Секьюрити-баг в движке Либрусека

Опубликовано вт, 10/06/2008 - 22:15 пользователем ground0

Описание: При выполнении некоторых условий движок позволяет узнать список книг, скачанных пользователем.
Опасность: низкая.

Цитата:

Наркомат просветления 1636K (книга прочитана 1 раз) (скачать rtf) (исправить)
...
Читатели, читавшие эту книгу, также читали:
- Персидский треугольник 946K (209) (читать) (скачать) - Максим Анатольевич Шахов
- Мощные полупроводниковые приборы: тиристоры 8321K (33) (скачать djvu) - В Я Замятин - Б. В. Кондратьев - В М Петухов
- Флибустьер (Флибустьер-1) 1123K (273) (читать) (скачать) - Михаил Ахманов
- Высшая раса (Высшая раса-1) 1210K (548) (читать) (скачать) - Дмитрий Казаков
- 500 ,завтраков для всей семьи 526K (292) (читать) (скачать) - Юлия Рычкова
- Тайский массаж 265K (147) (читать) (скачать) - СОЛ ДЭВИД РЭЙ
- Черный Стрелок 2 (Хакер-2) 570K (802) (читать) (скачать) - Александр Мазин
- Случай обратной связи 10K (31) (читать) (скачать) - Борис Иванов
- Последний присяжный 762K (44) (читать) (скачать) - Джон Гришем
- Ясень и яблоня, кн. 1: Ярость ночи (Корабль во фьорде-7) 713K (368) (читать) (скачать) - Елизавета Алексеевна Дворецкая
- Фантастика 811K (326) (читать) (скачать) - Борис Акунин
- О сущем и сущности 63K (36) (читать) (скачать) - Фома Аквинский
- Родник жемчужин: Персидско-таджикская классическая поэзия 1513K (103) (читать) (скачать) - Омар Хайям - Абульхасан Рудаки - Абулькасим Фирдоуси - Абунаср Асади - Фаридаддин Аттар
- Корпорация М.И.Ф. в действии (Мифология-9) 620K (227) (читать) (скачать) - Роберт Асприн
- Потрошители времени (Вокзал времени-3) 1396K (117) (читать) (скачать) - Роберт Асприн

Комментарии

Опубликовано ср, 11/06/2008 - 02:38 пользователем hagen

дык ненаписано конкретно каким пользователем

Опубликовано ср, 11/06/2008 - 02:54 пользователем ground0

Если знать, кто скачал книгу этот единственный раз, можно узнать, что он ещё качал.

Опубликовано ср, 11/06/2008 - 02:41 пользователем writer

а книжная полка не позволяет намного проще узнать кто и как оценивает книги?;)

Опубликовано ср, 11/06/2008 - 02:54 пользователем ground0

Оценки тут ни при чём. Речь только о скачке.

Опубликовано ср, 11/06/2008 - 06:45 пользователем hagen

ну и как это узнать? какая вообще разница, или может быть стыдно, за то что читал?

Опубликовано ср, 11/06/2008 - 07:52 пользователем ground0

hagen написал:
ну и как это узнать? какая вообще разница, или может быть стыдно, за то что читал?

Вариант: добавить новую книгу и тут же кинуть ссылку другому пользователю. В джаббер-аську.
Если немного повезёт, получишь результат.
Разница такая, что это раскрытие информации о пользователе, которую он может не хотеть раскрывать.

Опубликовано ср, 11/06/2008 - 08:26 пользователем Bullfear

Цитата:
Вариант: добавить новую книгу и тут же кинуть ссылку другому пользователю. В джаббер-аську.

Не это нереально. Точнее реально но оччень трудноджостижимо. В течение буквально 5 минут после заливки новой книги около 8 скачиваний. Впринципе я не думаю что стоит с этим "багом" сильно заморачиватся. Мало кого волнует что кто-то узнает первый десяток из скачанных им книжек. Книжная полка дает действительно намного больше информации.

Опубликовано ср, 11/06/2008 - 08:51 пользователем ground0

Bullfear написал:
Впринципе я не думаю что стоит с этим "багом" сильно заморачиватся. Мало кого волнует что кто-то узнает первый десяток из скачанных им книжек.

Не слишком серьёзный баг, согласен.

Опубликовано ср, 11/06/2008 - 10:03 пользователем Bullfear

Я думаю простейшим вариантом лечения было бы добавить в скрипт проверку условия. Если скачавших 5 или меньше, то статистику не выводить.

Опубликовано ср, 11/06/2008 - 16:46 пользователем Рыжий Тигра

Кстати, а действительно - какой смысл выводить "с этой книгой читали", если читали меньше сотни человек?

Опубликовано ср, 11/06/2008 - 18:14 пользователем nikol

Я вот не всегда помню, что сама скачивала, лучше бы было сделать, выделение цветом, чтобы не скачать повторно. А чужие списки это мало кому интересно, да и, что в этом страшего.
X