загрузка картинок на форум с других сайтов

[Федос]

в теме "подай голос" VG2 разместил картинку с другого сайта. Дальше у нас состоялся такой разговор:

прикольный у картинки адрес - _http://h-80.h1.hostworks.com.ru/...

я даже загружать не стал. А что там? вирь? ваша пага?

чото никто не восторге

Мания преследования

Надо было антивирус натравить на расширение jpg:)

А скачивать и не нужно, нужно в браузере включить отображение рисунков и паги полезут на винт уничтожая все на своём пути.

Можно сделать страничку, например, picture.php и переименовать ее в .jpg, а сервер настроить на обработку .jpg с помощью пхп. И при попытке загрузить эту «картинку» запустится скрипт, который, прежде чем выдать картинку, может просканировать порты, кидануть трояна...

Желающие убедиться могут почитать, как это делается.

К тому же трафик уже внешний получается

Не хочется загружать неизвестно что неизвестно откуда, поэтому отображение рисунков у меня выключено. Так что теперь я сначала смотрю адрес, а потом думаю — известный ли это ресурс, которому можно доверять, или какой-нибудь jino-net.from.com.ru.ucoz

так я картинку вставил в BB- код форума. Там и так защита стоит мощная, никаких скриптов не вставишь. Так что твои опасения напрасны.

Уважаемые веб-программисты, очень хочется услышать мнения сведущих людей по этой проблеме.

[mr.Faster]

а что ты хотел услышать?

апач можно настроить на отдачу jpg как php

но в темплейте форума код исполняться не будет

[Федос]

Вы меня не поняли код php не загружается на форум он обрабатывается сервером, на котором расположен.

Запрос на загрузку «псевдокартинки» идет не с форума, а с браузера пользователя — запрос, заметьте, не на астрахань.ру, а на какой-то фром.ком.ру.нет.укоз (условно говоря). Там пхп берет этот файл picture.jpg (который на самом деле является не картинкой, а кодом пхп) и выполняет его. А записано в нем может быть что угодно — сканирование портов, заливка трояна и т.п., и лишь затем отдается картинка.

[mr.Faster]

возможно

надо попробовать

[Федос]

Ну как? Удалось?

 

А кроме mr.Faster-а никто не в курсах?

[Marik]

Федос

Насколько мне известно, все современные версии браузеров закрыли дыры связанные с подменой изображения на html код в теге img, и ни один обновленный браузер не должен воспринимать и обрабатывать данные полученные от сервера как html, если запрашивалось изображение, вне зависимости от того где размещен тег img - на форуме или на любой другой странице.

[Ksanatos]

Насколько мне известно, все современные версии браузеров закрыли дыры связанные с подменой изображения на html код в теге img

Насколько я знаю - в IE такая заплатка появилась только в седьмой версии. А значительная часть пользователей по прежнему продолжает пользоваться версиями постарше)

[jimvernel]

ну вы даете! попробуйте www.picamatic.com - это реально проще, понятнее и быстрее, если надо картинку в ответ вставить... и кстати, там рекламы нет вообще, в отличие от других сайтов

[Dimradio]

ну вы даете! попробуйте www.picamatic.com - это реально проще, понятнее и быстрее, если надо картинку в ответ вставить... и кстати, там рекламы нет вообще, в отличие от других сайтов

 

Попробовал, вот результат: http://www.picamatic.com/view/5094_noaa-15...vct-precip.jpg/

Хорошая штука.

 

Интересно как этот сервис меня идентифицирует, по IP штоль? Если так то Как можно посмотреть свои картинки с

другого компа?

Может ли ещё кто то видеть мои картинки если я небуду давать на них ссылки?

[hokeist]

По-моему суть темы уже потеряна. На php можно написать скрипт, который выпонял бы любые действия, например, считывал ваш ip или сведения о системе, а после отдавал бы картинку. Например на эту картинку можно вывести ваш ip, посмотрите на форуме xakep.ru. От этого ни как не защитишься, если конечно не пользуетесь проксей или анонимайзером.

[VG2]

hokeist образумь несведущих: как коррелирует IP, картинка в инете и безопасность моего компа.

[hokeist]

:-))) Объясняю корреляцию. Ты грузишь якобы картинку с какого-то сайта, к примеру www.lamer.com/bla-bla.jpg, а на самом деле это скриптик, который выполняется тем же серваком, скриптик считывает ip или еще чего, а броузеру отдает в заголовке content-type тип jpeg , а затем саму картинку.

[VG2]

IP для чего скрипту???

 

А менять скриптовые расширения php (или чо иное) на jpg умели ещё в конце 90-х. Только браузеры уже эту хню не воспринимают. Если только нет уников смотрящих в инет через IE 3.0

[hokeist]

IP я привел в качестве примера. А причем здесь расширения файла, это уже твой косяк, я тебе совсем про другое пытаюсь сказать :-)

[VG2]

А причем здесь расширения файла, это уже твой косяк

к примеру www.lamer.com/bla-bla.jpg, а на самом деле это скриптик

я про то и говорил. короч, у нас синтаксис один, но языки разные