[Løst] Anonymfunksjonen har ALVORLIG bug - Ekstremt sensitivt - ASAP

[G]

 

18. juni 2014, skulle i teorien ha vært anonymisert fullt ut for lenge siden. Så jeg ser samme dilemma som dere. Men, det er en bug et sted. Lover dere det.

Feilen er i så fall ikke på vår side. Det finnes ingen kobling mellom det anonymiserte innlegget og en reell bruker. Jeg gjentar: I databasen finnes det ingen kobling mellom innlegget du henviste til og en reell, ikke-anonym bruker. Verken postid-en eller hashen er fortsatt lagret.

 

 

 

Jeg trodde ikke heller det. Jeg synes denne diskusjonen har vært nyttig. Det oppklarer kanskje dette Quote-flyten hos meg svært så bra.

 

Håper jeg ikke satt midt-på-dagen kaffen i vrangstrupen til flere Admins og Moderatorer. Det var velment, og en ordentlig øvelse. Ha en fin dag videre da. No hard feelings.

[G]

 

Det er jo veldig lett å lage et falsk sitat. Kanskje Google Chrome krøller litt med copy paste?

G har aldri skrevet dette sitatet. Det er bare en demonstrasjon.

 

 

 

Riktig. Det er bra observert. For jeg har fortalt i førsteinnlegg at jeg måtte gjøre dette i og med at jeg i mellomtiden hadde tømt vekk den reelle informasjonen fra Utklippstavlen i Windows. Men, så ble jeg jo nødt å designe den, slik som du gjorde med innlegget skrevet "i min penn".

 

Jeg hadde til hensikt å klippe og lime informasjonen. Så det var litt synd jeg ikke fikk fisket ut den reelle informasjone, men at jeg måtte redesigne noe som så sånn noenlunde likt ut for øyet.

 

Å rapportere feilen inn til forumadministrasjon var viktigere for meg, enn å gjøre ferdig det der FF-relaterte besvarelsen jeg hadde til hensikt i starten å gjøre.

 

Beklager at jeg har kavet fælt med teksten i denne tråden, nok til at førstepost ble utydelig for noen. F.eks. Emancipate (Tåkelur).

 

Jeg tar dette med knusende ro fra nå av.

 

Nå vet jeg med sikkerhet at PC'en min er moden snart for et skifte. Det kommer når 4-kjerners budsjettutgaven av Skylake for desktopbruk står klar. ER villig til å gi en kr 1000,- til kr 1500,- mer for en CPU, enn hva jeg normalt ville gjort. Bare for å få den så snart som mulig.

 

Forventet bytte skjer på høst/vinter, eller om det lakker og lir på, så blir det starten av 2016.

 

Det skal bli fint å kunne ha litt mer "pupp" i maskineriet.

Endret 17. januar 2015 av G

[G]

Kjedelig om dette kun er Google Chrome sitt problem.

 

Har jo Firefox, men surfer helst PORNO med den. Ja, porno

Der er det påslått NoScript. Som jeg åpner stegvis på pornosidene. Samt jeg har Malwarebytes Anti-Malware (Premium), som passer på alt fra lus og lort på sånne sider.

 

Ny maskin blir det åkke-som helst før et år har gått.

 

Skylake

Endret 17. januar 2015 av G

[Emancipate]

Jeg tror nok dette var en feil i Chrome eller editoren, ikke din prosessor. Neppe din feil, i hvert fall.

[TSP]

Jeg kjenner den nåværende PHP-koden bak anonymfunksjonen bedre enn noen annen. Er det noe som er viktig for meg, så er det at funksjonen skal være så sikker som mulig.

 

Det kan virke som om situasjonen har blitt avklart og trådstarter har fått ro i sinnet sitt, men bare for å presisere:

• Den eneste lagrede informasjonen (i dette tilfellet) som teoretisk sett kan avsløre hvem det er, er "hash"-koden som er ment å bidra til å skille de anonyme bidragene fra hverandre.
  
• Det er ingen annen informasjon i innleggstabellen for det aktuelle innlegget som kan si noe om hvem det er. Her kan dere se det jeg får ut av databasen, jeg har ikke endret på noe:
  

  *************************** 1. row ***************************
               pid: 21748661
       append_edit: 0
         edit_time: NULL
         author_id: 226106
       author_name: AnonymDiskusjon
           use_sig: 1
           use_emo: 1
        ip_address: 000.000.000.000
         post_date: 1403056019
           icon_id: NULL
              post: <p>Er i samme båt som deg, TS! Er også jente og har i det siste hatt lyst på en FF egentlig.. Men hvordan går man fram, liksom? Synes å signe opp på Cupido.no eller noe annet er litt harry. Var ute å jogget i går på en sti, tok en liten pause og gikk inn til et lite restestopp område i skogen hvor jeg møtte på en gutt som gikk tur med hunden sin, og så plutselig for meg hvordan vi bare hev oss over hverandre og skiltes etterpå uten å engang vite den andres navn. Drømmer om at noe sånt noe kan skje engang, men er så altfor pyse til å gjøre noe med det!</p>
  <br><br> [i]Anonymous poster hash:  [acronym="Full hash:  71b907b68cc9ebcd87fa3234c8fa5865"] 71b90...865 [/acronym] [/i]
            queued: 0
          topic_id: 1598416
        post_title: NULL
         new_topic: 0
         edit_name: NULL
          post_key: 53da3b8ce07983ce395c323a9f31d75b
    post_htmlstate: 0
  post_edit_reason: 
    post_bwoptions: 0
      pdelete_time: 0
    post_field_int: 0
     post_field_t1: NULL
     post_field_t2: NULL
  1 row in set (0.00 sec)
  
  

• Jeg kunne hentet ut databaseraden til et anonymt innlegg som nettopp ble skrevet, uten at det ville gitt noe mer informasjon heller. Jeg passer på at det aldri skal lagres en kopling til opprinnelig forfatter i innleggstabellen. Det innebærer for stor risiko mtp. all koden som bruker tabellen.
  

• Den direkte koplingen mellom hvem som skrev et anonymt innlegg og innlegget, lagres i en egen databasetabell. Den tabellen er det kun min kode som kommuniserer med.
  

• Anonymfunksjonen brukes på flere andre fora. Blant annet to andre av de største diskusjonsforaene her i Norge, uten store problemer. På forumet til Kvinneguiden f.eks, så er over 2 millioner(!) innlegg skrevet med funksjonen. Det er over 80 ganger flere enn på Diskusjon.no.
  
  Alle tilfeller (som ikke er mange) hvor noen har trodd at de har vært i stand til å se hvem som skrev et innlegg, på grunn av en svakhet i anonymiseringskoden, har blitt sjekket opp i, testet og avklart. Jeg har aldri sett behov for å endre koden basert på et slikt tips.
  

• På Diskusjon.no er det kun administratorer som kan undersøke hvem som skrev et anonymt innlegg. Dette gjøres ved hjelp av den egne tabellen som jeg nevnte ovenfor.
  

• På Diskusjon.no fjernes koplingen en uke etter at innlegget ble skrevet. Slik at ikke en gang administratorer kan sjekke.
  

• Årsaken til at du fikk opp et navn på siteringsboksen i nettleseren din, må i dette tilfellet skyldes en helt annen feil. Enten at en eller annen forumkode har blitt forvirret på grunn av mengden siteringer som har blitt gjort eller fordi det skjedde noe rart når du kopierte innlegget. Nettleseren din er i hvertfall ikke i stand til å hente ut noe mer informasjon enn det som blir sendt til den, og det er ingen referanser til opprinnelig forfatter i kildekoden som blir returnert når man viser innlegget noe sted eller siterer det.

[G]

Takk for oppmerksomheten dette fikk. Jeg føler ikke at jeg ropte mer ulv enn nødvendig, og vi kom raskt til bunns i at det var krøll på min programvarekjøring som måtte være feilkilden.

 

Jeg lot meg simpelthen lure, av ting jeg ikke helt hadde kontroll over - min Windows 7 PC.