Kirjautuminen

Haku

Tehtävät

Keskustelu: Yleinen keskustelu: Mainos: Fin Web Design: Jaa sivupohjasi!

Sivun loppuun

alker [31.08.2009 13:59:04]

#

Sivustolla voit nopeasti uploadata sivupohjasi sivulle ja siinä se on. Sen jälkeen kaikki kävijät voivat ladata sivupohjan.
Käyttäjät voivat kommentoida/lisätä sivupohjia. Myöhemmin tulossa myös muokkaus ja poisto ominaisuudet sivupohjille
Linkki:http://fames.jouluserver.com/

Moiman [31.08.2009 14:26:02]

#

Voisit ensimmäiseksi korjata sivusi siihen uskoon että niille voisi edes harkita pistävänsä sivupohjia.
Esimerkiksi nuo <br> tagit voisit heivata menemään.

Teuro [31.08.2009 14:52:15]

#

Lisäksi olisi ihan mukava, jos tuolla olisi niitä sivupohjia ladattavaksi. Sivupohjissa voisi olla myös käyttöohje, jotta niiden käyttöönotto olisi helpompaa. Pohjien jaottelussa voisi olla kunkin alueen kokonaismäärä tulostettuna nimen yhteyteen.

alker [31.08.2009 15:21:12]

#

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

Metabolix [31.08.2009 15:25:28]

#

alker kirjoitti:

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

Ei, XHTML:ssä <br> on virhe, koska kaikki tagit kuuluu sulkea.

alker [31.08.2009 15:43:43]

#

Mutta hyvin se kuitenkin toimii

Grez [31.08.2009 15:44:44]

#

Siis oliko tuolla sivulla muka jossain xhtml:ää?

trilog [31.08.2009 16:10:54]

#

Grez kirjoitti:

Siis oliko tuolla sivulla muka jossain xhtml:ää?

Ei ainakaan doctypen mukaan. ;)

Moiman [31.08.2009 16:45:22]

#

alker kirjoitti:

Moiman. <br> tagit ovat yhtä oikein kuin <br/> tagit.

Tarkoitinkin noita peräkkäin olevia <br> tageja, joilla määrität sivun korkeuden.

tesmu [31.08.2009 19:21:04]

#

Ainakaan sivuston tietoturvataso ei ole kovin hyvä.

Lebe80 [31.08.2009 20:02:22]

#

alker: siis mitä hittoa?

Aika pahasti sanottu julkisesti, ottaen huomioon että tietosi on melko varmasti tallentuneet ylläpidolle...

Siis ymmärrän kyllä, että saattaa harmittaa tällainen vandalismi, mutta silti olet myös netissä vastuussa sanomisistasi...

alker [31.08.2009 20:03:39]

#

Lebe80 kirjoitti:

alker: siis mitä hittoa?

Aika pahasti sanottu julkisesti, ottaen huomioon että tietosi on melko varmasti tallentuneet ylläpidolle...

Siis ymmärrän kyllä, että saattaa harmittaa tällainen vandalismi, mutta silti olet myös netissä vastuussa sanomisistasi...

Omapahan on helvettinsä. Ja en sanonut tuota sillä että joku tappaisi vaan vittutaa vaan tollaseet homo n00bit
Ja ne eivät osaa itse tälläistä tehdä niin pitää tuhota toisten.

Teuro [31.08.2009 20:08:50]

#

Suosittelen vahvasti tukkimaan nuo reiät, ennen kuin joku tekee oikeasti pahaa tuolle sun tietokannalle. Pahat krakkerit tuskin kertoisivat sun sivuston reikäisyydestä, vaan käyttäisivät sitä surutta hyväkseen. Täällä uhoaminen ja laittoman uhkauksen esittäminen ei ole leikin asia, vaan se voidaan tulkita sinun kannalta todella ikävästi.

Tosin luultavasti et ole rikosoikeudellisessa vastuussa tekemisistäsi, mutta ei ehkä silti kannata uhota ja toisia laittomasti uhkailla julkisella forumilla. Omalla sivullasi voit minusta uhota niin paljon, kuin jaksat.

Ja muillekin vinkiksi, että viesti varmaan meni jo perille :)

alker [31.08.2009 20:12:28]

#

Tiedän miten ne ovat saaneet ne sivulle. Murtanut uploadin ja se on siinä!

Metabolix [31.08.2009 20:15:19]

#

alker kirjoitti:

Ja ne eivät osaa itse tälläistä tehdä niin pitää tuhota toisten.

Tietyn rajan jälkeen tuollaisen tekeminen on paljon helpompaa kuin tuhoaminen. Vai olisitko itse osannut kaataa systeemisi, ja jos olisit, mikset sitten korjannut tietoturvaongelmia?

Taitaa olla jo liian myöhäistä, mutta pikaisella vilkaisulla voin osoittaa tästä keskustelusta järjestelmäsi suurimman haavoittuvuuden: Kuvan tiedostopäätteen tarkistus ei toimi, koska tarkistat heti sen perään paketin tiedostopäätteen etkä siis siinä välissä tarkista, mikä oli ensimmäisen tarkistuksen tulos. Niinpä järjestelmään voi lähettää myös php-skriptejä, ja niitä näyttääkin upload-hakemisto olevan melkoisen pullollaan.

<?php
    // Tässä tarkistetaan kuvan pääte aivan oikein...
    $sallitaanko = false;
    foreach ($conf['filetypes'] as $sallittu) {
        if ($kuva_paate == strtolower($sallittu)) $sallitaanko = true;
    }

    // Mutta mitä ihmettä? Tässä heitetään edellisen tarkistuksen tulos menemään!
    $sallitaanko = false;
    foreach ($conf['linkki_filetypes'] as $sallittu) {
        if ($linkki_paate == strtolower($sallittu)) $sallitaanko = true;
    }
    // Tässä toimitaan aivan oikein, mutta nyt tulos kertoo vain toisesta tiedostosta.
    if ($sallitaanko == false) /*...*/ ;

Teuro kirjoitti:

Suosittelen vahvasti tukkimaan nuo reiät, ennen kuin joku tekee oikeasti pahaa tuolle sun tietokannalle.

Irkissä tietävät kertoa, ettei kyseistä tietokantaa enää ole. Ei kuitenkaan ole tietoa, kuka muutteli sivuston tekstejä ja tuhosi tietokannan.

Kurjaa, että kaikki pitää ensin sotkea ja lopuksi vielä tuhota täysin. Jos tietoturva-aukkojen löytäminen ja kokeileminen ei riitä vaan pitää välttämättä vielä pilaillakin, eikö pilailua voi jättää edes sivistyneeksi, harmittomaksi ja tyylikkääksi?

Teuro [31.08.2009 20:18:01]

#

Jatkossa suositan, ettet postaa yksi yhteen ohjelmakoodiasia julkiselle palvelimelle, ellet ole aivan varma sen turvallisuudesta. Nimittäin väitän aika suoraan, että tuo fun.php sisältää liian arkaluonteista dataa ja sen urkkiminen on suorastaan liian helppoa. En nyt kuitenkaan taida kertoa miten sen saa selville.

EDIT: jaa se onkin jo poistunut.

alker [31.08.2009 20:19:08]

#

Tajusin. Alan heti korjaamaan tuota.

Antti Laaksonen [31.08.2009 20:22:54]

#

Olen todella pahoillani tapahtuneesta.

Ilmeisesti Ohjelmointiputkassa ei kannata kertoa nettisivuistaan.

"Pilan" tekijöille: Toivottavasti ymmärrätte hävetä.

Miksi sivuille murtautuminen hyväksytään, mutta pelotellaan laittomista uhkauksista yms.?

Grez [31.08.2009 20:36:27]

#

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään, mutta pelotellaan laittomista uhkauksista yms.?

Öh, no jos joku omalla nimellään tai nimimerkillä jakaa julkisia tappouhkauksia niin siitä voi tulla hankaluuksia. Mielestäni ihan järkevä neuvo kehotaa välttämään moisia. En ainakaan itse huomannut että asiasta mainitsija olisi millään tavalla "hyväksynyt" murtautumisen. Tuskin täällä kukaan kommentoijista edes tietää kuka siellä on vandalisoinut.

Jos tulkitsit kommentit siitä, että kannattaisi suojata sivut "murtaumisen hyväksynnäksi", niin olet kyllä mielestäni väärässä. Se että neuvoo lukitsemaan oven kotoa lähtiessään ei ole mitään murtautumisen hyväksymistä, vaan tosiasioiden tunnustamista.

Olen pahoillani jos minulta meni jotain pahasti ohi (threadia on ilmeisesti muokattu) ja avaudun turhasta.

Harmillista että Alkerin sivuille murtauduttiin, mutta en usko sen olevan tähän ketjuun kirjoittaneiden putkalaisten syytä.

alker [31.08.2009 20:45:19]

#

Nyt meni liian pitkälle. Joku homo oli vaihtanu logo.png:een ja minulla ei ole alkuperäistä koneella.

Grez [31.08.2009 20:50:08]

#

Oijoi (varmuuskopiot kannattaa aina)

Se alkuperäinen logo oli kuitenkin vielä selaimeni välimuistissa ja pistin sen tuonne ladattavaksi:
http://grez.info/putka/Alker/logo.png

alker [31.08.2009 20:56:28]

#

Kiitos pelastit päiväni :)
Tietoturva aukko peitetty. Enään database uudestaan ja sitten kaikki on ennallaan :) Ja databaseen löytyy aina varmuuskopio :P

Teuro [31.08.2009 21:05:47]

#

Antti Laaksonen kirjoitti:

Ilmeisesti Ohjelmointiputkassa ei kannata kertoa nettisivuistaan.

Ilmaisin itseni todella huonosti tarkoitukseni ei ollut kieltää internet-sivujen koodin julkaisemista ohjelmointiputkan foorumilla. Tarkoitukseni oli vihjaista, että turhan arkaluonteisen koodin julkaisu ei välttämättä ole fiksuin mahdollinen veto. Muistetaan kuitenkin, että tätäkin foorumia selaa myös sellaisia henkilöitä, jotka saattavat haluta aiheuttaa juurikin mainitunlaista tuhoa ihan huvikseenkin.

Tällainen foorumi on nimittäin aika potentiaalinen paikka kaivella sivustojen koodia pahoihin tarkoituksiin. Luultavasti alker oppi läksynsä, mutta toivotaan ettei kyseinen enää toistu ainakaan putkalaisten toimesta.

miiro [31.08.2009 21:29:37]

#

Myöskään Ohjelmointiputkassa ei kannata kertoa Ohjelmointiputkasta, onhan sivustolta löydetty Ohjelmointiputkalaisten voimin useita haavoittuvaisuuksia, joista ei osaa ole edes korjattu ;)

alker [31.08.2009 21:30:10]

#

Sivut ovat taas pystyssä. Uusi ja parempi uploadaus!
http://fames.jouluserver.com/

Puhveli [31.08.2009 21:33:27]

#

Päätoimisena Internet-trollinakaan en voi ymmärtää noin epäammattimaista ja tökeröä kiusantekoa. Vaan ei ole vielä valmis tämä maailma, jos tietoturva-asioita katsotaan aiheelliseksi opettaa lupaa kysymättä noin kouriintuntuvasti.

Surullista, että niinkin säällisiltä vaikuttavat opiskelijapojat eivät voi itse muistaa joskus opetelleensa uutta ja halunneensa jakaa oppimaansa juuri putkassa koodivinkkien muodossa. Koittakaahan hyvät ihmiset muistaa vanhan mantereen eurooppalaiset hienostuneet tavat, joihin kuuluu ennemminkin yksityisviestillä tietoturva-aukoista huomauttaminen tai karkeimmillaan niiden osoittaminen foorumilla. Uskon alkerin oppineen tästä jotakin uutta ohjelmoinnista, mutta valitettavasti myös ihmisen alkukantaisuudesta ja julmuudesta. Toivon, että haluat itse olla lajistamme vastakkaisena esimerkkinä, etkä kyynisty vaan jätät tapahtuneen omaan arvoonsa. Kyseessähän lienee kuitenkin vain joukossa joukossa tiivistynyt tai opittu eikä synnynnäinen tyhmyys.

Grez [31.08.2009 22:51:58]

#

Puhveli kirjoitti:

eurooppalaiset hienostuneet tavat, joihin kuuluu ennemminkin yksityisviestillä tietoturva-aukoista huomauttaminen

Mites tämä muuten tapahtuu käytännössä?

Puhveli [31.08.2009 22:56:26]

#

Grez kirjoitti:

Mites tämä muuten tapahtuu käytännössä?

Esimerkiks korvaa sivuston index.php:n sellasella, jossa kerrotaan yksityiskohtasesti tästä tietoturva-aukosta. Siinä ois hyvä mainita ainakin millon tää aukko löyty, mitä tehtiin sen löytyessä ja kuinka sitä voi käyttää. Joku korjausehdotuski on kohteliasta laittaa mukaan. Seuraavan kerran ku ylläpitäjä sitte tarkastaa sivujaan, se huomaa uudistuneen etusivun ja ryhtyy tarvittaviin toimiin.

Grez [31.08.2009 22:58:15]

#

Jaa, mä luulin että täällä foorumilla oli yksityisviestisysteemi, jota en vaan osannut käyttää.

Lebe80 [31.08.2009 23:52:19]

#

Jeps, tapaus herätti mietteitä.

a) jos joku hakkeroi sivusi, älä ala uhoamaan ja haastamaan riitaa. Uhoaminen voi provosoida vaan enemmän ilkivaltaan.

Nyt kävi onnellisesti, kun apua löytyi heti. Linkkisihän on voinut levitä ohjelmointiputkan ulkopuolelle ohjelmointiputkan käyttäjien toimesta, esim. ircin välityksellä, joten ilkivallan tekijät saattavat olla jossain, mistä he eivät edes lue uhkailujasi.

b) Ota säännöllisesti varmuuskopiot. Ota ne aina sivustopäivitysten yhteydessä. Älä säilytä ainoita tiedostoja palvelimella, vaan pyöritä "työsivustoa" myös omalla koneellasi.

c) Ota virheistä opiksi. Nyt joku suomiteini haxx0roi sivusi pilan merkiksi, seuraavalla kerralla se voi olla Irakin poijjaat julistamassa jihadia, ja sitä seuraavalla kerralla Googlebotti vanhentuneen linkin voimin. Sitä vaan välillä tapahtuu kaikenlaista.

alker [01.09.2009 15:29:03]

#

Tarvitsemme nopeasti lisää käyttäjiä/sivupohjia sivustolle!

alker [01.09.2009 17:34:52]

#

Lisään vielä sinne pari asiaa. esim. html komennot eivät toimi ja php komennot eivät kans toimi. Ip bänääminen toimii. Sivut vaihtaa palvelinta siihen menee pari tuntia-4 päivää

Metabolix [01.09.2009 19:10:35]

#

Sivuston tilan ja upload-hakemiston sisällön perusteella uskallan väittää, että korjatessasi kuvan tiedostopäätteen tarkistusta rikoit sen sijaan toisen tarkistuksen.

alker [01.09.2009 19:32:34]

#

Asia korjattu :P

runeberg [01.09.2009 21:19:53]

#

No nyt ei ainakaan tunnu toimivan...

vehkis91 [01.09.2009 21:58:42]

#

Onko joku taas tyhjentänut tuon, vai miks ei näy mitää kokoservulla?

Metabolix [01.09.2009 22:29:35]

#

Joskus ennen yhdeksää monet sivut näyttivät ohjautuvan uudestaan erääseen kuuluisaan shokkikuvaan (http://fi.wikipedia.org/wiki/Goatse). Veikkaisin, että alker poisti sen jälkeen itse sivunsa, kunnes saa ongelman korjattua, tai näin ainakin olisi järkevintä tehdä.

tesmu [02.09.2009 14:28:31]

#

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks. Mielummin otan vastaan tietoa oman sivun aukoistani jotta voin korjata kuin se että joku isopahakräkkeri tuhoaa sivut täysin.

Jaska [02.09.2009 15:28:06]

#

Tietysti aukkoja saa etsiä ja korjailla. Itsekin olen löytänyt muutaman bugin Linux-ohjelmista ja WWW-sivuilta. Mielelläni myös korjaisin open source -ohjelmia, mutta debuggerin käyttötaidot ei vielä riitä.

Gwaur [03.09.2009 15:36:14]

#

tesmu kirjoitti:

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks.

Se on sitä niin sanottua rakentavaa palautetta.

Metabolix [03.09.2009 15:44:55]

#

Gwaur kirjoitti:

Se on sitä niin sanottua rakentavaa palautetta.

Tämä taas oli niin sanottua hajottavaa palautetta.

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään --?

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

os [03.09.2009 18:13:54]

#

Metabolix kirjoitti:

Antti Laaksonen kirjoitti:

Miksi sivuille murtautuminen hyväksytään --?

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

Ihan ymmärrettävä näkökanta, mutta ilman ylläpitäjien suostumusta tietojärjestelmiin murtautumisen tapauksessa ainakin Suomen laki taitaa olla eri linjoilla.

tkarkkainen [04.09.2009 00:00:32]

#

Metabolix kirjoitti:

Hyväksytäänhän salausalgoritmienkin murtaminen, siitä tehdään jopa yliopistollista tutkimusta. Minusta kynnyskysymys ei ole tässä murtaminen vaan auenneiden mahdollisuuksien väärinkäyttö.

Sellainen ero tässä on, että oikeita, merkityksellisiä salattuja viestejä noissa yliopistollisissa tutkimuksissa tuskin murretaan, vaan käytössä on jokin nimenomaan tutkimusta varten tehty ja salattu viesti. Samaa analogiaa soveltaen, homma olisi enemmänkin ok, jos murrettavana olisi nimenomaan testailua varten tehty kopio saitista. Silloin ei olisi tuotakaan lakiongelmaa (joka on käytännössä tässä tapauksessa oikeastaan teoreettinen).

Käytännössä sivujen tietoturvaongelmien selvittäminen ulkopuolisten avulla olisi näillä periaatteella kuitenkin käytännössä mahdotonta, jäisi tekemättä, ja opetteluvaiheessa oleva saattaisi jäädä tärkeästä infosta paitsi, ellei tajua asiaa itse kysellä.

Olikos tässä viestissä nyt jotain erityistä järkeä? En tiedä, mutta toivottavasti joku siitä jotain asiaa löytää.

Grez [04.09.2009 00:13:46]

#

tesmu kirjoitti:

Mielestäni aukkojen etsiminen pitäisi olla sallittua kunhan niistä ilmottaa eikä tee mitään tuhoa aikaseks.

Jos nyt ajatellaan sivuja, joiden lähdekoodi ei ole avoimesti saatavilla (jolloin aukkoja voisi tosiaan etsiä lähdekoodista) niin miten aukkoja voi etsiä niin, että ei varmasti saa mitään tuhoa aikaiseksi?

alker [04.09.2009 18:10:46]

#

Sivut saavat uuden ulkoasun ja paremman tietoturvan :P Myös palvelin vaihdetaan

Lebe80 [04.09.2009 21:20:06]

#

Niin no, huonompaa tietoturvaa olisikin ollut hankalampi tehdä...

*drum fill*

vehkis91 [04.09.2009 23:04:54]

#

Mitään tietoa, että milloin sivut tulevat takaisin?

T.M. [05.09.2009 01:13:05]

#

kyllä riittää guruilla aikaa kiistellä täällä kun voisi samantien pierasta herralle toimivan sivuston sen sijaan että ilkutaan missä on nyt tälläkin kertaa vikaa ja nauretaan kuitenkin salaa lasin toisella puolella...

ettekö te yhtään häpeä?

Deffi [05.09.2009 02:01:35]

#

"The only thing that seems to work for security is public shaming."
- Linus Torvalds

alker [16.09.2009 21:05:56]

#

SE ON TÄÄLLÄ TAAS
PÄIVITYS 16.09.2009 :.:
UUSI SIVUPOHJA
UUSI PAREMPI TIETOTURVA
DY.FI DOMAIN
http://finwebdesign.dy.fi/

vehkis91 [16.09.2009 21:38:45]

#

ei lähettänyt emailiin aktivointitunnusta... -.-

alker [16.09.2009 21:41:23]

#

hmm... kyllä sen pitäis

vehkis91 [16.09.2009 21:43:57]

#

Juu ei tule, mulla on gmailissa sähköposti. Ja toi sivupohja mikä on etusivulla ei näy. Selaimena safari 4 ja käyttiksenä win 7 rc.

alker [16.09.2009 21:45:40]

#

Ongelma on palvelimessa :@
Ongelma korjattu!

vehkis91 [16.09.2009 21:46:45]

#

ok... :S

alker [16.09.2009 21:59:04]

#

Kaikki toimii nyt

nomic [16.09.2009 22:05:05]

#

"Ladattu: kertaa"
Taitaa olla pieni bugi? Ilmenee kun valitsee sivupohjan ja heti kuvan yläpuolella lukee moinen.

vehkis91 [16.09.2009 22:10:14]

#

Sendasin tonne testipohjan, voisitko poistaa sen? Kun ei itse näköjään onnistu... :D

EDIT1: miks jos yritän ladata sivupohjaa niin lataa leiska.zip tiedoston?

EDIT2: jos kommenttiin laittaa " merkin niin se tulee /" merkkinä näkyviin? :D:D

temu92 [16.09.2009 22:54:51]

#

vehkis91 kirjoitti:

EDIT2: jos kommenttiin laittaa " merkin niin se tulee /" merkkinä näkyviin? :D:D

Stripslashes() jääny poies. Ny sitä sinne äkkeesti?

Vähä palautetta. Älä ota pahalla mutta imo jos nettisivujen ulkoasujen jakelusivusto näyttää tuommoiselta niin kuinka moni sinne haluaa pistää omansa? Ei ainakaan paljoa paremman näköistä layouttia sinne jaksa kukaan väsätä kuin tuon sivun ulkoasu. Ja käytettävyyskin on vähän niin ja näin. Rekisteröitymisessä tekstikenttien leveyttä vois venyttää. Toisaalta ainakaan vielä ei oo sivu kaatunu scriptkidien säätöihin, niitä vanhoja sivuja en edes ehtiny näkemään. Mutta jooh, kyllähän minäkin joskus jo useampi vuosi sitten väsäsin kyllä ihan hirveitä sivuja ja sitten niitä mainostelin kaikille hienoina >.< Harjoitus tekee mestaajan.

Jos kiinnostaa niin tästä saat logon jonka väsäsin huvin vuoksi äsken tätä sivua varten: http://bluefoxgames.org/fwdlogo.png

Metabolix [17.09.2009 00:51:58]

#

Sivustollesi pystyy tekemään GET-parametrien kautta lähes mielivaltaisia SELECT-kyselyitä. Esimerkiksi salasanasi suolaamaton (!) SHA-1-tiiviste on 421d...9b54 (suurin osa piilotettu). Joitakin vuosia sitten keksittiin toimivan salasanan löytämiseen yllättävän tehokas algoritmi, joten salasanasi on vakavassa vaarassa. ;)

Lataussivu ei toimi vieläkään vaan ohjaa aina samaan tiedostoon.

alker [17.09.2009 08:43:34]

#

No en ole kuullutkaan GET parametristä. Voisit vähän neuvoa miten tuon pystyisi tukkimaan :D Kipailu käynnissä. Tehkää mahdollisimman hieno sivupohja FWD:eelle ja saat testaaja arvon.(Pääset testaamaan kaikkea ennenkun se julkaistaan) ja lisäämme sivupohjan sivuston sivupohjaksi!

Teuro [17.09.2009 09:46:43]

#

GET parametrin tiedät takuulla, koska noiden "sivupohjien" linkit on tehty juurikin tuolla tekniikalla. Seuraavaksi voisit alkaa tutkimaan tuota tuottamaasi koodia, koska siitä on näkemättä helppo osoittaa virhe tiedostossa www/vndv.com/f/i/n/finsearch/htdocs/file.php. Tuossa tiedostossa rivillä 25 tehdään kysely, jonka epäonnistuminen aiheuttaa virheilmoituksen.

Virheilmoitus on sikäli kehitysvaiheessa hyvä olla olemassa, mutta julkaisuversioon sitä ei kannata päästää. Tuolla rivillä nimittäin käytät yrität sokeasti käyttää rikkinäistät tulosjoukkoa mysql_fetch_assoc() funktiolla.

Lisäksi joillakin sivuilla on linkkien paikalla tulostettu jajavascript höttöä, joka viittaa omaan mokaasi koodissa. Eli tiivistettynä poista kaikki koodi, jonka jälkeen laita tietokoneesi postissa itsellesi, jonka ainaka voit alkaa suunnitella kunnollista järjestelmää. Lopuksi vain tuotat suunnitelmiesi mukaisen ohjelma, jonka testaat! itse ensin kunnolla. Tarkoitan siis, että ajat vaarallisia kyselyita, sekä vastaavaa.

Ohjelmiston testaus ei siis ole toiminnan varmistamista, vaan pikemminkin reikien ja virheiden etsintää.

Lebe80 [17.09.2009 10:03:18]

#

alker: voisitko tutustua valmiisiin cms -järjestelmiin, joissa nuo lapsukset on korjattu jo ennen kuin niitä on edes laitettu jakoon. Eli kannattaa testata Wordpressit, Joomlat, ModX:t ja Drupalit, ennen kuin alkaa itse väsäämään nollakokemuksella "omaa sivujärjestelmää".

Metabolix [17.09.2009 11:25:56]

#

alker: kas näin. Onneksesi tuolla ei saa tehtyä kuin SELECT-kyselyitä. Vähemmän onnekkaasti noihin kyselyihin voi kirjoittaa myös HTML:ää, jolloin joku voisi antaa sinulle linkin, joka varastaa evästeesi (istunnon tunnisteen), jolla pääseekin sitten sivustolle sinun tunnuksellasi ja voi käydä vaihtamassa salasanasi.

K_L [17.09.2009 12:47:56]

#

Miten ihmeessä tuo Get-parametrin käyttö onnistuu noin?
En mielelläni tekisi vastaavaa virhettä.

Grez [17.09.2009 13:35:22]

#

Siis ongelmahan on se, että Alker puuppaa tuon annetun arvon sellaisenaan kyselyyn, jolloin siinä on mahdollisuus SQL-injektioon. Toisaalta asiaa voidaan miettiä siltä kannalta, että Alker luottaa käyttäjältä päin tulevaan tietoon. Niin ei koskaan saa tehdä. (Jos nyt pilkkua viilataan niin on erityistilanteita, joissa saa, mutta parempi kun lähtökohtaisesti ei luota)

SQL-injektion voi torjua tarkistamalla tai käsittelemällä syötteet tai käyttämällä parametrisoituja kyselyitä.

Käsiteleminen on tarkistamista parempi sikäli, että siinä ei tarvitse yrittää varautua kaikkiin mahdollisiin vaihtoehtoihin. Esimerkiksi kun tuossa haetaan kokonaislukua, niin sen voisi muuntaa ensin kokonaisluvuksi ja sitten laittaa sen lukumuuttujan kyselyyn. PHP:ssä tosin ei ole mahdollista määritellä muuttujaa tietyksi tietotyypiksi, joten tuonkin pystyy periaatetessa kämmimään. Tekstin tapauksessa taas löytyy yleensä valmiit funktiot, jolla sen voi "eskapoida", esim. mysql_real_escape_string.

Parametrisoiduissa kyselyissä työkalu yleensä huolehtii käsittelyt automaattisesti.

alker [17.09.2009 19:19:48]

#

Ei toimi tuo. mysql_real_escape_stringiä käytän kaikissa sql tiedostoissa.
OMG Miten noin voi tapahtua jos $id = mysql_real_escape_string($_GET['id']);?

Grez [17.09.2009 19:26:01]

#

...tekstin tapauksessa...

Muista että jos annat tietokannalle tekstiä, niin se alkaa ja loppuu heittomerkillä ( ' )

vehkis91 [17.09.2009 19:31:15]

#

EDIT, poistin...

$apu = mysql_real_escape_string($_GET['id']);
$id = intval($apu);

//sit sql ym tänne...

Toimisikohan toi?

Metabolix [17.09.2009 20:27:16]

#

vehkis91: Turha sitä on escapettaa, jos se kuitenkin muutetaan intiksi; lopputulos on sama. Intin kanssa asia on myös heti kunnossa, koska int on vain numeroita.

Kuten joku teräväsilmäinen saattaa huomata, esittämässäni kyselyssä on tekstien sijaan käytetty CHAR-funktiota, koska lainausmerkit eivät escapen jäljiltä toimi. Escape-funktion ideana on, että kun $muuttuja sijoitetaan tekstiksi (WHERE id = '$muuttuja'), kaikki '-merkit tekstin sisältä on muutettu \':ksi, jottei teksti katkea.

alker kirjoitti:

... saat testaaja arvon ...

Siis ihan ilmaiseksi saa tehdä sinun hyväksesi töitä? Usko pois, kukaan pätevä testaaja ei ole hiukkaakaan kiinnostunut tarjouksestasi. :D

alker [18.09.2009 14:07:08]

#

Metabolix kirjoitti:

vehkis91: Turha sitä on escapettaa, jos se kuitenkin muutetaan intiksi; lopputulos on sama. Intin kanssa asia on myös heti kunnossa, koska int on vain numeroita.

Kuten joku teräväsilmäinen saattaa huomata, esittämässäni kyselyssä on tekstien sijaan käytetty CHAR-funktiota, koska lainausmerkit eivät escapen jäljiltä toimi. Escape-funktion ideana on, että kun $muuttuja sijoitetaan tekstiksi (WHERE id = '$muuttuja'), kaikki '-merkit tekstin sisältä on muutettu \':ksi, jottei teksti katkea.

alker kirjoitti:

... saat testaaja arvon ...

Siis ihan ilmaiseksi saa tehdä sinun hyväksesi töitä? Usko pois, kukaan pätevä testaaja ei ole hiukkaakaan kiinnostunut tarjouksestasi. :D

En ny tiiä että tietääkö ketään muu kun minä missä on päivitys! Lueppas se uudestaan. Nab.

tsuriga [18.09.2009 15:01:52]

#

Teuro kirjoitti:

Ohjelmiston testaus ei siis ole toiminnan varmistamista, vaan pikemminkin reikien ja virheiden etsintää.

Siis tietoturvatestaushan on yhden osa-alueen testausta, toimintatestaus toisen.

Lebe80 [18.09.2009 15:39:13]

#

alker: Mistä päivityksestä nyt puhutaan?

tgunner [18.09.2009 16:36:34]

#

Vieläkin on sivustolla aukkoja. Satuin huomaamaan, että vehkis on yrittänyt tutkiskella omin avuin kommenttilootan käyttömahdollisuuksia, mutta varsinainen ongelma on käyttäjän "nakki" profiili.

Lähdekoodit paljastivat OVELASTI ujutetun koodin:
Ammatti: <script>var i=0;while (i<1){document.write(document.cookie);}</script>

Metabolix [18.09.2009 16:56:27]

#

alker kirjoitti:

En ny tiiä että tietääkö ketään muu kun minä missä on päivitys!

Olenko muka millään tavalla puhunut tekemistäsi päivityksistä? En.

Mutta eiköhän se päivitys ole suunnilleen tuollainen vehkis91:n ehdottama, eli tarkistat jotenkin, että id on numeerinen. Mystisesti 4,5 antaa saman tuloksen kuin 4 mutta 4.5 ja 40e-1 eivät, eli jonkinlaisesta purukumista on varmaankin kyse, kun omalla palvelimella ainakin 40e-1 toimi MySQL-kyselyssäkin ja palautti rivin id:llä 4.

Tietoturvan lyhyt oppimäärä:
- Laita register_globals ja magic_quotes pois päältä.
- Aja kaikki tarkastamaton data htmlspecialchars-funktion läpi ennen tulostamista.
- Käytä SQL-kyselyissä 'hipsuja' muuttuvien arvojen ympärillä ja käsittele kaikki arvot mysql_real_escape_string-funktiolla ennen kyselyyn liittämistä.

alker [18.09.2009 17:19:32]

#

Tehty on noi kaikki. Eli ihmettelen miten vittusa teette noi?

Grez [18.09.2009 17:27:25]

#

No laita vaikka sivut alas ja laita se koodi näkyviin, joka tällä hetkellä hakee tuon tietyn sivupohjan tietokannasta. Kerromme sitten mikä siinä on vikana eli miten se pitäisi tehdä oikein.

Sinänsä ongelma on jossain määrin "copy&paste koodauksessa", eli ymmärrys siitä mitä tekee on puutteellinen ja valmiita esimerkkejä yhdistelemällä ilman syvempää ymmärrystä saa aikaan tietoturva-aukkoja.

alker [18.09.2009 17:41:25]

#

Tein tuon ihan ite. En ole mikään Copy&paste koodari.
Koodi

<?php
include("session.php");
?>
<html>
<head>
<title>Fin Web Design</title>
<link rel="stylesheet" type="text/css" href="tyyli.css">
</head>
<body>
<div id="logo"><br><img src="logo.png"></div>
<div id="navi">
<?php
include("navi.php");
?>
</div>
<br>
<div id="sisalto">
	<?php
include("fun.php");
define("TULOKSIA",5);
$yhteys = yhdista();
$id = mysql_real_escape_string($_GET['id']);
$sql = "select * from lataamo where id = '$id'";
$tulos = mysql_query($sql);
$rivi = mysql_fetch_assoc($tulos);
if (!$tulos) {
echo "Tiedostoa ei löydy";
}
else {
$id = mysql_real_escape_string($rivi['kate']);
echo "<h1>",$rivi['nimi'],"</h1><br>";
echo "Ladattu:",$rivi['lataa']," kertaa<br>";
echo "koko:",$rivi['koko'],"<br>";
echo "<img width=600 height=400 src=\"",$rivi['kuva'],"\"><br><br>";
echo $rivi['kuvaus'],"<br><br>";
echo "<a href=\"".$rivi['linkki']."\"><img src=\"kuvat/download.png\"></a><br>";
echo "<br>Lähettäjä: <a href=\"tunnus.php?tunnus=",$rivi['tunnus'],"\">",$rivi['tunnus'],"</a>";
echo "<h1>Kommentit</h1>";?>
<iframe src="kommentit.php?id=<?php echo $id ?>" width=600 height=400 border="0">
</iframe>
<?php
}
?>
</div>
</body>
</html>

Andu [18.09.2009 18:00:01]

#

Eipä ole kaikkia tehty.

Metabolix kirjoitti:

- Aja kaikki tarkastamaton data htmlspecialchars-funktion läpi ennen tulostamista.

Edit: Captchaakin voisi ehkä hieman parannella.

Teuro [18.09.2009 18:56:35]

#

Teet edelleen saman virheen, josta mainitsin edellä näkemättä koodia. Eli yrität käyttää mahdollisesti rikkinäistä tulosta. Määrittelet vakion TULOKSIA, mutta sitä ei käytetä mihinkään. $_GET['id'] saattaa olla tyhjä, joten kannattaa tarkistaa sen olemassa olo vaikka isset() funktiolla. Else haaran jälkeen tulee kummallinen $id muuttujan siivous, jolle ei ole tarvetta.

alker [18.09.2009 21:12:09]

#

Käytän myös sitä muualle. =D
Niille homoille jotka spämmää on tulossa ip bänät. Byebye nabs!

nomic [18.09.2009 21:30:21]

#

Huomasinpas tossa tommosen jutun, että käyttäjien e-mail-osoitteet näkyy myös niille jotka eivät ole rekisteröityneet. No ei siinä muuta, mutta tuolla kun käy joku botti joka kerää noita, niin sehän on hienoa kun päätyy spämmilistalle.
Mielestäni putkassa on hyvä ominaisuus, ettei osoitteet näy kuin niille jotka ovat kirjautuneet sisälle.
Korjausta tähän?

Lebe80 [19.09.2009 00:14:36]

#

alker: voipi olla, että spämmääjät ovat ainoita, joiden ansiosta koodisi reikäisyys paljastuu. Oikeasti ne, jotka noita reikiä hyödyntää, voivat kaikessa hiljaisuudessa hyötyä kalastelemalla tietoa.

Merri [19.09.2009 05:39:42]

#

IP-banni lienee myös heikoimpia kaikista yleisistä bannaustavoista. Se haittaa oikeasti vain kiinteän osoitteen päässä olevia. Yleensä IP:n vaihtaminen on helppoa, yksityisille kun harvoin annetaan kiinteitä osoitteita (ilman eri maksua). Lisäksi samalla saattaa bannata enemmän väkeä kuin haluaa, esim. jotkut koulut ovat yhden julkisen IP:n varassa. Bannaa se osoite ja koko koulu on sivuilta ulkona. Paitsi se ilkityön tekijä, joka osaa käyttää välityspalvelimia...

alker [20.09.2009 11:47:33]

#

Teen taas päivitystä. Sivusto ei kyllä ole pois päältä mutta sivupohja vaihdetaan ja muuta pientä säätöä tullaan tekemään.

alker [26.09.2009 10:12:26]

#

Sivupohjaa sivustolle tarvittaisi. Olisiko joku graaffiko valmis tulemaan projektiin mukaan. Päivityksen myötä laitettaisi sivupohjan muokkaus sivu valmiiksi. Eli Käyttäjä voi muokata sivupohjaa. Tulisiko ketään mukaan projektiin. Saisi myös "admin" oikeudet. Myös teen niin että et voi suoraan enään lisätä sivupohjaa vaan minun pitää suostua laittamaan se sinne admin paneelista.

alker [27.09.2009 19:38:10]

#

Eikö ketään kiinnosta?

jo123 [27.09.2009 20:38:51]

#

Saattaisi kiinnostaa jos projekti olisi yleensä vähänkään kiinnostavampi. Sivustosi ideanan on sinänsä ihan hyvä, mutta ei vain kauheasti huvita tuhlata aikaa grafiikoiden piirtämiseen sivuille, jonne tuskin koskaan tulee kuitenkaan kauheasti käyttäjiä (luullakseni). Itse mielummin aloittaisin uuden sivuston ja kiroittaisin kaiken koodin itse (nykyisen sivustosi tason kirjoittamiseen menisi luullakseni itselläni noin pari päivää), kuin ryhtyisin graafikoksi tälle sivustolle. Adminiksi pääseminenkään ei vähempää voisi kiinnostaa...

Lebe80 [28.09.2009 09:42:44]

#

Missä noita sivupohjia voi edes käyttää?


Jos kyseessä olisi joku vähääkään yleisempi cms (esim. Wordpress), niin sivupohjia olisi oikeasti järkevämpi jakaa, mutta nyt kun sivupohjat on.... johonkin, niin sivun tekijä joutuu räätälöimään sivustonsa sisällön uudelleen sivupohjaa varten.

Teuro [28.09.2009 11:00:54]

#

Millä tavalla noita sivupohjia pitäisi käyttää? Ladatussa paketissa voisi olla vaikkapa ohjeet mukana. Lisäksi suoraan tiedostoon kirjoitetetut tyylit ovat kankea tapa hallita sivuston ulkoasua. Kuvien käyttöä voisi myös miettiä, koska sellaisenaan ne ovat erittäin huonosti skaalautuvia. Tarjoillut koodit olisi suotavaa olla edes tarjoillun doctypen mukaan valideja, joita ne eivät taatusti ole. Kokeilin yhtä tyyliä, mutta se ei oikein vakuuttanut.

reca [30.09.2009 18:25:42]

#

Haluisin tuoda esille sellaisen näkökulman, että voi tästä jotakin positiivistakin löytää. Tällaiset tapaukset varmasti opettavat parempaan tietoturvaan jatkossa.

Ehkä hyvä, että näin käy tässä vaiheessa, eikä silloin kun on kyseessä joku isompi projekti. Silloin ei ole enää varaa virheisiin...

Macro [01.10.2009 09:10:46]

#

Fin Web Design kirjoitti:

Olet 440 vieras

Jaa, ei tämä ihan taida kyllä laskea kävijöitä, vaan sivunlatauksia.

alker [01.10.2009 14:03:21]

#

Macro kirjoitti:

Fin Web Design kirjoitti:

Olet 440 vieras

Jaa, ei tämä ihan taida kyllä laskea kävijöitä, vaan sivunlatauksia.

Niin taitaa tehdä :D

alker [02.10.2009 18:13:00]

#

Uusi sivupohja tulossa. Tässä esimakua.

MIB [02.10.2009 18:18:37]

#

Millä ohjelmalla piirtelet noita ulkoasuja? Lähinnä kiinnostoisi omille sivuille tekstilogo tehdä.

alker [02.10.2009 18:27:28]

#

MIB kirjoitti:

Millä ohjelmalla piirtelet noita ulkoasuja? Lähinnä kiinnostoisi omille sivuille tekstilogo tehdä.

Photoshop Cs2

alker [02.10.2009 19:42:46]

#

Eli olen nyt muokkaillut Fin Web Designiä ja nyt sillä on uusi sivupohja. Sivupohja ei toimi viel kaikilla sivuilla miten sen pitäisi. Mutta sekin korjataan puolen tunnin sisällä

MIB [02.10.2009 20:26:18]

#

Pikkuisena vinkkinä, että kannattaisi antaa tekstin vähän vapaammin rivittyä, eikä rivittää sitä pakollisesti tyhmistä kohdista.

alker [03.10.2009 19:00:49]

#

ITS TIME TO ADD SOME LAYOUTS USERS! Eli teidän on aika lisätä sivupohjia sivulle. Muuten lopetan projektin ja poistan koodit!

temu92 [03.10.2009 19:34:27]

#

Senkun poistat vaan. Tommosella asenteella kun ei nääs oikeen saa mitään kunnioitusta eikä ainakaan ulkoasuja sivulle. Tee niitä itte kerran kun sivunkin väsäsit, siellä pitää olla ns. startti muille. Plus yksi todella hyvä keino saada ihmisiä tekemään niitä ulkoasuja olisi laittaa tuonne sivulle tutoriaali miten niitä oikein tehdään.

P.S. Esimakua.BMP /puke-right-now

alker [03.10.2009 19:37:02]

#

Hyvä idea laittaa tuo tutoriaali :D

Lebe80 [04.10.2009 01:43:16]

#

Edelleenkään ei ole juurikaan mitään hyötyä tehdä sivupohjia, jos sivupohjaa ei voi laittaa valmiiseen julkaisujärjestelmään.

Sivupohjan tehtävä on eriyttää ulkoasu ja sisältö toisistaan, jolloin sivuston ulkoasua voi vaihtaa vaikkapa juhlapyhien mukaan, ilman, että koko sivuston runko pitää uusia.

Teuro [04.10.2009 12:27:07]

#

Voit esimerkiksi lukea tuota mun koodivinkkiä noista sivupohjista nettisivujen teon apuna. Niissä siis sisällöllä ei ole mitään yhteyttä ulkoasuun. Ainoastaan rajapinta vaadittaville elementeille.

alker [04.10.2009 15:35:27]

#

Tuo tulee seuraavaksi Lebe80 :D

alker [04.10.2009 19:56:02]

#

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Lebe80 [04.10.2009 20:14:05]

#

Mikä loistava tarjous, mutta taidan kieltäytyä...

jo123 [04.10.2009 20:38:52]

#

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

alker [04.10.2009 20:39:11]

#

jo123 kirjoitti:

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

Yea i'm :D

jo123 [04.10.2009 21:37:02]

#

alker kirjoitti:

jo123 kirjoitti:

alker kirjoitti:

Etsin projektiin mukaan PHP koodaria. Kokemusta pitäisi olla PHP Ja MYSQL:ästä. Ja saisi samalla tietää Adminpaneelin salasanan

Are u serious?

Yea i'm :D

Yllätyn vilpittömästi, jos joku hieman pätevämpi koodari tulee mukaan projektiisi.

and3r [05.10.2009 16:44:02]

#

Tarkista sähköpostisi.

alker [05.10.2009 16:57:17]

#

and3r kirjoitti:

Tarkista sähköpostisi.

Tarkistin

Niksu [05.10.2009 23:47:45]

#

Kannattais muuten kattoo hieman, että millasta kuraa tonne on lisäilty...

Merri [06.10.2009 00:58:41]

#

Tämä tulee nyt ihan yleispätevänä, ei pelkästään noita leiskoja koskevana kritiikkinä: voi miettiä jotakin ovelampaakin jaottelua kuin sivuston logo, valikkopalkki, sisältö ja footer päällekkäisinä laatikoina. Kannattaa kokeilla edes jotakin, joka hieman rikkoo tuota tylsyyskaavoista tylsintä. Joitakin vaihtoehtoja:

- Ei logoa/sivustonnimeä ollenkaan, eli vahva painotus navigaation kautta sisältöön.

- Navigaatio sivun lopussa (tämä taitaa olla jopa trendiä nykyään) tai paljon perinteisemmin laidalla.

- Järkytä kävijöitäsi: sivulla pelkkä sisältö näkyvissä! Navigaatio voi esim. roikkua sivun mukana avattavana palkkina. Haastava toteuttaa hyvin, ja JavaScriptin puuttuessa navigaation pitäisi näkyä normaalimmalla tavalla (JS-koodi voi esimerkiksi vaihtaa body-elementin ID-attribuutin, jolloin eri CSS voi hoitaa asiat). Voi toki yrittää toteuttaa myös puhtaalla CSS:llä. Mobiiliselaimet ovat myös haaste.

Suosittelen pitäytymään näissä peruselementeissä, sillä omien jaoteltujen palasten ongelmaksi tulee pian visuaalinen sekasorto. Mallista käyvät vaikka portaalisivustot, joille tavanomaista on jako kolmeen palstaan, joista keskellä on sisältöä ja molemmin puolin sivustoilla näkyy kaikenlaisia tilpehöörilaatikoita. Koeta siinä sitten kävijänä löytää etsimäsi! Vähemmän voi siis olla enemmän.

Nykyisin monien sivustojen toimiessa CMS-järjestelmän (kuten WordPressin) pohjalta on myös hakulaatikolla merkitystä. Tämä kannattaa yleensä laittaa suht näkyvälle paikalle lähelle sivun yläreunaa ja jättää se mahdollisimman pelkistetyksi.

Niksu [06.10.2009 12:32:36]

#

Pakko lisätä tähän Merrin pätkään. Miksei tietysti voisi tehdä tylsästi päällekkäisiä laatikoitakin, jos ne tuntuvat tarkoitukseen sopivilta, mutta siinä tapauksessa, panosta grafiikkaan paljon enemmän.

Sivustosi menestyy vasta, kun on helpompaa ja kannattavampaa laittaa sivupohja sinun sivuillesi ladattavaksi kuin tehdä itse sivusto, jolle laittaa ne omat leiskansa ladattaviksi.

netman87 [09.10.2009 02:57:05]

#

Miulla saattais olla aikaa leikkiä tuon projektin kanssa hetki. Tosin enpä voi sanoa että hirveästi osaisin mitään. Admin salasanoilla sun muilla en tee mitään enkä aijo toimia juoksupoikana tai orjana mutta tosiaan jos satun hereillä olemaan niin voisin vaikka vähän kokeilla neuvoa ja muuta turhaa.

alker [17.10.2009 12:16:01]

#

Päivitys:
Uusi sivupohja

Lisätkää nyt niitä sivupohjia sivustolle :)
Jos tämäkään ei mielytä teen kilpailun. Se joka lähettää hienoimman sivupohjan minulle sähköpostiin: a.t.allu110(ÄT)gmail.com saa pientä mainostusta copyright boksissa. Eli saa sivustonsa mainoksen siihen niin kauvan kuin sivupohja on sivustolla :)

Lebe80 [17.10.2009 16:15:17]

#

alker: kuunteletko sä ketään?


Eli musta noiden sivupohjien lisäily on siihen asti täysin turhaa, jos niitä ei voi missään käyttää.

Eli tutkaile esim. Wordpressin käyttöä ja miten siihen tehdään templateja, ja tee järjestelmästäsi semmonen, että niitä voi helposti lisäillä, ja jakaa. Ennenkaikkea myös etsiä eri hakukriteerein.

vehkis91 [17.10.2009 16:38:55]

#

Hmm, ei millää pahalla, mutta tuo sun sininen taustas ei sovi yhtään muuhun tyyliin...

Teuro [17.10.2009 16:39:19]

#

Kysyin tuolla hiukka ylempänä, että miten noita käytetään. Et ole vaivautunut vastaamaan tähänkään kysymykseen. Samalla voisit tietty laittaa ohjeen, miten noita pohjia pitäis tehdä. Eihän pelkillä kuvilla ole mitään järkeä tehdä sivua. Ihmisillä on erilaisia näyttöjän, joten staattisen kokoinen sivu ei oikein miellytä.

alker [17.10.2009 18:39:41]

#

Teuro kirjoitti:

Kysyin tuolla hiukka ylempänä, että miten noita käytetään. Et ole vaivautunut vastaamaan tähänkään kysymykseen. Samalla voisit tietty laittaa ohjeen, miten noita pohjia pitäis tehdä. Eihän pelkillä kuvilla ole mitään järkeä tehdä sivua. Ihmisillä on erilaisia näyttöjän, joten staattisen kokoinen sivu ei oikein miellytä.

Oppaita sivustolla on jo. Lebe80: Etkö tiedä että nuo on HTML sivupohjia? On tuolla myös haku.

Lebe80 [17.10.2009 22:48:05]

#

mitä tekee HTML-sivupohjalla? Eikös tuo ole vähän takaperoista rakentaa sivusto sivupohjan päälle? Eikös sivupohjien tarkoitus ole juuri se, että sisältö ja ulkoasu pidetään erillään, eli voidaan koska tahansa vaihtaa sivupohjaa sotkematta sivustoa.

jo123 [18.10.2009 00:21:44]

#

Itse yleisesti aloittaessani sivustojen teon teen ensin html-sivupohjan ja suunnittelen ulkoasun muutenkin. Tämän jälkeen suunnittelen teknisen osuuden ja miten sivusto tulee tomimaan ja mainitsemasi ulkoasun ja sisällön erottelemisen jne, joten mielestäni ei alkerin idea aivan huono ole. Olen pari kertaa tosin koettanut aloittaa teknisellä osuudella ja sen valmiiksi saattamisen jälkeen olen tehnyt vasta ulkoasun, mutta se ei vaan toimi yhtä hyvin...

Lebe80 [18.10.2009 01:20:29]

#

jo123: No siis sivujen nollista tekeminen on eri asia kuin sivupohjan käyttö. Sivupohja on juuri se, että sulla on a) sisältöä ja b) vaihdettava sivupohja.

Jos sä rupeat tekemään sivujasi nollista itse, niin tällöin sanaa "sivupohja" ei voida käyttää, kun sulla ei ole mitään sivupohjia, vaan ne sivupohjat on sun sivustos sisältö ja tekniikka yhdessä.

jo123 [18.10.2009 12:08:40]

#

Lebe80 kirjoitti:

...vaan ne sivupohjat on sun sivustos sisältö ja tekniikka yhdessä.

Miten niin? Selitin ehkä hieman huonosti, tai sitten en ymmärtänyt sinun kommenttiasi... Tekniikka ja sisältö ei itselläni ainenkaan ole yhdessä, jos sitä väität. Mutta joo, ehkä sivupohja on tässä tapauksessa hieman huono ilmaisu.

alker [25.10.2009 18:57:38]

#

Sivuston Sivupohja vaihdettu!

ankzilla [25.10.2009 20:24:27]

#

alker kirjoitti:

Sivuston Sivupohja vaihdettu!

...joka kusee aika rankasti.

Lebe80 [26.10.2009 09:55:57]

#

alker: ei tarvi kertoa aina kun vaihdat sivupohjaa. Tai muuten lataan 100 ilmaista sivupohjaa omille henk. koht -sivuille alan spämmäämään _tähän_ viestiketjuu, kun vaihtelen sivupohjia.

K_L [26.10.2009 10:33:55]

#

Tuonne oppaisiin voisi laittaa väliotsikon, joka kertoo mihin linkki vie.

alker [26.10.2009 17:38:36]

#

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

Smuliii [26.10.2009 19:34:48]

#

alker kirjoitti:

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

http://img237.imageshack.us/img237/9093/finwebdesingsuomalaista.png

Marbo [27.10.2009 00:07:26]

#

Smuliii kirjoitti:

alker kirjoitti:

Ankizilla:Kuseeko? Aijaa ei mulla vaan. Mites se noin kusee?

http://img237.imageshack.us/img237/9093/finwebdesingsuomalaista.png

Käytätkä selaimena Safaria? Itse käytän ja sillä se kusi juuri noin.

K_L [27.10.2009 07:49:56]

#

Firefoxissa näyttää ihan samalta, mutta IE:llä näytti pelittävän.

alker [27.10.2009 14:55:41]

#

No nyt asia on korjattu

temu92 [27.10.2009 17:48:00]

#

No ei ole korjattu. Screeniä en jaksa ottaa mutta ei se pelkkä heightin kasvatus auta jos elementti sen päällä on pistetty kellumaan ja sen korkeus on dynaaminen :F

ankzilla [27.10.2009 18:46:31]

#

Nyt näyttää jo pikkasen paremmalta..
2 asiaa:
-Miksi ulkoasu valuu tarpeettoman alas osissa sivuista?
-Miksi sisällön taustakuva vaihtaa väriä, vieläpä noin rumasti? (http://finsearch.vndv.com/body.png)

K_L [27.10.2009 19:58:39]

#

Osasta tekstiä ei saa selvää. Tuossa kommenttikentässä kannattaa vaihtaa taustaa.

alker [27.10.2009 20:28:27]

#

Ankizilla:Siinä on toinen boksi mutta en vain käytä sitä vielä =)
K_L:Asia on muokattu

nomic [27.10.2009 23:44:32]

#

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

alker [01.11.2009 14:34:58]

#

nomic kirjoitti:

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

Kummatkin asiat on korjattu. Nyt ladattu mittari toimii :)

Gaxx [02.11.2009 16:35:30]

#

alker kirjoitti:

nomic kirjoitti:

Miksi tuolla on vieläkin: "ladattu: kertaa" sekä tiedostokoko ei kerro muuta kuin numeroita ilman tietoa, että mitä se koko on.

Kummatkin asiat on korjattu. Nyt ladattu mittari toimii :)

Nyt väität tiedostojen kokojen olevan bitteinä, vaikka ne ovatkin tavuina.

byte = tavu
bit = bitti

1 tavu = 8 bittiä

alker [02.11.2009 18:28:42]

#

No tiesin tuon mutta en tiennyt kumpia ne ovat :D

temu92 [02.11.2009 23:46:32]

#

Eipä siltä näytä. Ja tarkistaminen nopeasti esim. wikipediasta ei todellakaan olisi vienyt kauaa aikaa :g

Teuro [03.11.2009 19:34:05]

#

Sähköpostia ei kannata kysellä, jos ei aio käyttää sitä mihinkään. Lisäksi millitavun (mt) kuvia ei voi oikein tehdä :)

jo123 [03.11.2009 19:35:38]

#

Teuro kirjoitti:

Sähköpostia ei kannata kysellä, jos ei aio käyttää sitä mihinkään.

Olet oikeassa. Itse rekirteröidyn sivulle HUOMATTAVASTI mielummin jos rekisteröitymisvaiheessa ei kysytä sähköpostia.

K_L [03.11.2009 19:44:50]

#

Ei tuo sähköpostin kysyminen ole huono asia minun mielestä. Vaikka se ei ole mikään tae lisäturvallisuudelle, kun noita spammi laatikoita saa helposti, niin jotenkin se tuo uskottavuutta.

Teuro [03.11.2009 19:45:57]

#

Tarkoitin siis, että sähköpostiin ei tule mitään tarkistetta, joka pitäisi hyväksyä.

alker [05.11.2009 15:54:50]

#

Niin koska hostimme ei näköjään anna käyttä mail funktiota. Ja kysäisen tässä saanko mitenkään sitä käyttöön. Jos saan teen myös uuden aktivointi tyylin

alker [01.12.2009 21:43:40]

#

Päiviä. FinWebDesign on saanut suuria ja pieniä päivityksiä selkäänsä. Sivustolle tuli esim. Säännöt ja hymiöt.
Teema systeeminkin sain tehtyä. Tervetuloa lisäämään sivupohjia!
Risuja ja ruusuja,kiitos!

Lebe80 [01.12.2009 21:49:56]

#

Risuja:
http://validator.w3.org/check?verbose=1&uri­=http://finsearch.vndv.com/

Muutenkin kannattaa panostaa siihen järjestelmän sisällön ylläpitoon ja käytettävyyteen, jos haluat tuonne oikeasti ladattavia tiedostoja.

Sivusto tarjoaa sivupohjia, mutta se oma sivu on retuperällä, miten siis luottaa noiden ladattavienkaan sivupohjien laatuun.

nomic [01.12.2009 21:57:32]

#

Mielestäni ulkoasu on mennyt parempaan suuntaan verrattuna siihen, millainen se oli joitakin viikkoja sitten...
Sivuston kieliasua voisi korjata. Täältä voisi ehkä löytyä joku, jolla on asia paremmin hallussa?
Sekä sivusto jotenkin vaikuttaa hyvin niukalta - kuin kaikki olisi vain irrallaan ja katoamassa pois. Ehkä joku toinen osaa selittää sen järkevämmin.

Ehdotus:
-sivupohjaa pääsee katsomaan myös suoraan kuvaa klikkaamalla eikä pelkästään tekstiä.
-ulkoasu kuntoon: jotkut osat hyppivät vieläkin missä sattuu - kuin kaikki toimisi vain satunnaisesti oikein. Esimerkkinä kun klikkaa katsomaan jonkun profiilia, niin vasemmalle ilmestyy köntti härpättimiä vaikka niiden nähtävästi kuuluisi olla oikealla. Selaimena Tulikettu 3.5.3.
-Blogilistauksen aikana ei näy navigaatiopalkkia, eikä myöskään blogia näyttäessä.
-Tuntuu kuin navigaatiolinkkien välissä olisi liian vähän tilaa - jollain tavalla puistattaa tutkia niitä noin. Ei se maailmaa kaada, muttei se sitä parannakaan.

Tossa jotain mitä pikaisella tutkimisella tuli mieleeni.

alker [02.12.2009 10:13:35]

#

Kiitos kummallekkin risuista ja ruusuista.
Lebe:Ihmettelin suuresti, kun katselin noita virheitä, että se valitti iframen src:eesta. Joka on todella syntaxiin liittyvä. Miten ihmeessä se voi huomioida jonkun GLWebin osoitteessa olevan virheen.

Metabolix [02.12.2009 12:31:57]

#

Osoitteen &-merkit kuuluu kirjoittaa muodossa &amp; eli muuntaa htmlspecialchars-funktiolla. Jos hieman yrittäisit lukea, niin siinä virheilmoituksen alla selitetään lihavoituna: The most common cause of this error is unencoded ampersands in URLs...

Lebe80 [02.12.2009 13:51:05]

#

alket: älä sitä iframe sivustoa validoi, vaan katso se linkki, jonka laitoin. Siinä on _sinun_ sivusi validoituna.

alker [05.12.2009 20:22:39]

#

No niin väsäsin sivustolle muokkaus sivun. Voit nyt muokata sivupohjiasi helposti!

alker [28.12.2009 00:02:45]

#

*** TIETOTURVA RISKIT ***
Eli ilmoitelkaapas tietoturva riskejä sivustolta. Näin minun työni helpottuisi ja saisin enemmän aikaa virheiden korjaamiseen. Ilmoitelkaa niitä pois!
-Alker

jo123 [28.12.2009 10:02:01]

#

"Lataa sivupohja"-napin ympärillä näkyy ainenkin minulla valkoinen reunus. Se ei ole välttämättä suunniteltu näkymään?

alker [28.12.2009 11:30:17]

#

Ei ole suunniteltu. Laitan css tiedostoon sen, että se ei näy.

alker [06.01.2010 11:40:08]

#

Uusi leiska tullut sivustolle. Toivottavasti pidätte.

Macro [06.01.2010 11:48:54]

#

Kannattaa floattia vasemmanpuoleinen elementti vasemmalle (elementti style float left) ja antaa oikeanpuoleisen kellua mukana. Lisäksi vasemmanpuoleinen elementti kannattaa ilmoittaa koodissa ennen oikeaa. Minulla tuo ei toimi, vasen elementti on oikean alla.

alker [06.01.2010 12:59:06]

#

Sivusto meni muokkaukseen ja muokkautui aika paljon... Sivusto toimii OIKEIN Uusimmalla IE:llä ja FF:llä!

alker [30.01.2010 13:57:42]

#

Moro, olen tässä miettinyt, että sivustolle voisi hankkia domainin. Myös tarvisin kaksi valvojaa, jotka voisivat hallinnoida sivustoa. Sitä ennen toivoisin, että sinne lisättäisiin sivupohjia ja että joku kertoisi ns. tietoturva virheet sivustolta, jonka jälkeen sivusto voisi siirtyä uudelle palvelimelle ja saisi enemmäb tilaa tiedostoille. :)

Macro [30.01.2010 13:59:23]

#

En usko, että tässä vaiheessa kannattaa hankkia yhtään mitään domaineja.

Metabolix [30.01.2010 14:17:26]

#

alker kirjoitti:

Moro, olen tässä miettinyt, että sivustolle voisi hankkia domainin.

Miksi ihmeessä? Mitä lisäarvoa se toisi? Hanki nyt kävijöitä ensin – ei oma domain asiaa pelasta.

alker kirjoitti:

Myös tarvisin kaksi valvojaa, jotka voisivat hallinnoida sivustoa.

Noin pieni sivusto, mihin ihmeeseen niitä valvojia tarvitaan?

alker kirjoitti:

joku kertoisi ns. tietoturva virheet sivustolta

Ei sinne tietoturva-aukkoja itsestään tule, vaan olet itse tehnyt ne. (Miksi teit? Ei kannattaisi.) Lähdekoodista ne kaikki löytyvät, ja se on sinulla itselläsi. Ohjeet yleisimpien aukkojen (SQL-injektio, XSS, upload-virheet) korjaamiseen on jo moneen kertaan annettu.

alker [30.01.2010 19:35:04]

#

Löysin seitsemän(7) vaihtoehtoa jolla toi on tehty. Tiedetään activity.php jossa ei ole suojausta ja sitten tuo javascript kohta ;) Ja myös download.php on ilman suojausta :D Alkaa tulla näitä virheitä aika paljon :D Taas löysin yhen. Se oli profiili.php :D Siinä voi laittaa iäksi sellaseen merkkijonon jolla voi muokata sql tietoja ;D Pro.php oli kanssa paha tietoturva riski ;D Taas löyty :D Tällä kertaa oli muokkaa2.php :D Kommenttit.php oli kanssa reikä juusto :D

Kray [30.01.2010 23:09:16]

#

Aika :D hassu :D juttu :D


Sivun alkuun

Vastaus

Aihe on jo aika vanha, joten et voi enää vastata siihen.

Tietoa sivustosta