[Ruch Rozwoju] Jak bezproblemowo dodać artykuł?
Mr Drecha
W naszej kochanej grze moduł medialny leży i to nie tylko w ePolsce, to prawda wszystkim znana. Powodem zapewne jest lenistwo, trudność w uzyskaniu 1000 subów (za co dopiero redaktorzy mają jakiś zysk). Myślę jednak, że jednym z poważniejszych minusów modułu medialnego jest wszędobylski CSRF Attack, który lubi pojawiać się w eRepie dosłownie wszędzie. Wydaje mi się, że wielu z Was niejednokrotnie załapało wenę na jakiegoś ciekawego arta, ba! Nawet go napisaliście, wybraliście sobie w spokoju kategorię i bach – chcecie go opublikować i w tym momencie następuje frustracja (delikatnie mówiąc). CSRF Attack Detected. Najpierw zajmijmy się jednak jego genezą za popularną, acz kiczowatą encyklopedią internetową:
„Cross-site request forgery (w skrócie CSRF lub XSRF) to metoda ataku na serwis internetowy, która często (m.in. na skutek jednoczesnego wykorzystania) mylona jest z cross-site scripting (XSS) bądź jest uznawana za jej podzbiór. Ofiarami CSRF stają się użytkownicy nieświadomie przesyłający do serwera żądania spreparowane przez osoby o wrogich zamiarach. W przeciwieństwie do XSS, ataki te nie są wymierzone w strony internetowe i nie muszą powodować zmiany ich treści. Celem hakera jest wykorzystanie uprawnień ofiary do wykonania operacji w przeciwnym razie wymagających jej zgody. Błąd typu CSRF dotyczy również serwerów FTP.”
Znaczy to ni mniej, ni więcej tyle, że eRep ma kolejną wadę (choć dla niektórych zaletę) – nieumiejętne zabezpieczenia, które działają wtedy, gdy nie powinny, a – jak łatwo się domyślić, gdy teoretycznie zadziałać powinny – nawalają. No dobra, nic nowego – gra jest dziurawa, ale jak sobie z tym poradzić? Oto kilka wskazówek od Ruchu Rozwoju.
Rozwiązanie jest banalnie proste, jednak nie tak łatwo na nie wpaść. Po pierwsze sprawdzamy, czy nasz adres, z którego korzystamy dodając artykuł nie zaczyna się od „https” – tak być nie powinno. Wystarczy usunąć z tego protokołu literę „s” tak, aby zostało samo „http”. Połączenie szyfrowane w eRepie nie działa i powoduje błędne wyświetlanie większości podstron w grze. Druga sprawa jest nawet prostsza. Kiedy wchodzimy już na podstronę odpowiedzialną za pisanie arta, jeszcze przed zabraniem się do pisania (choć doradzam osobiście najpierw napisać go w Wordzie lub innym programie do edycji tekstu, a dopiero później wkleić do formularza w grze) zwracamy ponownie uwagę na adres strony, na której się znajdujemy. Po kompletnym adresie „http://www.erepublik.com” mamy fragment odpowiadający za język gry, czyli w naszym przypadku najczęściej jest to „/en” lub „/pl”. Aby usunąć ryzyko ukochanego CSRF wystarczy zmienić „en/pl” na dowolny wyraz, inny przy każdym dodawaniu arta. Wyraz może być dowolny. Można więc z czystym sumieniem wpisać tam „piesek”, „mama”, „grubas” lub „gepard” (bez jakichkolwiek sugestii).
Przy okazji poruszania tematyki artykułu, pozwolę sobie omówić zagadnienie Tagów BBcodes. Jest to uproszony kod HTML, który umożliwia formatowanie tekstu w artykułach. Wszystkie tagi wpisujemy pomiędzy znakiem „[„ a znakiem „]”, oczywiście bez cudzysłowu. Poniżej zamieszczam listę wszystkich znanych mi tagów, które działają w naszej kochanej grze. Jeśli znacie więcej, podzielcie się nimi w komentarzach, dodam je do listy. Wszystkie przykłady zastosowania wymienione w nawiasach należy stosować bez spacji wewnątrz tagów.
center – wyśrodkowanie tekstu (format: [ center ]ELEMENT WYŚRODKOWANY[ /center ])
b – pogrubienie tekstu (format: [ b ]POGRUBIONY TEKST[ /b ]_
i – pochylenie tekstu (format: [ i ]ELEMENT POCHYLONY[ /i])
u – podkreślenie tekstu (format: [ u ]ELEMENT PODKREŚLONY[ /u])
img – wyświetlanie obrazka (format: [ img ]PEŁEN ADRES OBRAZKA[ /img ])
url – dodawanie klikalnego adresu witryny (format: [ url=ADRES ]WYŚWIETLANA NAZWA[ /url ])
s – przekreślenie tekstu (format: [ s ]TEKST[ /s ])
email – wstawienie adresu email (format: [ email=ADRES ]WYŚWIETLANA NAZWA[ /email ])
Dodatkowo, po wpisaniu ciągiem czterech myślników, w treści artykułu pojawi się oddzielająca od siebie elementy linia.
Mam nadzieję, że nieco pomogłem zapalonym redaktorom i że jednak polska prasa ruszy trochę z miejsca.
Pozdrawiam
Prezes Ruchu Rozwoju
Mr Drecha
Comments
poleado
?
tak
pole: first (kubica, hamilton, alonso etc... xD)
pole position chyba?
nie moje rejony xD
V Praktyczny artykuł, szkoda że musimy obchodzić "dziury" w grze....
Dobrze jednak, ze wiemy jak i ze sie tym dzielimy 😛
[removed]
Dokładnie, ja używam rady udzielonej mi przez Jacka Jocksona: przygotowujemy artykuł normalnie, jak mamy wszystko gotowe klikamy podgląd, jak jest ok to kopiujemy wszystko do jakiegoś worda czy co tam mamy. Wchodzimy jeszcze raz do gazetki, klikamy „napisz artykuł” pokaże nam się to co wyprodukowaliśmy, klikamy „discard draft”, ponownie „napisz artykuł” i wklejamy to co wcześniej zachowaliśmy w wordzie. Po tym mamy ok. minuty na dopisanie tytułu, wybranie kategorii i naciśnięcie „publikuj”. Jak się wyrobimy w czasie to jest ok. Póki co dla mnie działało za każdym razem. 🙂
Ale jestes uzalezniony od czasu, a przy moim zabiegu - nie 🙂 Ale oczywiscie jak kto woli ;p
a nie lepiej zstąpić do czeluści piekieł i odpalić IE? Tam wszystko - o dziwo - działa
Mizerpo, o ile ktos je ma i nie brzydzi sie z niego korzystac - mozna ;p
rumuńskie problemy wymagają rumuńskich rozwiązań
Ja na przykład korzystam czesto z Linuxa, gdzie nie mam IE ;p
Wielkie dzięki 🙂
Praktycznie. 😃
A co ma dać jakaś zmiana en/pl na cokolwiek innego? Problem z CRSF jest związany z wygasaniem dosyć krótkiej sesji. Trzeba po prostu przed wysłaniem artykułu skopiować treść, odświeżyć stronę i wkleić treść. Można też po prostu pisać artykuł w zewnętrznym edytorze i dopiero później wkleić go do erepa. (tylko stronę dodawania arta należy otworzyć już jak mamy gotowy art, a nie wcześniej) Krótko mówiąc długie przebywanie na stronie dodawania arta powoduje wygaśnięcie sesji, no i przy próbie dodania jest błąd.
Nie.
Bo co? Możesz to jakoś udowodnić? Znasz się na tym? Zmiana kawałka adresu bez przejścia do niego nie robi N I C ! Zmieniasz tylko zawartość textboxa w przeglądarce, która nie jest nigdzie przesyłana.
Nie chce mi sie z Toba dyskutowac, dziala? Dziala, Twoj pomysl u kazdego nie dziala, zapytaj Marcjanny, ona w koncu najczesciej arty wydaje i ma z tym problem, a Twoj pomysl nie pomaga - moj tak. Dziekuje.
Ja wytłumaczyłem o co tu chodzi i dlaczego te twoje dziwactwa nie mają prawa działać. Zresztą na przykład otwórz stronę główną, poczekaj godzinę i kliknij feeda Friendsów. Co się pojawi na feedzie? CRSF attack detected. Dlaczego? Bo wygasła sesja, a feed jest pobierany przez JS. Więc teraz ty mi wytłumacz jakim cudem twój sposób ma działać. Poza tym jak ktoś ma czas grzebać coś w linku, to ma i czas szybkim ruchem zrobić CTRL+A i CTRL+C. Widzisz że brakuje Ci argumentów, to od razu wyjeżdżasz z tekstem typu "nie chce mi sie z Toba dyskutowac"
Nie, napisalem, ze nie chce mi sie z Toba dyskutowac, bo nie chce mi sie z Toba dyskutowac. Czytaj ze zrozumieniem. Z gory zakladasz ze jestem noobem i na niczym sie nie znam, wiec ja tak samo traktuje Ciebie, jak zwyklego frajera ktory mysli, ze jest madrzejszy. Moj pomysl dziala - Twoj u mnie nie dziala, powtarzam. Wklejanie do pustego formularza NIC nie daje. Jesli wciaz masz watpliwosci, sprawdz sobie 🙂 Mowisz o stronie glownej i PARU GODZINACH, a arta nie mozna dodac po paru sekundach.
LOL. Ty czasami w ogóle czytasz co napiszesz? "Nie chce mi sie z Toba dyskutowac" za chwile "Nie, napisalem, ze nie chce mi sie z Toba dyskutowac, bo nie chce mi sie z Toba dyskutowac." Myślałem że jesteś nieco bardziej inteligenty, ale jak widać się przeliczyłem. Ty nie masz żadnych dowodów na poparcie swojej teorii. Jak więc niby jestem frajerem, skoro przedstawiłem dokładnie sytuacje i problem, a Ty tylko przekonujesz że twój sposób działa bez poparcia żadną teorią. I jeżeli bazujesz tylko na swoim sprawdzaniu - to ja też napiszę, że twój sposób NIC nie zmienia, a mój działa (jak nie za pierwszy, to za drugim razem)
A ty wychodzisz z założenia że Ty zawsze wszystko wiesz, a ja zawsze piszę źle, bo często w racjonalny sposób komentuje tą twoją partię.
Bazuje na tym, ze dziala. A co do zwrotu "Nie, napisalem, ze nie chce mi sie z Toba dyskutowac, bo nie chce mi sie z Toba dyskutowac." radze nauczyc sie czytac i zwracac uwage na przecinki. To, ze Ci ich nie wyjawiam nie znaczy, ze nie mam poparcia dla swojej tezy. Nie uwazam po prostu, by byl sens ja przedstawiac, Ci, ktorzy chca skorzystac z mojej propozycji - zrobia ta.
Ja też Ci radzę nauczyć się czytać. Bardzo dobrze zrozumiałem to zdanie. I nie ma w nim sensu. A teraz jeszcze okazuje się, że rzekomo masz poparcie dla swojej tezy, ale nie chcesz jej wyjawić, bo Ci może szkoda klawiatury? Raczej nie sądzę, bo już tyle się naklepałeś o niczym w tej rozmowie, zamiast po prostu przedstawić to swoje poparcie. Nie musisz odpowiadać, zrozumiałem przekaz. Nie masz żadnej tezy, ale mówisz że masz, i liczysz że może akurat ktoś w to uwierzy.
Człowiek pomaga, ludzie hejtują, normalne zachowanie frajerów. Skoro tak Ci przeszkadza moja osoba i moja partia, to przestań w ogóle czytać nasze arty, oszczędzisz zachodu sobie i nam. Pozdrawiam.
u mię zadziaao. Zapraszamm do mojego arta www.erepublik.com/en/article/-liga-szachowa-wyniki-nagrody-2396003/1/20
Komentujesz? Nie zauwazylem, mozliwe. A teraz koncze, bo mam inne rzeczy do roboty, pozdrawiam.
Ależ z ciebie burak.
Sposób, o którym napisał Milek jest prostszy, szybszy. Napisanie czegoś w notatniku > zabawa w zmianę literek w pasku adresu.
Ale mówię Ci, że nie u każdego to działa ; o
Milek dąłem ci voty bo masz argumenty,ale jak by nie patrzyć ich sposób-fu brzydzę się sobą propsuje ruch niedorozwoju=działa. Więc art vote + sub
W sumie jak tak mysle, to to moze zalezec od przegladarki, wiec nawet oboje mozemy miec racje.
Polecam też & & i oczywiście pozdrawiam
Zastanawiam się przed czym tak właściwie to zabezpieczenie ma chronić. Skrypty greasemonkey bez problemu działają. Wyciągnąć token csrf to kwestia 1 linijki kodu, a nawet mniej. Autor skryptu może zrobić na komputerze użytkownika praktycznie wszystko, największym problemem byłaby captcha i kod bezpieczeństwa.
A i to da się w łatwy sposób obejść 🙂
_token jest stały dla danego adresu IP i useragenta. Praktycznie to nie jest zabezpieczenie CSRF, tylko informacja o wygaśnięciu sesji. A co do captchy, to w niektórych miejscach, np. w wysyłaniu PM jest ona chyba dla ozdoby, bo weryfikowana jest przez JS u klienta, można normalnie wysłać zapytanie POST i żadnej captchy nie ma 😛
Milek, to CSRF to wcale nie jest zawsze info o wygaśnięciu sesji :/. PONIEWAŻ [mam jakiś argument, tak] gdy wydawałem arta wkleiłem sobie tekst z worda do ledwo zalogowanej strony i gazety do której wszedłem przed kilkunastoma sekundami - pojawił się CSRF. Info o wygaśnięciu sesji? Nie sądzę... tja odświeżałem jeszcze stronę, na wszystkie możliwe sposoby. Potem parę godzin później postanowiłem spróbować wydać, arta [a nóż] i zadziałał.
Dziwna sprawa, ja nigdy nie miałem takich problemów, że nie dało się wysłać. Za drugim/trzecim razem szło. W takim razie jest jakiś inny bug w erepie.Co nie zmienia faktu że zmiana zawartości textboxa w przeglądarce nic do tego nie ma
A jednak ma, bo pomaga 🙂
nom ostatnio tez tak mialem..
dalem napisz nowy artykul a tam byl poczatek drafta poprzedniego i nic nie pomagalo, nawet przelogowanie, dopiero zmiana literkow