Безопастность - превыше всего

Только что прочитал интересную статью, которая натолкнула меня на одну важную мысль: фиг с ними, с дополнениями и усовершенствованиями, если в движке вдруг будут найдены уязвимости. Предлагаю знающим людям потестить Livestreet на SQL-инъекции и XSS c CSRF. Ибо, в первую очередь надо закрывать подобные баги, а потом уже двигаться вперёд, стараясь не плодить новых уязвимостей.

Я ещё не искал «дырки» в коде, этот пост скорее превентивный, дабы, не дай Бог, не повторять эксплеевские ошибки. Кстати, Ort, ты обращал внимание на защиту движка от уязвимостей?

Мелкие баги

Если при регистрации ввести 4-х-символьный пароль, выводится «Ошибка: Неверный пароль, допустим от 5 символов», однако под полем «Пароль» в описании — «Пароль должен содержать не менее 4 символов».

В ActionBlog.class.php переменная $sMenuSubBlogUrl по умолчанию не равна DIR_WEB_ROOT, соответственно на главной странице в ссылках прописывается localhost/new/ вместо localhost/livestreet/new/

«2 голос» в профиле — не учитывается склонение. Это не баг, а скорее мелкая недоработка :)

Если залить большое изображение с выравниванием «справа» — вся верстка рушится.

Автокомплит

Уж и не знаю — глюк ли. Но метки с большой буквы и с маленькой буквы считаются разными метками и автокомплит не выводит варианты с разными буквами. Я могу ввести «Гугль», а кто-то введёт «гугль». И это будут разные метки. Разве это правильно?

Видео

Как размещать видео с YouTube?
Делаю так но виден в блоге, как текст. Спасибо.

Борьба со спамом

Думаю важная фича. На мой взгляд, очень полезные возможности:
— Возможность банить по ip;
— капча на ввод коммента;
— возможность включения режима модерации от новых комментаторов (как в вордпесс, если у юзера нет ни одного комментария то его первый коммент идет на модерацию);
— возможность удаления всех комментариев по нику автора;
— Простенький фильтр считающий число ссылок в комменте и если болше некоторого числа то на модерацию;
— несколько режимов регистрации пользователей один из них — подтверждение админом проекта;

Немного не спам но тож полезно принудительная публикация выбранных топиков админа на главной странице и возможность закрепления постов обьявлений.

Ну вроде пока все :)

Ну и еще одна фича думаю будет полезна: нормальный ЧПУ, транслитерация тегов, урл топика не в виде цифр, а в виде транслитерированного русского название.

Исправление багов - LiveStreet 0.1.2

Новая версия LiveStreet 0.1.2 с фиксами багов.

Что исправлено:
  • ошибка при отображении комментариев
  • неправильное формирование облака тегов
  • удален тестовый экшен из-за которого можно было вызвать ошибку на сайте
  • подправлен шаблон авторизации
  • добавлен SQL патч для версии 0.1, который создает индексы в БД


Скачать можно как обычно с этой странички

Первые упорядоченые мысли

Начну с предыстории.
Не для кого не секрет что есть тематики ресурсов которые скажем мягко не имеют массовой публики, но при этом важны и востребованы у той или иной группы людей. Примеров можно привести кучу но суть не в этом. Можно долго спорить, рассуждать и впоминать не без известную лепру. Но отнють не она вдохновила меня на создание закрытого коммунити.

А именно:

1)Обилие всякого спама, и дурацких топиков в большинстве систем общения. Во многом это регулируется простым +- но если посмотреть в корень то лучше избавить себя от нелициприятного управления всяческим быдлом.

2)Определенное нежелание видеть тот или иной контингент людей (даже не постящих всякую хрень) и давать возможность всяческим ананимусам устраивать всяческие козни тому или иному ресурсу.

В связи с этим, хочется отметить отличный функционал проекта livestreet. И хотелось бы внести по сему поводу задумки.

*Естественно инвайт по приглашению

*Приглашения не дожны сыпаться как грибы, а выдаваться тому или иному юзверу за определенный рейтинг (какой либо интервал), можно связать это с интервалом налета на ресурсе да и вообще довольно много алгоритмов любопытных можно придумать.

*Возможно я покажусь пораноиком, но считаю что любой инвайт должны подтвердить определенное количество пользователей (желательно имеющих не 0й рейтинг), ибо вся секюрность теряет всяческий смысл в случае поподания обекта Х имеющего нехорошие намерения %)

*Если уже говорить о полном социоконтроле, то считаю довольно демократичным чтобы пользователь получивший скажем -n очков рейтинга, покинул сцену :)

*Ну и само собой возможность админу выдавать инфайты и тп. И назначать людей в abuse team.

От себя желаю удачи в развитии проекта, если хотябы часть вышеперечисленного будет доступна то буду безмерно рад. Спасибо за внимание.