Kirjoittaja
|
Mikserin tietoturvaan parannuksia
|
Salminen
Niko Salminen
I'm back! 2526 viestiä Ylläpitäjä
|
#1 kirjoitettu
20.12.2005 13:55
Käyttäjien tietoturvan parantamiseksi Mikserissä on rajoitettu HTML-koodien kirjoittamista mm. profiili- ja artistisivuille.
Valitettavasti osa artistisivujen ulkoasuräätälöinneistä on kärsinyt päivityksen johdosta. Pyydämme artisteja tarkistamaan ja päivittämään artistisivunsa ulkoasuräätälöinnit uuden järjestelmän mukaisiksi.
Mikseri tarjoaa uutena palveluna myös vieraskirjan artistisivulle, jolla kaikki sivun vierailijat voivat jättää viestejä artistin sivulle. Ominaisuus on oletuksena pois päältä, mutta sen voi aktivoida projektin hallinnasta.
Ennakoivia vastauksia tuleviin kysymyksiin:
Miksi tämä piti tehdä?
Rajoittamattoman HTML:n salliminen käyttäjien omilla sivuilla on erittäin vakava tietoturvariski. Sen avulla on mahdollista tehdä niinsanottuja cross site scripting (XSS) -hackeja, joiden avulla voidaan pahimmassa tapauksessa vaarantaa käyttäjien tietoturvaa. Asiasta kiinnostuneet löytävät lisää tietoa mm. tältä sivulta.
Sivuillani oli javascriptillä tehty lumisadeanimaatio, miten saan sen takaisin?
Kaikki javascriptit on valitettavasti poistettu käytöstä kyseisen tekniikan vaarallisuuden takia. Tähänkin löytyy tarkempi selitys ylläolevan linkin takaan.
Sivuni CSS ei enää toimi, onko se iäksi menetetty?
Ei suinkaan, kaikki sivuihin tehdyt muokkaukset ovat koodimuotoisina vielä tallella. Artistisivun ulkoasuasetuksiin on lisätty CSS-kenttä, johon HTML-kentässä olleet style-asetukset voi kopioida. Tämän jälkeen sivuston CSS-asetukset palaavat päivitystä edeltäneeseen tilaan.
Sivullani oli iframen sisällä vieraskirja, miksei se näy?
Myös iframe-tagit sallivat käyttäjän pakottamisen sellaisiin osotteisiin, joihin hän ei normaalisti menisi. Iframet on sen vuoksi estetty. Mikserin tarjoama vieraskirjapalvelu päätettiin toteuttaa juuri tämän menetyksen hyvittämiseksi.
Kuka tästä oikein hyötyy?
Loppujen lopuksi kaikki Mikserin käyttäjät. Hyvä vertailukohde on lentokentän metallinpaljastin, jonka kynsiin joutuminen saattaa harmittaa kunnon kansalaisia, mutta jonka todellinen hyöty on varmuus siitä, ettei kukaan tule konepistooli kädessä lentokoneeseen riehumaan.
HTML? CSS? Mitä tämä tarkoittaa?
Mikäli et ole muokannut profiili- tai artistisivujesi ulkoasua ja/tai ylläolevat lyhenteet eivät ole tuttuja, muutoksella ei ole vaikutusta omaan Mikseri.netin käyttöösi.
Järjestelmän päivitys aloitetaan välittömästi tämän viestin lähetyksen jälkeen.
|
^ |
Vastaa
Lainaa
|
|
Salminen
Niko Salminen
I'm back! 2526 viestiä Ylläpitäjä
|
#2 kirjoitettu
20.12.2005 14:04
Päivitys on nyt valmis ja vieraskirjan saa kytkettyä päälle projektin asetuksiin ilmestyneestä linkistä.
Vieraskirjoja on tarjolla kahta eri sorttia:
- Avoimeen vieraskirjaan saa kirjoittaa kuka tahansa, myös ei-kirjautuneet käyttäjät. Nimimerkin saa valita vapaasti, myös rekisteröityneet käyttäjät.
- Rekisteröityneisiin käyttäjiin rajoitettuun kirjaan saavat (yllättäen) kirjoittaa vain rekisteröityneet käyttäjät, ja nimimerkkinä toimii aina Mikseri.netin käyttäjätunnus.
|
^ |
Vastaa
Lainaa
|
Haava
Jumalan nyrkki 43152 viestiä Ylläpitäjä
|
#3 kirjoitettu
20.12.2005 14:12
Salminen kirjoitti:
Nimimerkin saa valita vapaasti, myös rekisteröityneet käyttäjät.
Eikö olisi hyvä, jos rekisteröitynyt voisi jättää varmennettuja kommetteja? Vai saako helposti?
|
^ |
Vastaa
Lainaa
|
Patrick Park
480 viestiä
|
#4 kirjoitettu
20.12.2005 14:30
Ahaa... kiitos infosta.
Olinki juuri tulossa kysymään mitä tämä tarkoittaa kun tyylimääritykset ei toimi.
|
^ |
Vastaa
Lainaa
|
Ape
1599 viestiä Ylläpitäjä
|
#5 kirjoitettu
20.12.2005 14:42
Poistin epäolennaisia viestejä ja "vanhentuneita" virheilmoituksia.
Sorry guys...
|
^ |
Vastaa
Lainaa
|
Ape
1599 viestiä Ylläpitäjä
|
#6 kirjoitettu
20.12.2005 14:59
seku kirjoitti:
Muuten toimii kun siirsin nuo html:stä css:ään, paitsi...
Sun pitää poistaa noi <style>-tagit siitä css-koodista, niitä ei siihen kuulu laittaa.
|
^ |
Vastaa
Lainaa
|
Jaycob
1040 viestiä
|
#7 kirjoitettu
20.12.2005 15:45
Oma laskurini oli javascripti
Voisikohan mikseri tehdä sinne myös sellaisen laskurin sinne vasempaan reunaan?
|
^ |
Vastaa
Lainaa
|
Parasiitti
416 viestiä
|
#8 kirjoitettu
20.12.2005 16:39
On tullut törmättyä muutamaan "artistisivuun", jonka linkki heittääkin jonnekkin ihan muualle. Hyvä jos näin ei enään pääse käymään.
Ahkerana modaajana kiinnostaisi tietää, olisiko mahdollista saada tuommoinen CSS-laatikko myös profiilin asetuksiin?
|
^ |
Vastaa
Lainaa
|
|
Putte
6656 viestiä
|
#9 kirjoitettu
20.12.2005 18:43
Ei kai tätä tehty mun artistisivuilta löytyneen java-lumisateen takia?! Niinkin paljon vaivaa näin senkin eteen, ja nyt se sitten vietiin. Aluksi säikähdin, että onko mennyt tuntien työ hukkaan, mutta onneksi tuo css toimii edelleen. Profiiliinkin se tosiaan olisi kiva saada. Meni profiilisivu ihan vinksalleen tämän takia.
Ehkä tämäkin loppupeleissä on ihan hyvä uudistus..
Putte muokkasi viestiä 18:47 20.12.2005
En tiedä mistä se tuli (niin paljon tabeja auki), mutta jostain mikseristä lähti taas soimaan joku ärsyttävä taustamusiikki. Olisi ihan kiva jos näistäkin päästäisiin eroon.
|
^ |
Vastaa
Lainaa
|
Patrick Park
480 viestiä
|
#10 kirjoitettu
20.12.2005 22:07
Putte kirjoitti:
En tiedä mistä se tuli (niin paljon tabeja auki), mutta jostain mikseristä lähti taas soimaan joku ärsyttävä taustamusiikki. Olisi ihan kiva jos näistäkin päästäisiin eroon.
Se taitaa tulla tuosta skandaali!-flashmainoksesta.
|
^ |
Vastaa
Lainaa
|
Khimil
2676 viestiä Luottokäyttäjä
|
#11 kirjoitettu
20.12.2005 23:42
Vieraskirjassa pitäisi olla joku varmennussysteemi tuon käyttäjänimen suhteen. Kirjoitin tuonne vieraskirjaan just projektin omistajan nimimerkillä yhden kommentin ja tuosta on nyt vähän vaikea sanoa oliko se käyttäjä itse vai joku samalla nimimerkillä kirjoittava.
Hyvä ratkaisu olisi esimerkiksi laittaa joku merkki tai väri niihin viesteihin, joiden kirjoittaja ei ole käyttänyt omaa nimimerkkiään. Toinen ratkaisu on yksinkertaisesti poistaa mahdollisuus keksiä omia nimimerkkejä. Kyllähän pikaviestit ja kommentitkin menee aina sillä omalla nimimerkillä.
|
^ |
Vastaa
Lainaa
|
Apo
984 viestiä Luottokäyttäjä
|
#12 kirjoitettu
21.12.2005 00:05
Putte kirjoitti:
Ei kai tätä tehty mun artistisivuilta löytyneen java-lumisateen takia?!
"Syyllinen" taidan olla minä. Olen jo jonkin aikaa ohjaistanut ylläpitoa noiden mahdollisten tietoturva-aukkojen suhteen.
Aiempien tietoturva-aukkojen avulla hakkeri olisi pystynyt tekemään sivuilleen eksyvän käyttäjän käyttäjätunnuksilla kaikkea mitä käyttäjä pystyy itse tekemään:
- antamaan kymppejä/nelosia biisille/biiseille/artisteille
- lähettämään forumviestejä
- antamaan kommenttimiinuksia/-plussia
- levittämään hakkerointikoodi käyttäjän omille sivuille jolloin väärinkäytösten määrä nousisi exponentiaalisesti
- poistamaan käyttäjä projekteineen mikseristä
- jne.
... eli käytänössä on erittäin hyvä asia että tietoturva-aukot on tukittu.
--
apo
|
^ |
Vastaa
Lainaa
|
Ape
1599 viestiä Ylläpitäjä
|
#13 kirjoitettu
21.12.2005 01:00
Apo kirjoitti:
"Syyllinen" taidan olla minä.
Jes!
Kiitokset Apolle ja muille aiheesta kommentoineille. Yritetään pitää Mikseri turvallisena käyttää!
|
^ |
Vastaa
Lainaa
|
Salminen
Niko Salminen
I'm back! 2526 viestiä Ylläpitäjä
|
#14 kirjoitettu
21.12.2005 09:30
Vieraskirjaa on nyt viilattu sen verran, että avoimeen vieraskirjaan omalla nimellä kirjoittaessa nimi toimii linkkinä kirjoittajan profiilisivulle. Lisäksi projektin omistajan ja täysien ylläpito-oikeuksien haltijoiden viestit tulevat boldilla.
|
^ |
Vastaa
Lainaa
|
Salminen
Niko Salminen
I'm back! 2526 viestiä Ylläpitäjä
|
#15 kirjoitettu
22.12.2005 11:57
feenix kirjoitti:
apo äläpä vie kreediittejä!, sehän olin mää nössöpossu, joka sen nössönä ystävällisenä? häxörinä julki toin.
Apon kanssa oli puhetta tästä aiheesta jo alkusyksystä. Myspace-palvelussa tapahtuneen xss-exploitin uutiskynnyksen ylitys oli lopullinen sykäys, minkä perusteella totesimme muutoksen olevan pakollinen jujun tultua myös suuren yleisön tietoisuuteen.
|
^ |
Vastaa
Lainaa
|
|
mystran
645 viestiä
|
#16 kirjoitettu
22.12.2005 15:12
Onko CSS rajoittamattomana käytössä?
Pitääkin katella vieläkö vanha jippo toimii..
|
^ |
Vastaa
Lainaa
|
Salminen
Niko Salminen
I'm back! 2526 viestiä Ylläpitäjä
|
#17 kirjoitettu
22.12.2005 15:23
mystran kirjoitti:
Onko CSS rajoittamattomana käytössä?
Pitääkin katella vieläkö vanha jippo toimii..
Ei ole. Javascriptit suodatetaan sieltäkin pois.
|
^ |
Vastaa
Lainaa
|
Apo
984 viestiä Luottokäyttäjä
|
#18 kirjoitettu
22.12.2005 15:36
Apon kanssa oli puhetta tästä aiheesta jo alkusyksystä.
Hrrmm, voi olla että Apen kanssa juteltu tosta js:n vaarallisuudesta jo alkusyksystä, tosin vuonna 2004
Hyvä esimerkki tuolla kyllä, mistä näkee miten helppoa noiden tietoturva-aukkojen hyödyntäminen on. Parilla lisäaskeleella käyttäjätunnuksen saa kaapattua omaan käyttöönsä.
--
apo
|
^ |
Vastaa
Lainaa
|
mystran
645 viestiä
|
#19 kirjoitettu
23.12.2005 18:49
Juu eikun selaimissa oli joskus hassu bugi mutta ilmeisesti ovat saaneet sen korjattua.
|
^ |
Vastaa
Lainaa
|
Ape
1599 viestiä Ylläpitäjä
|
#20 kirjoitettu
25.12.2005 22:37
Lopetetaanpa ne mahdollisten (vanhojenkin) aukkojen tekniset selittelyt pois täältä.
Joulun jatkoja!
|
^ |
Vastaa
Lainaa
|
Redfox
|
#21 kirjoitettu
27.12.2005 21:34
Vieraskirjasta sen verran, että vanhoille viesteillä pitäis saada joku arkisto, kun viisi viestiä voi vaihtua joillakin aika tiuhaan.
|
^ |
Vastaa
Lainaa
|
deebp
|
#22 kirjoitettu
29.12.2005 12:40
Redfox kirjoitti:
Vieraskirjasta sen verran, että vanhoille viesteillä pitäis saada joku arkisto, kun viisi viestiä voi vaihtua joillakin aika tiuhaan.
Eikös nämä vanhatkin viestit näe projektin hallinnasta? Mulla ainakin näkyy..
|
^ |
Vastaa
Lainaa
|
|
Jaycob
1040 viestiä
|
#23 kirjoitettu
29.12.2005 13:04
Eikö sinne alalaitaan voisi laittaa sivunumerot, vaikka että yhdelle sivulle mahtuisi noin 15 viestiä, ja sitten voisi katsella sivuja.
Viesteihinhän voisi myös laittaa päiväyksen.
|
^ |
Vastaa
Lainaa
|
juZ
|
#24 kirjoitettu
31.12.2005 18:15
Meikällä ainakin levittyi tuo vieraskirja puolen näytön leveyteen (1280x jotain resoluutio) ja biisit viskautuivat sen viereen siihen pikku tilaan.
Aika perssiistä.
|
^ |
Vastaa
Lainaa
|
Redfox
|
#25 kirjoitettu
01.01.2006 12:56
juZ kirjoitti:
Meikällä ainakin levittyi tuo vieraskirja puolen näytön leveyteen (1280x jotain resoluutio) ja biisit viskautuivat sen viereen siihen pikku tilaan.
Aika perssiistä.
Firefox?
Päivitä se, mulla toimii nyt 1.5
|
^ |
Vastaa
Lainaa
|
KAMUI
|
#26 kirjoitettu
07.01.2006 22:51
Juu mulla on kans ollu tuo ongelma että vieraskirja levittäytyy todella isoksi mutta ongelma korjautuu kun painaa F5. Ja käytössä on Firefox
|
^ |
Vastaa
Lainaa
|