Если разрешить пользователям использовать тег IMG в комментах на сайте, то это открывает очень большую уязвимость!Оказывается, что фото можно вставлять с других сайтов, соответственно, некоторых пользователей взламывают, и на мой сайт в тег IMG загружали в комментарии всяческие скрипты, которые реально работали, если открыть в новости комментарии!Месяц назад под этим тегом мне загружали скрипты для зависания сайта, а вот 2 дня назад сразу в несколько последних новостей на сайте, загрузили под тегом IMG фишинговый скрипт!То есть, когда юзер заходил в новости, где был этот самый "коммент", то у него сразу же всплывало окно, где требовалось ввести логин и пароль, якобы для авторизации на сайте, но это был скрипт от фишингово сайта, который собирал базу логинов и паролей!Вот, на скриншоте я успел запечатлеть, как все это выглядит, если зайти в новость с таким вот комментом с тегом IMG:прошу исправить данный баг! помню, вроде в dle 2 года назад был такой же баг, когда в тег IMG загружали скрипты для взлома...сейчас временно отключил возможность для пользователей использовать этот тег IMG.
|