого еще интернета, как жаль, что сейчас такого уже почти не делают.

Желаю автору всего наилучшего, крепкого здоровья, достатка в финансах и свободного времени, чтобы довести проект до ума, насколько это возможно без js. Чтобы человечество поняло, что это вообще возможно без js. Абсолютно без сарказма. Уважаю Столярова как минимум за его трехтомник, который я, к своему стыду, не дочитал и до половины, но все же он очень помог мне в начале преподавания в школе (да, там был обязательный курс по Паскалю, хоть мне и удалось впоследствии его выкинуть).

Спасибо Вам, Андрей Викторович. И удачи в новых проектах.

Уязвимость уровня пхп стажера

Откуда пхп-гуру знает, что там не вайтлист и не escape-изация нераспознанного текста?

Может переписать Thalassa на что то более актуальное?

Имеешь ввиду на другой ЯП? Может тогда пхп-гуру переписать своё сообщение на китайский язык, чтобы так жирно не накидывать?

А я бы наоборот подписался, весело же.

чем раскраска сообщений не угодила?!

Есть множество причин. Вот одна: везде текст монохромный, никто не придумывает уникальные причины раскрасить свой текст в разные цвета, только одни программисты себя считают уникальными, причём в любом вопросе, связанным с текстом: одной подсветки синтаксиса им мало, теперь добрались до компилятора. Похоже на любителей рисовать граффити на всех стенах на улице.

Хотя, конечно, я лично предпочитаю убирать граффити в локальных настройках, “fuck” на всю видимую вселенную слишком выпендрёжно.

Почему этот шлак в разделе Open Source? Столярик выпускает своё поделие под собственной лицензией, никакого отношения к FOSS не имеющей.

Исходный код открытый.

Линус же ругается, а он даже книг не писал.

Ты правда не в курсе?

Может переписать Thalassa на что то более актуальное?

Там вся суть в том, что он пишет её на крестах без ничего. И плюётся в фреймворки. Ты почитай на сайте.

Исходный код открытый.

И? У яндекса он тоже теперь открытый, но Open Source проектом это его не делает.

Если там реально всё открытое, включая сервер, делает.

чем раскраска сообщений не угодила?!

Если я правильно помню, он отрицает вообще все молодежное, к чему относится и раскраска сообщений. Терминал должен быть чернобелым, желательно на ЭЛТ-мониторе :) Это я утрирую конечно, но, уверен, что причина нелюбви к цветным сообщениями именно в этом.

открытый

Open Source

Ты понятия путаешь. С Free Software.

Если там реально всё открытое, включая сервер, делает.

Это настолько тупо что я тоже начинаю подозревать что ты виртуал столярика.

Но какой же божественный HTML он генерит!

Раз уж вы «абсолютно без сарказма», то и я абсолютно без сарказма скажу, что всем насрать на HTML. Это не то чтобы современная нерешённая проблема.

Ты понятия путаешь. С Free Software.

Это ты Free Software c Open Source путаешь, Столман тебя побери. Сам факт возможности чтения исходников не делает софт Open Source - у него вполне конкретное определение и конкретные лицензии, которые ему соответствуют. Фимозное поделие столярика никаким боком не Open Source из-за не менее идиотской лицензии.

Ну вообще да. Хотя тут подмена понятий прям очень легко осуществляется.

• Open Source – в идеале это код, открытый под одной ил лицензий одобренных OSI.
• Также Open Source переводится как «Открытый код». И если ты свой код открыл и даешь его качать и модифицировать, то он, черт подери, открытый, пусть и не под лицензий OSI. А значит он тоже Open Source. Но не Open Source.

Не хочу ввязываться в конкретный конфликт про уязвимость, может есть, может нету, но современный веб настолько сложный, что любой программист будет посредственным.

Если человек стал фанатом Столлмана, то в любом конфликте находится причина поднять вопрос «свободного» ПО. Тут как с Растом, хотя Раст не обманывает людей, придумывая собственные понятия о свободе — очень важная вещь.

но современный веб настолько сложный, что любой программист будет посредственным

Ну иди в ВК например и попробуй там JS в комментах выполнить - если получится, то некисло бабла поднимешь через их Bug Bounty программу.

Если программист нормальный и учился не по Столярову, так такие тривиальные ошибки он допускать не будет.

А значит он тоже Open Source. Но не Open Source

Он source available, а не Open Source.

учился не по Столярову

Ты щас сравнил теплое с жидким. Столяров в книгах и вообще учит не «нормальности» в понимании работы с фреймворками, а думать как программист — не плодишь лишнего, думать о том, где и как это будет работать, чтобы не жрало памяти вагон, и так далее. И это очень полезные навыки. Да, они идут нахрен, когда ты берешь Node.js и пишешь сервер на говне, но даже там ты потом задумаешься об оптимизации и, может, твоя поделка не будет отжирать 128 гигов рамы на одном юзере.

Собственно, у него даже называются книги «Введение», а не «Стань крутым погромистом». Так что потом уже можно идти учить все эти ваши фреймворки и JS.

Да начать хотя бы с того, что чел якобы на плюсах пишет, а в коде сплошная сишка с ручными delete и указателями на const char. Сложно представить, чему этот неосилятор может кого-то научить.