~AreEnn
~R4SAS
~orignal
~villain
&N00B
+Xeha
+relaybot
DUHOVKIN
Guest29533
HackerMan
Most2
Nausicaa
Ruskoye_911
Vort
`
acetone_
anon3
b3t4f4c3
fidoid
flumental
nemiga
not_bob_afk
plap
poriori
profetikla
segfault
soos
teeth
tensor
un
weko_
whothefuckami
Vort
невезучая что-то поддержка HTTP: github.com/PurpleI2P/i2pd/issues/1976
orignal
я просто не понимаю о чем там речь
orignal
это адресхелпер вроде вообще мамбетов изначально делал
orignal
что там чинить вообще надо?
Vort
ну чтобы теги фильтровались
orignal
проверять что addressheloper это адрес а не что попало или что?
Vort
ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3
Vort
ну да
orignal
то есть мы смотрим что занечение addresshelper это адрес в base64 а не хуйня всякая
orignal
ну это я могу сделать
Vort
ага
orignal
неужели этого до сих пор не делается? ))
orignal
я же не могу за всем уследить
weko
Да никто не может
weko
Потому письменность и нужна)))
orignal
все таки я так и не понял в чем суть проблемы то
`
Мало тестофф
`
Милорд
Vort
orignal: о какой сути речь? чем опасен XSS?
orignal
вот этого
orignal
что у него в итоге сделалось плохого я не понял
Vort
ну это надо теорию читать про XSS. к примеру, всю статью Википедии. Или просто добавить валидацию да и всё
Vort
у него ничего не сделалось, он просто нашёл XSS
Vort
считается, что это опасно
orignal
так вот о том и речь
orignal
ничего же не слуится
Vort
из статьи Википедии :) "Долгое время программисты не уделяли им должного внимания, считая их неопасными"
Vort
говорю же - проще починить, чем разбираться в степени риска
orignal
так а что именно чинить?
orignal
ну кокнренто написана в addresshelper какая то хуйня
Vort
чтобы html теги не включались в состав страницы
Vort
error: хуйня
Vort
если хуйню и цитировать, то обрезав все теги. точнее, заэкранировав
Vort
короч js переданный через addresshelper не должен идти на выполнение в браузере юзера
orignal
ты че предалаешь содержимое страниц фильтровать?
orignal
а как он может пойти на выполнение объсни мне толко
orignal
ну линк ну кто то нажал на него пришел на прокси GET запрос
orignal
и че?
Vort
нет, фильтровать страницы не надо. но когда открывается внутренняя страница интерфейса, то она не должна выполнять лишнего
Vort
у меня же выключен HTTP. сейчас попробую запустить новый узел, заодно проверю его отчёт
orignal
я опять не понимаю кто что выполняет?
orignal
то есть что тут может сделать прокси
Vort
как воспроизведу, скажу подробности
orignal
я вчера код смотрел не увидел в чем может быть проблема
Vort
да уж. у меня вообще креш идёт из-за этого прокси. буду другой бинарник пробовать
Vort
в общем, это мне надолго копаться. как докопаюсь - скажу. хоть бы не пришлось креш первым чинить
orignal
если крэш то починю
orignal
это уже конкретика))
Vort
креш идёт через asio. не нравится мне это. пересоберу сейчас чистую версию, может это я что-то поломал
Vort
ну это креш условный. это assert рантайма. что-то с памятью не то - используется удалённый объект или что-то в этом роде
Vort
если после пересборки повторится - выложу стек
Vort
так что интересно - Firefox сам лез к этому прокси зачем-то и сразу же креш мне давал
Vort
я поначалу вообще не понял, что происходит
segfault
если собрать без ассертов, но с санитайзерами?
Vort
по-моему в моей версии студии нету санитайзеров. ну или этот ассерт им соответствует
Vort
ну да не важно
Vort
и XSS вылез и креш :))
Vort
вот стек. только сразу скажу, я нифига не понял
Vort
на то он и boost, чтобы быть нифига не понятным )
orignal
std::shared_ptr<i2p::proxy::HTTPReqHandler>
orignal
вот тут проблема
orignal
надо разьираться в коде то
orignal
м
Vort
orignal: XSS лезет отсюда: github.com/PurpleI2P/i2pd/blob/d04b19d77ce03a973f4e83668fa3e79be574bcdb/libi2pd_client/HTTPProxy.cpp#L373
Vort
вот эти %s%s%s видать
orignal
а все понятно
orignal
код мамбетова
orignal
это я починю
Vort
ок
`
Шо, апят, DNS вышол боком?
Vort
да тут весь HTTP прокси такой
Vort
никто с ассертами не гоняет узел что ли? тут или 100% воспроизводимость или около того
Vort
и ничего особенного делать не надо - просто воспользоваться прокси
orignal
так проси через жопу тоже сделан
orignal
никто