LaTeX på flashback

Nu frågade du inte mig, men jag svarar ändå.

Alltså.. Alla plugins till vBulletin, som introducerar nya taggar, sätter ju vissa krav på säkerhet.

Det finns massor av plugins för listor, bilder, LaTeX, mallar osv.

Det är ju enormt svårt att avgöra hur duktiga programmerarna bakom pluginet är.

Problematiken ligger väl främst i att just LaTeX-plugin (och liknande verktyg) används främst av forum med akademisk inriktning. Sådana kan knappast vara lika utsatta för attacker som stora forum i Flashback-stuk. Och därmed är de inte lika väl testade för säkerhet.

Ytterligare problematik ligger i att LaTeX-plugins allt som oftast kräver exekvering av binära program på servern. T.ex. själva kompilatorn som genererar bilderna. Då måste man även vara säker på att de exekverbara filerna inte har några säkerhetshål, t.ex. skydd för buffer-overlows (om man inte gör en bra check innan själva LaTeX-koden skickas vidare från php-tolken till kompileraren).

Man kan aldrig vara helt säker.

Efter massa googlande har jag inte hittat några nuvarande öppna exploits mot just LaTeX-mjukvara. Men det kan ju naturligtvis bero på att ingen faktiskt har försökt ge sig på skiten.

Frågan är svår.

Därför tycker jag att en extern LaTeX-tjänst kan generera bilderna. Då slipper vi den typen av problem. Och FB har ju redan stöd för IMG-taggar. Det gäller bara att ge stöd för dessa. Admin kan säkert fixa detta på 1min.

pluginet jag kikar på gör en koppling till databasen för att hämta CSS. den verkar bygga på delar av källkoden från v3.6.4, däremot verkar den inte sårbar för SQL-injektionen mot samma version (inlinemod.php) då inget verkar ha hämtats därifrån såvitt jag kan se hastigt.

allt bygger på hur mycket flashback skiljer sig i grund från vBulletin, däremot ifrågasätter jag avsaknaden av htmlspecialchars(); på samtliga användanden av $_GET. nu kanske jag yrar totalt i nattmössan men det borde kollas upp starkt innan pluginen installeras.

Sammanfogade tråden med en äldre tråd i samma ämne och samtidigt raderades massvis med OT. Skärpning för böfvelen!

/Moderator

Måste få göra en bump.
Vad hände egentligen?
Dog allt intresse ut eller kom ledningen fram till något enväldigt beslut?
Jag står fortfarande av den åsikten att en implementation av latex skulle ju göra underverk för forumet!

Det verkar bra att ha det, så jag röstar i solidaritet (Fy för att kommunistjävlarna och mesdemokraterna har förstört ordet! ) med de i matteforumet FÖR att det ska införas.

Jag märkte nu att det visst var implementerat i flashscript, som givetvis är bra.
Tyvärr kan ju dock inte alla se det då det är väldigt få som har flashcript installerat.
Men för er som har;

[latex]\LARGE{55=}\color{blue}\Large \sum_{k=1}^{10}\ k[/latex]

gäller bara den nya versionen av flashscript (2008-05-30). detta är nog en bättre lösning än att implementera det server side.

Det är en imponerande funktion av FlashScript-killen.

Men lösningen är ju inte hållbar i längden. För de 99% som inte har FlashScript så blir formlerna helt otolkbara.

Precis, poängen med att implementera LaTex vore ju att förenkla förståelsen av matematiska formler.
Visst, nu går det med flashscript, men hur många har det egentligen installerat?
Det är ju inte bara de allra mest insatta i både matematik och datorer som har nyttan av snygga formler, även de som bara har ett par frågor relaterat till exempelvis studier har ju nytta av det.
Många finner det krångligt att installera greasemonkey och scriptet, och exempelvis besökare som inte är medlemmar kanske inte ens får reda på att det existerar.
Sen så gör de ju även forumet lite trevligare, alla har nytta av LaTex!

[latex]\color{green}\HUGE\mathcal{\LaTeX\ \ is\ for\ everyone!}[/latex]

Intresse finns från teknikerna att implementera detta, men det kommer inte ske på ett tag av främst tre anledningar:

1) en noggrann kontroll av hur det påverkar säkerheten måste göras.
2) en noggrann kontroll av hur det påverkar serveranvändningen måste göras.
3) teknikerna har fullt upp med att implementera andra förbättringar just nu.

/feldgrau

Tack för rapporten!