+20.99
333 читателя, 272 топика

Баг поиска


Тема: synio. Вставить в поиск (копировать) правой кнопкой нельзя. Нажимаешь пустой поиск — там копировать можно, но вид, который вылазит не есть хорошо.

Несколько багов с профилем и категориями

При верстке шаблона Fortune мною было замечено несколько багов, которым, возможно, удавалось до сих пор скрываться ). Если о них уже писали, извините, через поиск не нашел.

  • Ошибка вывода новых сообщений из закрытых блогов в ленту: если пользователь подписан (является его участником) на закрытый блог и в нем появились новые топики, они не выводятся в ленте событий даже после выбора (выставления галочки в чекбоксе) закрытого блога в списке «Блоги».
  • Ошибка вывода кнопок рейтинга на страницах профиля: после голосования за пользователя в профиле кнопки все равно остаются доступны на других страницах, например, в «Публикациях», «Избранном», «Друзьях», «Активности». На страницах «Информация» и «Стена» все работает правильно. Не срабатывает условие $oVote. Ошибка замечена во всех шаблонах.
  • Ошибка в работе дополнительных пользовательских полей на странице профиля: после создания дополнительных пользовательских полей, не относящихся к типу «social» и «contact», через админку, они не появляются на странице настроек профиля пользователя для заполнения. «Безымянные» доп. поля не работают ни в шаблоне developer, ни в synio.
  • Неверное отображение количества участников, подписанных на блог: если в категории имеется несколько модератором и админов, например, по пять тех и других, то на странице топика отображается одно кол-во подписчиков, а на странице категории другое (меньшее). Наглядный пример можно увидеть тут (4 читателя / 3 топика) и тут (9 читателей / 3 топика).

Раскрытие директорий в ЛС. Часть 2-5

С момента публикации моего топика найдено ещё 4 лазейки, позволяющие злоумышленнику узнать имя аккаунта на вашем сервере. Часть из них связана с неверным типов переменных, которые специально формируются заведомо ложными и вызывают ошибку, часть — в связи с приходом пхп 5.4, который имеет разные нововведения, но также отныне вызывает ошибку уровня e_notice при преобразовании массива в строку:

livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-2.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-3.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-4.html
livestreetguide.com/livestreet_security/raskrytie-direktoriy-v-ls-chast-5.html

и заключительный топик, в котором есть файл со всеми фиксами для последней публичной версии ЛС 1.0.1

З.Ы. Когда я закончил 5 топик, я нашел ещё такие же проблемы, но напишу о них позже. Вы можете быть в курсе последних событий, касающихся безопасности ЛС, читая блог Безопасность LiveStreet CMS на сайте гида по лс.

Безопасность ЛС: Раскрытие директорий в ЛС

Вряд ли это можно назвать серьезной дырой, но все же это есть:

  • Уровень опасности: низкий
  • Тип: раскрытие имени пользователя (аккаунта) на сервере
  • Версии движка, которые подвержены данной опасности: все, начиная с LS 0.4

Чтоооо?..

Баг со сточкой "о себе" в профиле

Если кто то вставляет в свой профиль с помощью тега
<img>
в поле «О себе» огромную картинку она так и отображается закрывая собой все остальные элементы. Следовательно вопрос, как это поправить?
PS Пример можно видеть в моем профиле.

При создании топика-ссылки в предпросмотре не работают теги

Если создать топик-ссылку и в тексте использовать хтмл теги и нажать на предпросмотр, то вместо тегов можно увидеть их код:

<strong>php</strong> код в шаблонах ... тегов: <code>{php}{/php}



но после публикации все ок.