Плагин «Error report»

Позволяет пользователям сообщать об ошибках на сайте, выделяя их и отсылая на проверку админом. Позволяет «пожаловаться на топик» (рядом со значком комментариев внизу топика есть маленькая кнопочка), а также форма обратной связи.

Плагин портирован на ЛС 0.5+ (jQuery)

Читать дальше →

Серьезная дыра с выходом из сети

В предыдущем своем проекте обнаружил дыру, которую решил проверить в этом движке и она сработала.

Суть в следующем: если в посте или в комментарии опубликовать ссылку /login/exit, то каждый нажавший ее пользователь будет разлогинен (аналог ссылке «выход» возле имени юзера справа сверху).

В посте линк не привожу по понятным причинам. Желающие могут попробовать в своих проектах.

Так как для апача оба этих линка выглядят одинаково, в текущей реализации выход вижу пока один — добавление к правильному линку «выход» случайного get-параметра, который максимально сложно будет подделать и проверять его на сервере. Либо перевести линк на post.

Отдельная тема для размышления — проверка всех прочих «системных» ссылок на подделку и возможные последствия для рядовых посетителей.