Już drugi kwietnia

8

Już drugi kwietnia, więc wypada wyjaśnić co było planowane a co nie do końca ;).

Działania @Demonical Monka
Zdecydowanie najbardziej spektakularne.
Tak, panel administracyjny to był pomysł & praca monka.

W prawym górnym rogu pojawiła się u wszystkich tajemnicza ikona Zarządzaj serwisem.
Niestety, dość mało osób wyraziło zainteresowanie zarządzaniem 4p (nie dziwię się, pewnie nic fajnego - trzeba Adama zapytać), więc zmieniliśmy najpierw na Panel administracyjny, później pogrubiliśmy żeby było wyraźniejsze, a jeszzce później dodaliśmy celowy błąd ze </span> żeby się rzucało w oczy.

No więc jakoś udało nam się zmusić ludzi do kliknięcia w ten tajny link. A co tam czekało? Każdy zostawał ADMINISTRATOREM.
01.png

Bycie adminem 4p to nie przelewki, niestety większość supermocy nie działała
02.png
(Wygląda na to że niestety nikt nie zainteresował się co w tym tajnym tokenie jest :( )

Okazuje się jednak że ostatnia zakładka jest znacznie ciekawsza niż reszta
03.png
(Przycisk dodaj nowe forum, przekierowujący do strony z błędem to już mój pomysł, nie chwaląc się ;) Co to by był za panel w którym tylko usuwać można, a jeśli można dodawać ale dodawanie nie działa to już nic dziwnego dla Coyote w końcu)

Jakiś panel, jakieś checkboxy, jakieś pola z nazwami działów. Ciekawe. A co jakby poarbuzować trochę?
04.png

Coś usuwamy, coś zmieniamy, klikamy zapisz i cieszymy się nowym wyglądem forum:
05.png
(Coś polskie znaki nie tak, Administratorze :] )

Ach, wyrzucić flame i kosz, zmienić PHP na WTF i od razu świat wydaje się piękniejszy.
W imieniu swoim i wszystkich (no, części) ludzi na forum wnioskuję o pozostawienie tego feature, poprawienie go tak żeby działał też na liście wszystkich postów i zintegrowanie z Coyote!

A, jeśli ktoś nie zauważył (mimo trzech zmiam) linku do panelu albo bał sie był odpowiedzialny i nie usunął nam działu moderatorzy, panel jest i jeszcze jakiś czas będzie tutaj:
http://4programmers.net/admin/index.php (wraz z dniem 11/04/2013 pozostałości po prima-aprilisowym kodzie zostały usunięte).

Ciekawostka - pierwotnie miało być symulowane włamanie, ale 1) trudno by się korzystało ze zdefacowanego forum i 2) jeszcze ktoś by to wziął na poważnie i by w świat poszło.

Ciekawostka 2 - wszystkie zmiany dokonywane w zakładce "Forum" fikcyjnego panelu administratora są widoczne tylko przez godzinę od ich zapisania.

Działania @MSMa
Też walczyłem z prawdomównością dzisiaj, chociaż na znacznie mniejszą skalę.

A konkretnie - wkręciłem naszego ulubionego speca od UFO, @maszynaza na zaległą listę moderatorów lokalnych: Lista nowych moderatorów lokalnych

Dodatkowo zmieniłem mu grupę pod nickiem żeby 'urealnić' sytuację. Prawa zgodnie z wszelkimi zasadami powinny się u niego nie zmienić, ale na 4p nigdy nie wiadomo ;) Link do jakiegoś posta maszynaza dla niewierzących.
Do jutra grupa zostaje, później cofnę na wszelki wypadek ;).

Niestety, jakiś brzydki anonim wypisywał nieładne teksty takie jak p-rima a-prilis albo 1 k-wietnia, stąd musiałem się tym zająć i zablokowałem możliwość wysyłania postów z taką zawartością na forum (stąd myślniki) ;).
Na razie ograniczenie zostaje (dla ciekawych), też jutro zniknie.

Oczywiście w pluginie na początku zapomniałem dodać <?php na początku pliku, przez co przyczyniłem się do pierwszego padu forum dzisiaj ;) (na szczęście, tylko 10 sekundowego bo udało mi się dość szybko plugin wyrzucić i poprawić ).
Cóż, production is 4 testing ;).

Działania @Reva
Pewnej nudnej nocy napisał skrypt układający kod base64 w kształt sowy "O RLY?", jako że base64 całkowicie ignoruje białe znaki. Owy skrypt zostanie wykorzystany w nowym projekcie do generowania rozpoznawalnych raportów o błędach (czyż nie? :>). Błędy generowane w fejkowym panelu admina tak naprawdę zawierały w 100% losowe dane.

Działania Serwera
Serwer też dzisiaj sobie niemało żartował, gdyż po dłuższym okresie bezproblemowego działania udało mu się dzisiaj trzy razy paść (i nie mówię o tamtej 10 sekundowej awarii). W razie czego wszystko zrzucamy tradycyjnie na @Demonical Monka albo @Adam Boducha ;).

Działania @deusa
Deus niestety nic nie zrobił, gdyż nie odzywa się od dłuższego czasu. Razem z resztą moderatorów martwimy się o jego zdrowie i życie :(.

To tyle, teraz pozostaje myśleć co zrobić za rok.

0
msm napisał(a):

To tyle, teraz pozostaje myśleć co zrobić za rok.

Iść na dłuuuuugi spacer, daleko od 4p :]

0

Ten sowi raport - genialne!
Co do panelu - wpisałem nazwę działu <script>alert('xss');</script> - i to niestety wywalało kod JS odpowiedzialny za podmiankę :(

0

Widziałem to wszystko od samego początku. A co do listy moderatorów, rozumiem że oprócz maszynaz to aktualna lista. Czy nie? Tak w ogóle, to czemu tu nie ma nigdzie linka z aktualną lista moderatorow/administratorów? To wbudowana funkcjonalność każdego chyba silnika forum.

0

No, pomysł interesujacy i świetnie zrealizowany (btw, afair w zeszłym roku Niebezpiecznik zrobił coś podobnego na swojej stronie) :D
Jestem ciekaw, co zrobicie za rok ;]

jeszzce później dodaliśmy celowy błąd ze </span> żeby się rzucało w oczy.

Coś w rodzaju ?/> Panel administratora byłoby wiarygodniejsze, imho ;)

0
msm napisał(a):

Błędy generowane w fejkowym panelu admina tak naprawdę zawierały w 100% losowe dane.

za to w "tokenie uprawnień" jest ukryty napis "cosiepaczysz" ;)

a ostrzeżenie o "date.timezone" było przypadkowe czy też celowe żeby umocnić wrażenie roztargnionych adminów? :P

0

a ostrzeżenie o "date.timezone" było przypadkowe czy też celowe żeby umocnić wrażenie roztargnionych adminów?

W konfiguracji produkcyjnej jest ustawione, żeby żaden szary user nie miał prawa zobaczyć wygenerowanych błędów PHP. Oczywiście to była podpucha dla ulepszenia efektu.

0

Sami uczciwi ludzie - ja przynajmniej koszem sie pobawiłem ;p
A jak po tym przestalo mi działać wysyłanie postów to przez chwile myślałem że na prawde coś się popsuło :D

4
0x200x20 napisał(a):

Sami uczciwi ludzie - ja przynajmniej koszem sie pobawiłem ;p
A jak po tym przestalo mi działać wysyłanie postów to przez chwile myślałem że na prawde coś się popsuło :D

Ja się nie pieprzyłem - pierwsze co zrobiłem to zaznaczyłem wszystko i "Usuń" :D
Ale jak naprawdę działy zniknęły to przez sekundę miałem zonka

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0