Wklejki na forumowym Pastebin z dumpami, danymi osobowymi etc

@Anna Lisik znalazł(a) dumpa bazy z jakiegoś serwera na Pastebin: https://4programmers.net/Mikroblogi/View/77239

Sam rzeczony dump jest widoczny w "ostatnich" dwa razy, dodany kilka dni temu.

Czy wklejki na Pastebin są pod jakąkolwiek kontrolą? W tej chwili na pierwszy rzut oka wygląda to mniej więcej tak:

• na Pastebin można wrzucić dowolny śmietnik (po to w sumie jest)
• więc ląduje tam dowolny śmietnik (w tym rzeczy które by na forum nie przeszły - wklejki zatytułowanie "xddd c**j d**a" też)
• nie wygląda to na jakoś szczególnie moderowane (bo i po co, skoro to miejsce na śmietnik)
• ktoś skorzystał żeby wrzucić sobie tam dumpa - autor nieznany, zakładam że moderacja może sprawdzić czyje to
• dump leży parę dni widoczny dla wszystkich w "ostatnich"
• nawet jakby nie leżał, to w sumie IDki są inkrementalne więc i tak można łatwo wyjąć dowolne wklejki

Dzięki za zgłoszenie - na razie pokasowałem te wpisy, aczkolwiek mam świadomość, że jest to działanie doraźne. Chyba trzeba będzie temat przegadać, żeby w jakiś sposób zabezpieczyć się przed takimi akcjami w przyszłości. Tylko za bardzo nie mam pomysłu, jak by to mogło być zrobione :(
Jedyne co mi przychodzi do głowy to zablokowanie możliwości wrzucania treści anonimowo/bez zalogowania, dopuszczenie jedynie osób z kontem. Oczywiście - nie da to 100% bezpieczeństwa, bo będzie można założyć konto tylko po to, żeby wrzucać śmieci, ale zawsze jakoś to ułatwi panowanie lub ewentualne sprzątanie.

P.S. @Anna Lisik - wybacz skasowanie postu na blogu, ale takie rzeczy się zgłasza w Coyote. Na pocieszenie - dałem Ci łapkę, zanim wpis poleciał ;)

cerrato napisał(a):

Chyba trzeba będzie temat przegadać, żeby w jakiś sposób zabezpieczyć się przed takimi akcjami w przyszłości. Tylko za bardzo nie mam pomysłu, jak by to mogło być zrobione :(

Może limit na długość wklejki?
Klasa na 30 tysięcy linijek kodu według nowego ;) regulaminu nie przechodzi, bo clean code. Baza maili w plain text też nie przejdzie, nawet podzielona na 4 wpisy.

Jak będzie można wrzucać pliki na kilkadziesiąt tysięcy linijek to ktoś kiedyś wrzuci jakieś anty-pis/anty-po/różne-dofilskie/różne-stowskie albo inne śmierdzące dane, udostępni i będzie afera.

Nie wystarczy aby to było tylko dla zarejestrowanych i np. mających X postów/łapek?

WeiXiao napisał(a):

Nie wystarczy aby to było tylko dla zarejestrowanych i np. mających X postów/łapek?

Pytanie czy to w ogóle będzie wtedy komukolwiek potrzebne, pastebinów, Gistów na które człowiek może sobie coś wrzucić itd jest pod dostatkiem :p

Więc może można to po prostu zaorać.

Propozycja usunięcia tego modułu kiedyś już padła. Może rzeczywiście, jest to dobry pomysł?

Powiem tak - na forum jestem niecałe 3 lata i przez ten czas nie kojarzę, żeby ten element przydał mi się, nie kojarzę także żadnego wątku, w którym ktoś z tego korzystał. Zresztą kilkadziesiąt czy nawet kilkaset linii można podać w treści posta, a większych projektów nie wrzuca się, tylko daje link do GH.

Murzyn zdaniem to może spokojnie zniknąć, żadnej straty nie będzie, za to zlikwidujemy jedno z miejsc, w którym może powstawać bałagan.

Ja jestem za. Sam praktycznie nie korzystam z forumowego pastebin (w ogóle bardzo rzadko korzystam z jakiegokolwiek, więc mogę być niereprezentatywny), nie widzę aby ktokolwiek korzystał - moja obserwacja jest taka, że jak już ktoś czuje potrzebę podzielenia się snippetem na 4 ekrany, to i tak z reguły ma w pompce że teraz post będzie tyle miał.

Jedyne co mi przychodzi do głowy jako plan ratunkowy dla Pastebin, to zablokowanie dodawania tam wpisów z partyzanta albo w ogóle, albo dla niezalogowanych / świeżo zarejestrowanych i jakaś opcja pozwalająca przenieść jakiś większy snippet z posta do pastebin i zostawienie linku w poście. Może nawet automagiczna.

Najlepiej by było gdyby nie pokazywało ostatnich postów żeby trzeba było znać URL - po co możliwość przeglądania ostatnich przypadkowych wklejek? do tego ID-ki w URLu musiałyby być generowane losowo, jak np na youtubie, żeby nie można było ich odgadnąć. Ogólnie nie wydaje się to dużą zmianą.

Ale tak naprawdę to strasznie przestarzały i bezsensowny moduł; przydałaby się opcja wykonywania kodu, jak na ideone, jsfiddle, stackblitz czy sqlfiddle. Do tego możliwość wstawienia takiej wklejki inline do forum jak na stackoverflow

@obscurity:

To wydaje się być bardzo dobrym pomysłem na forum... programistów :D to wykonywanie kodu z postu

obscurity napisał(a):

Najlepiej by było gdyby nie pokazywało ostatnich postów żeby trzeba było znać URL - po co możliwość przeglądania ostatnich przypadkowych wklejek

Jeszcze gorzej dla 4P. Cwaniaczek wkleja syf, rozsyła linka, zanim ktoś z modów się zorientuje jest afera

obscurity napisał(a):

Ale tak naprawdę to strasznie przestarzały i bezsensowny moduł; przydałaby się opcja wykonywania kodu, jak na ideone, jsfiddle, stackblitz czy sqlfiddle. Do tego możliwość wstawienia takiej wklejki inline do forum jak na stackoverflow

Fajny pomysł, ale boję się trochę, że obok problemów z RODO i dumpami dołożymy potencjał na RCE :p

Sam wielokrotnie zwracałem uwagę na to, że obecna forma naszego Pastebin nie jest dobra. Staram się raz na jakiś czas zaglądać tam i jak tylko widzę to usuwam wszystkie śmieci. Jednak to nie o to w tym chodzi.

Po pierwsze dlatego, że każdy (nawet gość) może wrzucać co chce i kiedy chce. Dzięki temu moduł ten obfituje w różnego rodzaju spamerskie linki, dumpy bazy, wulgaryzmy i inne śmieci. Po drugie, moduł ten jest tak bardzo ubogi, że jest mało przydatny. Nie mam tutaj na myśli wykonywania kodu i tego typu wodotrysków, a konkretne ustawienia wklejki, konkretna (pełna) lista wszystkich wklejek (paginacja), filtrowanie wklejek danego użytkownika (lista dostępna na stronie głównej użytkownika) i temu podobne funkcje, które w mojej opinii muszą istnieć.

Ostatnia sprawa – uważam, że istnienie tego modułu jest uzasadnione, więc lepiej by było go nie usuwać. Tym bardziej, że sam używam go, gdy na potrzeby wpisu na blogu potrzebuję podlinkować dłuższy fragment kodu, na którego nie ma miejsca w treści wpisu. Jeśli moduł ten wyparuje, to moje starsze wpisy będą odsyłać do limbo.

Tak więc zamiast orać, lepiej ustalić konkretne wymagania i rozszerzyć funkcjonalność tego modułu.