Чаты Обзор чатов on-line

Discussion in 'Веб-уязвимости' started by .Slip, 10 Dec 2006.

  1. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,571
    Likes Received:
    977
    Reputations:
    783
    Обзор знаменитых чатов в сети. Будут рассматриватся чаты:
    [---------------------------------------------------------------------------------------------------]
    www.august4u.ru - Чат Августа
    www.krovatka.ru || www.chatcity.ru - Кроватка, Чатсити
    www.php.spb.ru - Чат Бородина
    www.vochat.com - Voodoo Чат
    Чаты будут оцениватся по следующим параметрам:
    [---------------------------------------------------------------------------------------------------]
    [++Безопасность++]
    [++Удобство++]
    [++Функционал++]
    [++Скорость работы++]

    [---------------------------------------------------------------------------------------------------]
    [++Безопасность++] - Будет идти оценка на уязвимости XSS и PHP Incl Т.к. SQL-Inj в этих чатах отсутствует, то эту уязвимость рассматривать не будем. Будет так же оценена сохранность сессий, id, phpsessid, sid, uid, sessid и т.д.

    [++Удобство++] - Удобство нахождения в чате. Удобно ли пользователю в нём общатся, удобны ли меню чата и т.д. Будет так же описана кроссбраузерность чатов.

    [++Функционал++] - Возможности которые есть в админке чатов, и те возможности которые доступны обычному пользователю. Так же будет рассмотрена система бана.

    [++Скорость работы++] - Скорость работы чата, скорость отправки сообщений с разных видов соединений. Удобно ли будет пользователю с Dial-Up общатся в том или ином чате.


    По всем параметрам чатам будут выставляться оценки по шестибальной шкале (от • до ••••••)
    [---------------------------------------------------------------------------------------------------]
    [size=+2][++Безопасность++][/size]
    [size=+1]www.august4u.ru[/size]​
    PHP Incl. отсутствует. XSS периодически находятся, но очень быстро убираются, админы работают оперативно. Сохранность сессий в полном порядке.

    [++Защита от XSS++]: ••••
    [++Защита от PHP Incl++]: ••••••
    [++Сохранность сессий++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.krovatka.ru || www.chatcity.ru[/size]​
    Довольно крепенькие чаты. Чатсити - урезанный движок Кроватки, с точно такой же безопастностью. XSS там немного, единственное что есть, это находили я и Блэки. Да и то xss пассивные, но всё таки факт имеет место быть. PHP incl отсутствует, Т.к. там нету файлов с расширением php, и просто нету доступа к сорцам чатов. Чат можно сказать не паблик. Сохранность id в чате высокая. Но всё таки я уже умею писать с одного захода, но с разных ников. Осталось придумать, как узнавать id, т.к. id с которых я писал, были мои друзья, и всё было по договорённости. Итак оценки:

    [++Защита от XSS++]: •••
    [++Защита от PHP Incl++]: ••••••
    [++Сохранность сессий++]: ••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.php.spb.ru[/size]​
    Очень хорошо защищённые чаты, несколько режимов безопастности для админа. На высоких уровнях действует привязка к ip, что немало важно. Сессии хранятся плотненько, вытянуть можно только с помощью активной xss, которых в данный момент нету. Одну находил Морф, в поле для инфы, но бага уже давно закрыта. PHP Incl так же не проходит, не смотря на то что чат опенсурс.

    [++Защита от XSS++]: •••••
    [++Защита от PHP Incl++]: ••••••
    [++Сохранность сессий++]: ••••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.vochat.com[/size]​
    На мой (надеюсь объективный) взгляд, самые дырявые из описываемых чатов. Пассивная xss есть одна, но и её не пытаются заделать. XSS: go.php?url= ; password_reminder.php?look_for=.
    Может в свежих версиях этого и нету, но в знаменитых уже установленных чатах on-line она есть. Ленивые админы, что сделаешь... Единственный чат из четырёх, в котором есть PHP Incl. Конечно он не во всех ветках, а только в версии 1.0RC1b. Платные ветки гораздо надёжнее. Но оценивать буду чаты on-line.


    [++Защита от XSS++]: ••
    [++Защита от PHP Incl++]: •••
    [++Сохранность сессий++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+2][++Удобство++][/size]
    [size=+1]www.august4u.ru[/size]​
    Впринципе находится в чатах августа довольно приятно. Но не могу незаметить несколько недостатков. Первый недостаток это плохо выполненная кроссбраузерность. Все менюшки в FF просто уезжают, некоторые кнопки он видит только как картинки. Так же идёт перекос бэкграундов. Ещё при входе всегда вылезает окошко размером со страницу, со всякой фигнёй насчёт регистрации и т.д. Пользователям с Dial-Up это очень сложно перенести. Отправлять сообщения в чат довольно удобно, но опять же на FF иногда отказывает работать кнопка Enter в чате, приходится кликать мышкой. Выделение ника производится левым кликом мышки на нём. Отправка фразу в личку производится тоже довольно удобно: Ctrl+Enter. В общем при отправке подкачала только кнопка Enter. Общее меню хоть и настраивается по желанию админа, оно всё же неплохое. Нехватает только кроссбраузерности. Этот чат для IE.

    [++Отправка сообщений++]: ••••
    [++Кроссбраузерность++]:
    [++Общее меню++]: ••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.krovatka.ru[/size]​
    Чат вполне удобен. Хорошо сделанная кроссбраузерность. Никаких кривых картинок или менюшек. Всё ровно во всех браузерах. Но немного подкачало меню пользователя. Если у вас IE, то при клике на нике кого либо, выпадает менюшка с разными опциями. Там можно посмотреть инфу пользователя, написать его ник во фрейме отправки, отправить личное сообщение и т.д. Но если браузер не IE, тогда приходится отдельно выбирать какой то ник, и уже с помощью меню слева производить те же операции. Довольно неудобно. Минус кроссбраузерности. Отправка сообщений производится при нажатии Enter. Всё с этим удобно. Общее меню довольно удобно, но выглядит не очень симпатично. Меню работает отлично на всех браузерах. В общем то и всё.

    [++Отправка сообщений++]: ••••••
    [++Кроссбраузерность++]: ••••
    [++Общее меню++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.chatcity.ru[/size]​
    Здесь будет кратко. Чатсити отличается от Кроватки только кроссбраузерностью. Если делаешь в чате свой дизайн, то на разных браузерах по разному идёт отображение цветов, так же плохо могут работать меюшки чата. В остальном всё так же.

    [++Отправка сообщений++]: ••••••
    [++Кроссбраузерность++]: •••
    [++Общее меню++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.php.spb.ru[/size]​
    Здесь никакой критики не будет. Кроссбраузерность сделана на отлично. Меню сделано тоже довольно неплохо.

    [++Отправка сообщений++]: ••••••
    [++Кроссбраузерность++]: ••••••
    [++Общее меню++]: ••••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.vochat.com[/size]​
    Опять же ничего против не имею. Конечно если делать свой чат, и настраивать там всё самому, то качество может сильно упасть. Но т.к. мы рассматриваем чаты он лайн, то здесь всё на отлично.

    [++Отправка сообщений++]: ••••••
    [++Кроссбраузерность++]: ••••••
    [++Общее меню++]: ••••••


    [---------------------------------------------------------------------------------------------------]
    [size=+2][++Функционал++][/size]
    [size=+1]www.august4u.ru[/size]​
    Здесь уж Август всем чатам даст фору. Очень хорошая, гибкая система админки, позволяет переделывать весь чат. Так же и много всего доступно пользователю. Загрузка рисунка, в чате он будет отображатся вместо ника. В сам чат можно вставлять теги с ссылкой на музыку или изображения. Возможностей очень много. Много полей в анкете для заполнения. Тут Август бесспорно лидирует. Система банов довольно хорошая, обходить не легко. Есть система кляпов.

    [++Возможности админа++]: ••••••
    [++Возможности пользователя++]: ••••••
    [++Система бана++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.krovatka.ru[/size]​
    Функционал не особо радует. Возможностей у пользователя не много. Можно заливать неограниченное кол-во фоток в анкету. В сообщениях можно использовать стандартные теги форматирования текста. Это цвет, размер, шрифт, и ещё пару мелочей. Возможностей админки не могу сказать. Надеюсь понятно почему=) Система банов примитивная. Банят только по айпи. Есть способ выкидывания из чата с помощью кучи окошков, но и этой прошлый век.

    [++Возможности админа++]: ------
    [++Возможности пользователя++]: ••••
    [++Система бана++]: ••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.chatcity.ru[/size]​
    Возможности пользователя в самом чате таки же. Меньше настроек профиля пользователя т.е. анкеты. Возможности админки зависят от тарифа покупаемого чата. На самом дорогом тарифе, возможностей довльно много. Система бана такая же как на Кроватке.

    [++Возможности админа++]: •••••
    [++Возможности пользователя++]: •••
    [++Система бана++]: ••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.php.spb.ru[/size]​
    Возможностей у пользователя немало. Можно так же загружать фото в инфу, и т.д. Возможность использовать теги. Так же система безопастности даёт ещё один плюс к возможностям пользователя. Бан в этих чатах самый "мощный", обходить его труднее всего. Честно скажу в админке не был, так что любая инфа приветствуется.*

    [++Возможности админа++]: -------
    [++Возможности пользователя++]: •••••
    [++Система бана++]: ••••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.vochat.com[/size]​
    Возможности пользователя опять же стандартны, загрузка фоток, теги. Личные сообщения. Система бана на пятёрку. В админке вуду чата не был*

    [++Возможности админа++]: -------
    [++Возможности пользователя++]: •••••
    [++Система бана++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+2][++Скорость работы++][/size]
    [size=+1]www.august4u.ru[/size]​
    Как вы уже знаете в чате Августа можно ставить вместо ника картинку, это гораздо тормозит работу. Когда у меня был Dial-Up, мне там сидеть было просто невозможно. Щас уже когда хороший adsl канал, то всё в порядке.

    [++Скорость работы на плохом соединении++]: •••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.krovatka.ru || www.chatcity.ru[/size]​
    На больших каналах Кроватки, сидеть на Dial-Up просто невозможно. Там где народу немного, скорость вполне приличная. Так же и на Чатсити.

    [++Скорость работы на плохом соединении++]: ••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.php.spb.ru[/size]​
    Скорость на плохом коннекте вполне приемлема. Никаких особых тормозов нету. На себе не почуствовал угнетений=)

    [++Скорость работы на плохом соединении++]: •••••


    [---------------------------------------------------------------------------------------------------]
    [size=+1]www.vochat.com[/size]​
    Сидеть на Dial-Up приемлемо. Про это они подумали. Чат не перегружен никакими лишними скриптами, и кучей баннеров, которые тормозят работу.

    [++Скорость работы на плохом соединении++]: •••••


    [---------------------------------------------------------------------------------------------------]
    Вот впринципе и всё. Все указания на недочёты или пожелания приветствуются. (в ПМ) То что отмеченно звёздочками, нужно дописать. Если вы мне в этом поможете, буду благодарен.
    GreeetZ:
    A110ut - за то что выслушивал весь мой флуд в аську.
    ProTeuS- типа 4то протеус пил пиво и поэтому вписан в респекты ) (Это он сам так прокоментировал=))
    TANZWUT, Антошка2003 - за то что хоть кто то ещё занимается чатами:)
    Ну и Кузе, Кловеру, Tem'у, Моньке и всем с кем я постоянно общаюсь:)
     
    #1 .Slip, 10 Dec 2006
    Last edited: 10 Dec 2006
    17 people like this.
  2. alextoun

    alextoun Вылет с Трассы

    Joined:
    7 May 2006
    Messages:
    563
    Likes Received:
    216
    Reputations:
    96
    Блеск! слип! а ты говоришь что те в лоа ещё рано!
    1 блестящая статья
    2 Всё собранно воедино
    3 Отлично оформленно, и приятно читаемо
     
    1 person likes this.
  3. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,571
    Likes Received:
    977
    Reputations:
    783
    В скорем времени планирую сделать описание смчата. Так же будет добавлено немного инфы про вуду и бородина.
     
    3 people like this.
  4. alextoun

    alextoun Вылет с Трассы

    Joined:
    7 May 2006
    Messages:
    563
    Likes Received:
    216
    Reputations:
    96
    кстати см чат уже больше недели не пашет! у него глюки какие то
     
  5. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    По поводу скорости работы и удобства чата august, я на GPRS в нём сижу, естественно отключены картинки/флеш/звук + в настройках пользователя можно выбрать следующее:
    плавная навигация
    плавная прокрутка
    выводить время
    локальное время
    отключить смайлы
    отключить графники
    разрешить картинки
    разрешить звук
    монохромный цвет
    сохранять ник
    транслит (Ctrl+Alt)
    высокая безопасность

    Соглашусь - да бывают глюки если тяжёлый дизайн и графники 100*200 пикселов у каждого :) а при входе в чат чтоб небыл большой топик желательно использовать такой текст:
    PHP:
    <hidden text='подробно >>'>

    текст текст текст текст текст текст текст

    </hidden>
    при клике на надпись - появится скрытый текст
    подробнее о возможностях : _http://mychat.august4u.net/?news

    Так же поддерживаются следующие браузеры:
    PHP:
    Internet Explorer 5.0 и выше (для Windows-систем
    Netscape Navigator 7.0 и выше (для WindowsLinuxMac OS X и других
    Mozilla 1.0 и выше (для WindowsLinuxMac OS X и других
    Opera 7.0 и выше (для WindowsLinuxMac OS X и других
    я лично сижу в нём через FirefoxPortable 2.0 RC3 и IE отличие в том что нет стилий в тегах и т.п.

    И ещё один прикол _http://games.august4u.net :)
     
    _________________________
  6. m0le[x]

    m0le[x] Wardriver

    Joined:
    25 Oct 2006
    Messages:
    759
    Likes Received:
    576
    Reputations:
    105
    Хороший обзор, респект!
     
  7. NeMiNeM

    NeMiNeM Elder - Старейшина

    Joined:
    22 Aug 2005
    Messages:
    480
    Likes Received:
    310
    Reputations:
    201
    Познавательно. И красиво оформил=) +4
    Может ещё пару слов о voc++? ;)
     
  8. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,571
    Likes Received:
    977
    Reputations:
    783
    Люди, не пишите здесь просьбы о поисках уязвимостей. Это обзор, а не перечисление багов.
    Не паблик, и не надо:)
     
    1 person likes this.
  9. Reb00t

    Reb00t Banned

    Joined:
    12 May 2007
    Messages:
    4
    Likes Received:
    17
    Reputations:
    0

    Администрирование chat.php.spb.ru

    Основной конфиг
    1. ОСНОВНЫЕ НАСТРОЙКИ: ​
    a)Мыло админа
    б)Автоматический запуск чат сервера
    в)какие пользователи могут входить в чат,какова типа,Разрешается ли писать незарегестрированные писать в приват,просматривать рег.анкету
    г)Скорость скрола в главном окне чата


    2.СООБЩЕНИЯ/ФРАЗЫ/ТОПИК​
    а)Сменить топик/как часто его показывать в главном окне сообщений/кому показывать а каму нет(админы,пользователям или всем)
    б)Название окна браузера в тег <TITLE>
    в)Список статусов людей.добавить/удалить
    г)Натройки отсутствия чата(AWAY)


    3.ЦЕНЗУРА​
    а)Список запрещённых ников для входа в чат
    б)Парсить ли URL/смайлы/максимальная длина сообщения в чате
    в)Проверки сколько максимум символов (кроме букв/цифр) может быть в нике/сколько больших букв может быть в нике/с какого символа может начаться ник
    г)Список ников для тотального игнора/Выдвигать ли CD-ROM при бане за флуд


    4.ВРЕМЯ​
    а)Показывать ли время в сообщениях чата и что именно показывать
    б)Сдвиг по фазе.
    в)Какое время показывать в чате.серверное время/серверное время с учетом временной зоны юзера/полностью локальное время


    5.СТАТИСТИКА​
    а)Вести или не вести статистику!Сколько записей хранить в истории последних входов в чат/банов
    б)За сколько дней подсчитывать ежедневную/ежемесячную статистику.
    в)Вести ли персональную статистику и за сколько дней/месяцев подсчитывать


    6.РАЗНОЕ​
    а)Имя для гостевых входов
    б)Показывать ли кнопки "Я новичек" и "Гостевой вход" на главной странице.
    в)Установить через сколько сек запускать крон
    г)Кодировка для всех страниц
    д)Полное включение/отключение всех спецэффектов и звуков в чате
    е)Кол-во сообщений для хранения в истории "что я сказал" /Максимальное кол-во игноров на одного юзера/Через сколько дней автоматически чистить игнор лист


    7.ДЕТЕКТОР ЛАГА​
    а)Через сколько секунд при потере/затормаживания связи или с момента последнего успешного обмена данными пытаться перезагрузить фрейм сообщений, чтобы попробовать установить повторное соедининие с чат-сервером
    б)Раз в сколько секунд, после потери соединения с чат-сервером и истечении периода [L1] секунд, пытаться повторно переподключаться к чат-серверу. Браузер будет это делать каждые ... секунд, пока соединение не установится
    в)Через сколько секунд после потери связи выкидывать пользователя из чата с сообщением "Lost connection". Если пользователь успеет переподключится к чат-серверу (благодаря попытам каждые [L2] секунд) до истечения этого времени, он остается в чате.
    г)В чате есть специальный скрытый пустой фрейм, который перезагружается раз в это число секунд.Установить
    д)Через сколько секунд после последней успешной загрузки скрытого фрейма выкидывать пользователя из чата с сообщением "Ping timeout",
    е)Через сколько секунд после потери связи начинать мигать красным цветом в детекторе лага, чтобы сигнализировать об этом. Мигание остановится само, при переподсоединении к чат-сервер

    ----------------------------------------------------------------------
    Дополнительные конфиги
    + Основной детектор флуда
    + Детектор повтора фраз
    + Детектор больших букв
    + Детектор повтора символов
    + Настройки спецэффектов и звуков
    + Настройки режимов безопасности

    -----------------------------------------------------------------------
    Администраторы чата
    Создание/редактирование доступов админов/модеров
    -----------------------------------------------------------------------
    Уровни прав администраторов[
    Уровни доступа для админов/модеров
    ЗЫ изменять их только может владелец чата который прописан в dima.php в переменной $admfirst[/FONT]
    -----------------------------------------------------------------------
    Команды
    +Вручную запустить чат-сервер
    +Ручное завершение чат-сервера
    +Полный перезапуск чат-сервера
    +Легкая перезагрузка чат-сервера
    +Полная очистка текущего юзерлиста
    +Легкая перезагрука + очистка юзерлиста
    +Синхронизировать списки ников
    +Обновить шаблоны
    +Стереть (обнулить) статистику по чату

    -----------------------------------------------------------------------
    Состояние чата и чат-сервера
    Информация работает ли чат сервер,если нет,то когда перестал работать
    -----------------------------------------------------------------------
    Текущая статистика
    +Когда запустили чат сервер
    +Сколько открыто чатом сокетов
    +Версия работающего чат сервера
    +Копирайты чат сервера
    +Версия основной PHP части чата
    +Номер процесса чата
    +Внутреннее имя сервера
    +Время работы сервера (UpTime)на сервере где стоит чат
    +(О)перационная (С)истема на сервере где стоит чат
    +TCL версия на сервере где стоит чат
    +Абсолютный путь к daemon (ЧАТ Сервер)

    -----------------------------------------------------------------------
    Общая статистика за все время работы чат-сервера
    Все соединения: ---
    Соединение успешно, вход в чат: ---
    Соединение с ошибкой: ---
    Соединение под игнором: ---
    Исходящий трафик: ----КБ
    Входящий трафик: ---КБ
    Разослано сообщений: ----
    Считано сообщений:---


    =======================================
    Этот чат как только не извращяли,к нему придумали бооольшое множество модулей дополнений,на мой взгляд самый лучший чат :)

    ещё забыл сказать чат можно интегрировать со внешней MySQL базой(ньюк и тд итп)...ст модуль Димы Бородина,Теперь сделали модуль что бы просто пользователей из db2 переводились в мускул...кому интересно сылка в подписи...
     
    #9 Reb00t, 21 May 2007
    Last edited: 21 May 2007
    1 person likes this.
  10. Mr.Smoke

    Mr.Smoke Member

    Joined:
    20 Jul 2009
    Messages:
    24
    Likes Received:
    5
    Reputations:
    0
    Полезная информация! Автору спасибо)))
     
  11. Stinside

    Stinside Member

    Joined:
    1 May 2009
    Messages:
    44
    Likes Received:
    42
    Reputations:
    5
    А вот это почему-то у меня не убирается, в чем проблема?
     
  12. Cynik

    Cynik New Member

    Joined:
    13 Aug 2009
    Messages:
    10
    Likes Received:
    4
    Reputations:
    0
    в каких браузерах работает чат бородина?
     
    1 person likes this.
  13. Stinside

    Stinside Member

    Joined:
    1 May 2009
    Messages:
    44
    Likes Received:
    42
    Reputations:
    5
    Mazila Firefox - советую, в них работает.)
     
  14. Cynik

    Cynik New Member

    Joined:
    13 Aug 2009
    Messages:
    10
    Likes Received:
    4
    Reputations:
    0
    у меня не получилось с мазилы даже в демо чат зайти бородина
     
  15. savage0100

    savage0100 Member

    Joined:
    17 Jun 2009
    Messages:
    0
    Likes Received:
    29
    Reputations:
    -1
    На сколько я знаю первоначально можно войти в него только с IE. Но можно исправить проблему поставив модули, видел модули для Мозилы и оперы.
     
  16. =VoVaN=

    =VoVaN= Banned

    Joined:
    16 Apr 2010
    Messages:
    81
    Likes Received:
    8
    Reputations:
    0
    Автор, отличное оформление.
    Читается легко.
    Благодарен за тему.
     
    3 people like this.
  17. Ололошин

    Ололошин New Member

    Joined:
    4 Apr 2012
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    подскажите, что можно сделать с этим чатом? какие есть уязвимости?
    Чат Смайл http://schat.org.ua/
     
  18. Марок

    Марок Banned

    Joined:
    22 Apr 2012
    Messages:
    28
    Likes Received:
    0
    Reputations:
    0
    У меня вопрос! В каком движке работает чат +18 м?