Serwis 4programmers umieszcza na serwerze treść, którą użytkownik samodzielnie wkleił do posta podczas jego tworzenia/edycji i nie usuwa jej automatycznie nawet w przypadku anulowania edycji

Zalecam upewnienie się przed skorzystaniem z forum, że w systemowym schowku nie macie żadnych informacji, których nie chcielibyście upublicznić.

Zdarza się, że czasami serwis 4programmers.net kopiuje na swój serwer zawartość schowka systemu Windows. Treść jest następnie publicznie dostępna w Internecie (na stronie 4programmers.net) i z tego co wiem, nie można jej łatwo usunąć.

Dzieje się tak, gdy podczas pisania posta wkleimy załącznik ze schowka. Załącznik jest od razu kopiowany na serwer i nie jest usuwany nawet po anulowaniu edycji lub usunięciu załącznika w edytorze posta.

W ten sposób w serwisie 4programmers.net znalazł się screenshot mojego pulpitu. Chciałem wkleić coś innego, ale coś poszło nie tak podczas Ctrl-C, a w schowku omyłkowo nadal znajdował się screenshot.

Screenshot jest publicznie dostępny (wystarczy znać link), mimo że anulowałem edycję posta i zgłosiłem na [email protected] (w treści podałem link), a minęły już prawie dwie doby.

edit: później dostałem jeszcze bana na tamto konto...

Wypadałoby usuwać załączniki które nigdy nie zostały pobrane ;)

No przecież napisałem, że usunięcie w edytorze (lub anulowanie edycji) nie pomaga - plik zostaje na serwerze i jest publicznie dostępny.

edit: naciskasz ctrl-v i dowiadujesz się co rzeczywiście było w schowku, gdy jest już za późno :-(

@pms_enable_synaptics:

Chodziło mi o jedną z możliwych implementacji czyszczenia tych screenshootów, która nie wymagałaby zmian w zapisie/edycji posta

po prostu trackować ile razy pobrano dany obrazek i usuwać te, które nie zostały nigdy pobrane (problem jedynie byłby ze starymi obrazkami)

ale to takie bardzo leniwe podejście, aby uniknąć przerabiania zapisu/edycji i bardziej hack :D

Albo niech w sumie gdzieś w https://4programmers.net/User/MyFiles niech będzie lista wszystkich załączników + remove button?

Implementacja to jedna kwestia.

Inną kwestią jest, że wysłałem maila na [email protected], dostałem potwierdzenie przeczytania tego maila, ale plik dalej sobie wisi, sprawdziłem przed chwilą.

A jeszcze inną kwestią jest to, że zgłosiłem potencjalny problem z bezpieczeństwem haseł w serwisie (klik) i wkrótce dostałem bana...

1a2b3c4d5e napisał(a):

Wypadałoby usuwać załączniki które nigdy nie zostały pobrane ;)

Raczej te, które nie zostały opublikowane przez użytkownika (anulowanie edycji lub usunięcie w edytorze).

Czy zostały pobrane, nie powinno mieć znaczenia.

Serwis w ogóle nie powinien pozwalać innym użytkownikom na pobieranie załączników przed zatwierdzeniem posta przez autora.

@pms_enable_synaptics

No tylko że chcesz jeszcze usunąć ileś tam lat wstecz takich obrazków które zostały zuploadowane oraz nigdy nie opublikowane :P

@1a2b3c4d5e: Można byłoby posprzątać stare pliki usuwając te, do których nie ma w serwisie referencji, ale obawiam się, że musiałby zająć się tym profesjonalny programista, a czytałem kod źródłowy Coyote (jest na GitHubie)...

No, ale czego ja oczekuję od serwisu, którego podstawowym wymogiem wobec haseł jest, aby miały co najmniej 3 znaki długości. XD

edit:

1. Bana dostałeś już dawno temu i każde kolejne konto będzie sukcesywnie banowane. Nie chcemy cię tu, tak trudno to zrozumieć?
2. O jejku, nikt nie odpowiedział po 2 dniach w czasie Wielkanocy? xD to pewnie łamie SLA za które zapłaciłeś... A nie, czekaj...
3. Wstawiłbym link do twojego githuba żebyśmy wszyscy mogli się pośmiać z tego jak wygląda kod "prawdziwego programisty" ale zaraz będzie płacz że to jakiś wyciek danych osobowych...
4. Pomyśl o ile łatwiejsze byłoby twoje życie jakbyś wreszcie przestał tu wchodzić. Żegnałeś się już kilka razy, nikt cię tu chce, więc po co wracasz? Przestań wchodzić, nie będzie problemu z kolejnymi proxy i przeglądarkami żeby ominąć bana, nie będzie problemu z wykradaniem tajnych informacji ze schowka, nie będzie problemu z krótkimi hasłami. Same plusy!

@Shalom: jesteś trochę nieuprzejmy, na dodatek w święta . nie osniosles się też do meritum.

Spokojnie, pliki są w głębokim ukryciu.

Można by pomyśleć o tym, aby usuwać załączniki w poście, co do których nie ma żadnych linków w tym samym poście. Gorzej przy "anuluj", bo to w zasadzie nic nie robi teraz, a tak by potencjalnie musiało robić coś dodatkowego.

Aczkolwiek jestem w stanie sobie wyobrazić kogoś, kto wrzuca załączniki, a potem się do nich odwołuje tylko w innych postach i to mu zrujnuje workflow.

Czyli wkleiłeś sam załącznik na stronie, i masz problem że został zapisany? :)

Nie wiem do kogo możesz mieć żal, chyba tylko do siebie za nieuwagę.

pms_enable_synaptics napisał(a):

Zalecam upewnienie się przed skorzystaniem z forum, że w systemowym schowku nie macie żadnych informacji, których nie chcielibyście upublicznić.

Ale wiesz że we wszystkich przeglądarkach strony nie mają dostępu do schowka, chyba że w zdarzeniu onPaste które jest wołane tylko jak sam coś wkleisz? :> :>

Ktos napisał(a):

Można by pomyśleć o tym, aby usuwać załączniki w poście, co do których nie ma żadnych linków w tym samym poście. Gorzej przy "anuluj", bo to w zasadzie nic nie robi teraz, a tak by potencjalnie musiało robić coś dodatkowego.

Aczkolwiek jestem w stanie sobie wyobrazić kogoś, kto wrzuca załączniki, a potem się do nich odwołuje tylko w innych postach i to mu zrujnuje workflow.

Ale przecież nie mamy takiego problemu. Nikomu nie przeszkadza to że załączniki są zapamiętywane.

Autorowi watku chodzi o to że chciałby usunąć załącznik który wrzucił, bo według niego narusza jakieś tam jego prawa (moim zdaniem nie, bo sam wrzucił ten załącznik). Także jak bym w żadne automatyczne usuwanie załączników nie szedł.

Nope.

Chodzi o to, że 4programmers przechowuje i upublicznia załącznik, którego nie wysłałem.

@TomRiddle:

z drugiej strony pytanie ile jest taki załączników które wiszą i nie są opublikowane

co po prostu zajmuje miejsce na serwerze :P

Jeżeli 4p przechowuje gdzieś nieopublikowane zdjęcia i co gorsza są one gdzieś w jakiś sposób dostępne, ale niemożliwe do usunięcia to jest to pełnoprawny błąd w moich oczach.

Ale mam jeszcze dwa pytania pomocnicze.

Serwis 4programmers kopiuje zawartość schowka na serwer

Dzieje się tak, gdy podczas pisania posta wkleimy załącznik ze schowka.

No to 4p kopiuje, czy to jednak my sami wklejamy?

Jesteś też tym samym typem co fejkował screenshoty w paincie chcąc napuścić użytkowników na moderacje? https://4programmers.net/Forum/Spolecznosc/Pere%C5%82ki/358186-cala_prawda_o_moderacji_4programmersnet_w_jednym_miejscu?page=1

@several: No automatycznie kopiuje na serwer jak wkleimy do pola edycyjnego w przeglądarce. Bez pytania o użytkownika zgodę i bez możliwości cofnięcia tej operacji przez użytkownika (chyba że się mylę).

Sęk w tym, że użytkownik o tym, co się stało dowiaduje się, gdy jest już za późno, a plik zostaje na serwerze i jest publicznie dostępny nawet po "usunięciu" załącznika przyciskiem (X) na podglądzie, anulowaniu edycji posta, itd.

Wystarczy zamiast Ctrl-C podczas kopiowania do schowka przypadkowo nacisnąć klawisz obok i po wykonaniu Ctrl-V na serwer trafia poprzednia zawartość schowka, której nie chcelibyśmy tam zamieścić. Nie jest to w żaden sposób sygnalizowane użytkownikowi, który o pomyłce dowiaduje się po fakcie, gdy nie można już usunąć pliku.

edit: ja nie fejkowałem żadnych postów. Niejeden z moderatorów tak się zafiksował w swojej podejrzliwości, że widzi mnie tam, gdzie mnie nie ma. A wcześniej posądzali mnie o nielegalną próbę sprzedaży danych osobowych z rzekomego wycieku z systemu operatora telekomunikacyjnego, o groźby bezprawne, o to że realizuję jakąś swoją vendettę. Generalnie było dużo tych zarzutów pod moim adresem, i niestety, gdy próbowałem sprostować te zarzuty, spotykałem się głównie z niewrażliwością na jakąkolwiek argumentację.

No automatycznie kopiuje na serwer jak wkleimy do pola edycyjnego w przeglądarce.

W takim razie skoro 4programmers kopiuje ze swojego formularza do którego użytkownik sam wkleił zdjęcie a nie bezpośrednio ze schowka to tytuł wątku jest błędny i należałoby go poprawić. Podobnie jak zarzut z pierwszego akapitu tytułowego wpisu. Tym nie mniej jeśli, takie zasoby są udostępniane i użytkownik nie dość, że o tym nie wie to jeszcze nic nie może na to poradzić to jest to problem, który trzeba by rozwiązać.

Wspaniały to jest wątek, nie zapomnę go nigdy. Fajnie by było go posprzątać, żeby zostawić samo mięso, ale to może być niezłe wyzwanie. @pms_enable_synaptics pamiętam chyba inne Twoje multi konta, w Twoich oczach 4p to miejsce gdzie hejt to standard a mimo to wracasz i w kółko przepychasz się z moderacją. Po co Ci to? Nie potrzebujesz żadnej walidacji z naszej strony jak i my nie jesteśmy Ci nic takiego winni. Odpuść sobie ten niszowy serwis, zarób dużo pieniędzy i bądź szczęśliwy. Jeśli natomiast chcesz być częścią tej albo innej społeczności, to obrażanie jej i wykrzykiwanie, że masz większego nie jest odpowiednią drogą by to osiągnąć.

Ja tu tylko zostawię: Jak krytykować z pożytkiem dla rozwoju projektu Coyote

Wyobraźcie sobie że ten wątek wygląda tak:

Pisząc dziś posta i umieszczając w nim obrazek przez wklejenie go (ctrl+v) ze schowka zauważyłem, że miałem skopiowany inny obrazek niż chciałem. 
Kliknąłem na ikonkę X w celu usunięcia błędnego załącznika, ale zauważyłem, że plik nadal dostępny jest na serwerze.
Dzieje się tak nawet jeśli w ogóle nie opublikujemy danego posta a także kiedy post zostanie usunięty.
Można by ulepszyć tą świetną funkcjonalność systemu i umożliwić usuwanie błędnie dodanego załącznika. 
Możliwe rozwiązania które przychodzą mi głowy:

1. Załączniki mogłyby być uploadowane dopiero w trakcie wysyłania posta, a nie od razu po wklejeniu (możliwe że to wymaga zmiany w funkcji "podgląd")
2. Kliknięcie na X przy załączniku, przed dodaniem posta, mogłoby usuwać ten załącznik.
3. Usunięcie danego posta mogłoby usuwać wszystkie powiązane z nim załączniki
4. Użytkownik w profilu mógłby mieć dostęp do listy swoich załączników i mógłby je w tym miejscu usuwać

Ale nie, zamiast tego mamy jakieś półprawdy o "wykradaniu informacji ze schowka", żale że w Wielkanoc ktoś nie odpowiedział na maila i jeszcze jakieś chamskie odzywki z serii musiałby zająć się tym profesjonalny programista, a czytałem kod źródłowy Coyote.

@Shalom:

Nawet mnie nie dziwi, że "chamskie odzywki" zarzuca mi ktoś, kto sam wypowiada się w ten sposób (chociaż być może dowiemy się, że to screenshot narysowany Paincie):

@several: Odpowiadam w poście, bo w komentarzu nie da się wkleić obrazka:

No ja nie jestem chamski, a jedynie realizuję swoją wolność słowa zgodnie z zasadami panującymi na forum:

Dodam, że za zgłoszenie m.in. wpisu na powyższym obrazku dostałem bana xD

No ja nie jestem chamski

No czyli wychodzi na to, że jesteś skoro realizujesz swoją wolność słowa przez hejt? Hejt i chamstwo pozostaje hejtem i chamstwem niezależnie czy właśnie w ten sposób postanowiłeś się realizować czy nie. Nie oznacza to też, że hejt i chamstwo muszą być Mój wpis w kontekście tamtej dyskusji traktował o subiektywności odbierania informacji, które przez każdego w każdym momencie można zaklasyfikować jako hejt mimo, że tym nie jest.

Ty natomiast wykręciłeś sobie to zdanie w swojej głowie i odebrałeś to jako zachęta do hejtu i jeszcze teraz z jakiegoś powodu uznajesz jako zasadę tego forum. Wtf? Nie interesuje Cię w ogóle co ludzie mają Ci do przekazania nawet jeśli robią to w dobrej wierze, co sam zrobiłem w poprzednim poście. Fakt, że trzymasz cały czas te screenshoty i manipujesz informacjami w taki sposób świadczy, że jesteś wyjątkowo zawistną osobą. Wydaje mi się, że lepiej odnajdziesz się na twiterze niż tutaj.

several napisał(a):

No ja nie jestem chamski

No czyli wychodzi na to, że jesteś skoro realizujesz swoją wolność słowa przez hejt? Hejt i chamstwo pozostaje hejtem i chamstwem niezależnie czy właśnie w ten sposób postanowiłeś się realizować czy nie. Mój wpis w kontekście tamtej dyskusji traktował o subiektywności odbierania informacji, które przez każdego w każdym momencie można zaklasyfikować jako hejt mimo, że tym nie jest.

Jako chamstwo też, mimo że nim nie jest.

Ty natomiast wykręciłeś sobie to zdanie w swojej głowie i odebrałeś to jako zachęta do hejtu. Nie interesuje Cię w ogóle co ludzie mają Ci do przekazania nawet jeśli robią to w dobrej wierze, co sam zrobiłem w poprzednim poście. Fakt, że trzymasz cały czas te screenshoty i manipujesz informacjami w taki sposób świadczy, że jesteś wyjątkowo zawistną osobą. Wydaje mi się, że lepiej odnajdziesz się na twiterze niż tutaj.

Nope. Ja również działałem w dobrej wierze. Bo czym jest sugestia zatrudnienia profesjonalnego programisty, aby dobrze zaimplementował obsługę załączników?

edit: i nie przekręcaj swoich własnych wypowiedzi, bo napisałeś, że hejt "absolutnie jest" wolnością słowa :-P

i nie przekręcaj swoich własnych wypowiedzi, bo napisałeś, że hejt "absolutnie jest" wolnością słowa

Nie przekręcam, cały czas tak samo uważam. Tylko, że to prawo nie czyni hejtu czymś innym niż jest - hejtem. Nie odbiera mi to tez prawa do ignorowania Twojej osoby.

Tak jak napisałem, nic nie dociera. Dobrze, że nie jestem modem i nie muszę się z Tobą przepychać. Jak stworzysz kolejne multikonta wyślij mi PM, żebym tamte również mógł zablokować.

Cześć Panie Napletus, kopę lat :] Które to już multikonto?

Zrobiłem test, zgłaszający ma rację, załącznik zostaje mimo usunięcia z postu.
Zamiast tyle dyskutować przyjęlibyście po prostu zgłoszenie (skoro gość ma rację).
Tak samo z tymi trzema znakami w rejestracji.

Trochę to wygląda jakby 4p było jakimś honeypotem czy innym lepem na ludzi którzy nie mają na codzień do czynienia z bezpieczeństwem.

@vpiotr: Honeypota bym się tu nie doszukiwał.

Przejrzałem sobie repo Coyote i zrobił on na mnie wrażenie tworzonego tak trochę chałupniczo, bez planu.

I nie zrozumcie mnie źle, że niby trolluję. Po prostu takie jest moje subiektywne wrażenie.

edit: poniższy topic to też nie trolling, tylko zgłoszenie realnego (ale nie krytycznego) problemu z przekazywaniem haseł:

Bezpieczeństwo haseł podczas przekazywania do backendu lub przez API - potencjalny problem

vpiotr napisał(a):

Zrobiłem test, zgłaszający ma rację, załącznik zostaje mimo usunięcia z postu.

Ten bug już był zgłaszany dwa lata temu — Załączniki dostępne po usunięciu.

Przejrzałem sobie repo Coyote i zrobił on na mnie wrażenie tworzonego tak trochę chałupniczo, bez planu.

I nie jest to nic szokującego.

Za 99% kodu odpowiada jeden człowiek, który pracuje gdzieś indziej, a projekt coyote robi hobbystycznie i praktycznie charytatywnie, w swoim wolnym czasie, po godzinach.

Mam fajny pomysł: Adam to fajny koleś, który chętnie przyjmie pomoc. Zresztą - jak sam piszesz - coyote jest OSS, więc możesz we własnym zakresie zrobić jakąś poprawkę (na przykład naprawić kwestię tych zostających załączników) i zgłosić ją Adamowi do przejrzenia i potem wdrożenia na produkcję.

Tak samo odnośnie braku planu - jeśli zamiast krytykować byś napisał co i jak warto poprawić to na pewno nikt się nie obrazi, raczej reakcją będzie wdzięczność i być może twoje uwagi zostaną uwzględnione.

Rozmawiałem dwa lata temu o tym "ficzerze" z Adamem na PW i z tego co pamiętam, obrazki po prostu w cache lądowały. Dlatego były jeszcze przez pewien czas dostępne, a mniej więcej po kilku dniach były usuwane z pamięci podręcznej. I dlatego nie zauważyłem tego i dziś kilka moich wpisów na mikroblogach zawiera adresy do nieistniejących zasobów (brak galerii obrazów i nieprawidłowe linki).

Wątpię, aby było się czym przejmować, skoro usuniętego z załączników obrazu nie da się nijak wyszukać, a jego adres ma tylko sam autor posta oraz administracja (ale tylko wtedy, gdy autor usunął załącznik po opublikowaniu posta, czyli podczas edycji posta).