Изображение с неизвестного источника

[KISLOTNAYA]

Приветствую, ув. игроки! Столкнулся для меня с серьезной проблемой.

При копирование url изображение с хостинга скриншотера(отечественный скриншотер), начала появляться надпись - Изображение с неизвестного источника. Грузить на другие хостинги неудобно, ибо больше кликов. Ранее не засорял всю загрузку, а указывал url. Щас это выглядит примерно так

Изображение с неизвестного источника

Для чего вставлять такие ограничения на изображение, ибо вирус туда загрузить все равно нельзя. jpg, png не является исполняемым файлом, тем самым в него невозможно ничего всунуть. Хотелось бы попросить вернуть все, как было раньше!

 

[Петро]

ну они итак это фиксят

 

[Дядя Стёпа 🚔]

Я не помню, плагином подразумевается добавление источников, откуда можно по ссылке подгрузить фото или нет, но если да - смысл ограничение ставить..

 

[forum_user1]

@Volk

 

[1703-okami.exe]

потому что мы на форумы свои новый плагин зввезли, чтоюы пофиксить уязвимость

https://github.com/1Volk/XenforoSecureImg

дай ссылку на ресурс, откуда ты взял изображение. если оно норм, добавим

 

[1703-okami.exe]

ибо вирус туда загрузить все равно нельзя.

можно)
если ты не знал, то сайты видят твой айпи, и ваще много чего
поэтому если игрок интегрирует скрин из опасного источника, к примеру своего то эти данные окажутся в его руках

 

[forum_user1]

можно)
если ты не знал, то сайты видят твой айпи, и ваще много чего
поэтому если игрок интегрирует скрин из опасного источника, к примеру своего то эти данные окажутся в его руках

не знаю мы вчера с волком тестили айпилоггер обычный и сработало

 

[KISLOTNAYA]

можно)
если ты не знал, то сайты видят твой айпи, и ваще много чего
поэтому если игрок интегрирует скрин из опасного источника, к примеру своего то эти данные окажутся в его руках

Все статические файлы обрабатываются через ngnix, apache и.т.д... Я повторю свою мысль, вредоносную статику просто не посчитают, ибо она не имеет шаблонов, в которых как раз таки и можно вшить js скрипты и достать чо тебя интересует. ( я в курсах, что обычно айпишники как раз таки достают с веб-серверов, но эту статику как раз таки генерирует не человек через япшник какой-то бэкэндовый, а веб сервер) Про доставания с этой самой статики каких-то данный кроме ipv4 и новомодных ipv6 впервые слышу. Ибо они генерируются на уровне вебсервера, ранее мной упомянутым. Какие там конфигурации должны быть, дабы со статики айпи доставать, особенно когда она вшита на сторонний ресурс.

Если бы так работало, в чем проблема мне сейчас тебе скинуть в тот же самый телеграмм статический файл с инородным ресурсом(который якобы такобы может прочитать твой айпишник.) Ибо работать это должно по твоим словам точно так же. Ну или в другой любой мессенджер, ибо все они поддерживают статические файлы.

Да даже логически, если мы вставляем инородный ресурс. Я делаю допустим GET запрос к серверу гамбита, он же запрашивает у инородного ресурса линк на это изображение. То посредником становится, именно ип сервера гамбита. Да, кстати. У него тоже есть айпи и он лишь его скрывает с помощью придуманными умными дядьками DNS. Domain name system. Как оно получит мой айпи адрес, я уже молчу что покупка личного айпи довольно дорогое удовольствие с учетом, то что генерация такого типа данных может достигать всего 4 млрд. вариаций, что критично мало и они просто-напросто кончаются.

А так, делайте, как хотите. Мне лично без разницы. Я знаю, что прекрасно работает такие функции во всех мессенджерах.

Прекрасно от васька/ру принимают вк (наверное какой-то лист доступов аж васка . ру добавили)

В телеграмме тоже кстати айпишники оказывается через статические файлы собирать можно хддд

Написать нормальный шаблон под рикроллинг, дабы люди на левые ссылки не переходили, но можно было вставлять безобидную статику < заблокировать все ресурсы, дабы даже статику вставить нельзя было.

 

[KISLOTNAYA]

Раз костыли придумали, то хотя бы добавьте вот этот поддомен - https://d2.skrinshoter.ru/

 

[1703-okami.exe]

Все статические файлы обрабатываются через ngnix, apache и.т.д.

Верь в это.
плевать, что там обрабатывается и где, если есть способ с помощью изображений подтянуть IP и другие данные, это уже потенциальная уязвимость.

вредоносную статику просто не посчитают, ибо она не имеет шаблонов, в которых как раз таки и можно вшить js скрипты и достать чо тебя интересует

и что? зачем мне вообще JS, если достаточно просто загрузить картинку с удалённого сервера и посмотреть, кто её запрашивает?
так и работают IP-логгеры, тебе для information. браузер отправляет запрос к серверу, а серверу вообще срать, через какой веб-сервер его запросили - он просто логирует IP того, кто скачал файл.

Если бы так работало, в чем проблема мне сейчас тебе скинуть в тот же самый телеграмм статический файл с инородным ресурсом(который якобы такобы может прочитать твой айпишник.) Ибо работать это должно по твоим словам точно так же. Ну или в другой любой мессенджер, ибо все они поддерживают статические файлы.

в том, что телеграм сам проксирует изображения через свои сервера, и ты в логах увидишь не мой IP, а серверов Telegram.у нас на форуме так не работает(да и не должно)

Я делаю допустим GET запрос к серверу гамбита, он же запрашивает у инородного ресурса линк на это изображение. То посредником становится, именно ип сервера гамбита.

если изображение загружается браузером напрямую с внешнего хоста, то в логах будет IP того, кто его запросил, то есть юзера, а не сервера форума. именно чтобы этого не было, волк и сделал плагин, который скрывает такие картинки

Как оно получит мой айпи адрес, я уже молчу что покупка личного айпи довольно дорогое удовольствие с учетом, то что генерация такого типа данных может достигать всего 4 млрд. вариаций, что критично мало и они просто-напросто кончаются.

ты сейчас какую-то хуету несёшь, вот честно, либо я не понял что ты хотел сказать(я надеюсь на это). IP-адрес у тебя есть, он не покупается, он назначается провайдером, и если ты открываешь чужой контент напрямую, он светится в логах этого сервера.

в общем, я не знаю, что ты там хотел сказать, но технически ты несёшь ахинею.

Раз костыли придумали, то хотя бы добавьте вот этот поддомен - https://d2.skrinshoter.ru/

это не костыль, а вполне функциональная защита
домены внесём в вайтлист

 

[Volk]

Все статические файлы обрабатываются через ngnix, apache и.т.д... Я повторю свою мысль, вредоносную статику просто не посчитают, ибо она не имеет шаблонов, в которых как раз таки и можно вшить js скрипты и достать чо тебя интересует. ( я в курсах, что обычно айпишники как раз таки достают с веб-серверов, но эту статику как раз таки генерирует не человек через япшник какой-то бэкэндовый, а веб сервер) Про доставания с этой самой статики каких-то данный кроме ipv4 и новомодных ipv6 впервые слышу. Ибо они генерируются на уровне вебсервера, ранее мной упомянутым. Какие там конфигурации должны быть, дабы со статики айпи доставать, особенно когда она вшита на сторонний ресурс.

Если бы так работало, в чем проблема мне сейчас тебе скинуть в тот же самый телеграмм статический файл с инородным ресурсом(который якобы такобы может прочитать твой айпишник.) Ибо работать это должно по твоим словам точно так же. Ну или в другой любой мессенджер, ибо все они поддерживают статические файлы.

Да даже логически, если мы вставляем инородный ресурс. Я делаю допустим GET запрос к серверу гамбита, он же запрашивает у инородного ресурса линк на это изображение. То посредником становится, именно ип сервера гамбита. Да, кстати. У него тоже есть айпи и он лишь его скрывает с помощью придуманными умными дядьками DNS. Domain name system. Как оно получит мой айпи адрес, я уже молчу что покупка личного айпи довольно дорогое удовольствие с учетом, то что генерация такого типа данных может достигать всего 4 млрд. вариаций, что критично мало и они просто-напросто кончаются.

А так, делайте, как хотите. Мне лично без разницы. Я знаю, что прекрасно работает такие функции во всех мессенджерах.

Прекрасно от васька/ру принимают вк (наверное какой-то лист доступов аж васка . ру добавили)

В телеграмме тоже кстати айпишники оказывается через статические файлы собирать можно хддд

Написать нормальный шаблон под рикроллинг, дабы люди на левые ссылки не переходили, но можно было вставлять безобидную статику < заблокировать все ресурсы, дабы даже статику вставить нельзя было.

Дал пояснение в ВК. Ссылку добавлю.