подтверждение подлинности пользователя ЛОРа (толксов :)

Скриншот правого верхнего угла, нет?

Потребовать от пользователя разместить некий код в комментарии на странице лоровского профиля же.

Я у себя в блоге подтверждаю свою личность, а потом кидаю ссылку. Можешь создавать темы и удалять их тут, а потом кидать на них ссылку куда хочешь подтвердиться :)

В gimp'е можно нарисовать :)

> Скриншот правого верхнего угла, нет?

1. Фотошоп решает
2. Не проверябельно автоматически


Просто хочу на один интернетный сервис забацать фичу, чтобы пользователям лора были дополнительные плюшки ;)

Важно чтобы (как минимум) никто из не-лоровцев не смог выдать себя за лоровца. В идеале - еще бы проверять количество постов в толксах и/или скор (тот самый больше 50).

openid )))

Суёшь в профиль на ЛОР открытый ключ, сообщения снаружи подписываешь парой этого ключа со ссылкой на местный профиль.

Нотариально заверенный скриншот же.

> Можешь создавать темы и удалять их тут, а потом кидать на них ссылку куда хочешь подтвердиться :)

ага, такая же система на Блогуне.
пока что так и хочу сделать (=единственный вариант).
но как-то слишком уж череззадно это.

Межсайтовый скриптинг? Помнится, в этом году один шутник уже устраивал подлог :)

А вообще, по-моему, можно лишь проверить - есть ли куки с ЛОРа. Но их тоже можно «нарисовать».

Все придумано до нас http://lorquotes.ru/view-quote.php?id=3

вариант запросить страницу www.linux.org.ru/people/name1_no/profile и убедиться, что там написано «нет такого юзера» чем тебе не нравится?

Суёшь в профиль на ЛОР открытый ключ, сообщения снаружи подписываешь парой этого ключа со ссылкой на местный профиль.

Самый разумный вариант. И никакого XSS не надо.

> openid )))

а есть? как его заюзать?

(в этом варианте плохо только, что скор и количество постов нельзя проверить даже парсингом HTMLя профиля)

> а есть? как его заюзать?

нет, конечно, у нас же username case sensitive

>Скриншот правого верхнего угла, нет?

Типа такого? http://i33.tinypic.com/2yxqb6x.png

> вариант запросить страницу http://www.linux.org.ru/people/name1_no/profile и убедиться, что там написано «нет такого юзера» чем тебе не нравится?

мне надо не просто есть/нет, а является ли посетитель сайта этим человеком. Иначе любой анонимус смог бы сбегать на ЛОР, переписать с него пару десятков ников, и зарегистрироваться на моем ресурсе под твоим именем =)

скор и количество постов нельзя проверить даже парсингом HTMLя профиля

грепайте количество тем.

А можно на ЛОРе запилить OpenID сервер и лоровцы авторизуясь на том вашем сервере с помощью openid тем самым подтвердят свою принадлежность лору.

о, кстати, есть классная фича: допиши в лор-сорц нужный функционал сам, движок открытый, если напишешь хорошо — примут в апстрим

> Суёшь в профиль на ЛОР открытый ключ,

а ты сам-то согласишься написать такое в свой профиль?

если да, так и сделаю.

Имхо, слишком сложно - большинство людей поди и не знают, что такое «открытый ключ», и прописывание его в профиль может стать баааальшой проблемой. Придется писать документ на миллиард страниц с описанием, как этот открытый ключ получить, почему его использование не нанесет никакого зла, и прочую чушь - которую никто не прочитат ибо слишком многобуков.

Гораздо удобнее было бы предоставить пользователю простой интерфейс - пишем логин-пароль, жмем ОК, получаем результат.

> А можно на ЛОРе запилить OpenID сервер

увы, нельзя. у нас ники регистрозависимые

> допиши в лор-сорц нужный функционал сам, движок открытый

движок открытый?

это решает, если Макском конечно не пошлет (лишний гемор из-за ненужной конкретно ему фичи)

запили lor-api — макском будет непротив, я уверен )))

> увы, нельзя. у нас ники регистрозависимые

да можно жэ. Есть какие-нибудь символы, которые нельзя использовать при создании ника? Там, обратный слеш?

просто если у кого есть большие буквы в нике, при логине на openid чтобы он указывал передо всеми большими буквами тот самый символ.

\ббСтив\ббДжобс@linux.org.ru = СтивДжобс
стивджжобс@linux.org.ru = стивджобс

правда, такой сервак самому пилить придется тому маньяку, кто захочет сию фичу забацать

пишем логин-пароль, жмем ОК, получаем результат.

И узнаем пароль пользователя ЛОРа :)

Даёшь свой логин с паролем и бот заходит вместо тебя, он и скор сможет узнать.

> \ббСтив\ббДжобс@linux.org.ru = СтивДжобс

и кто захочет так свой ник каверкать?

> И узнаем пароль пользователя ЛОРа :)

на сайте пишем логин, жмем ОК, перенаправляемся на ЛОР и только там уже пишем пароль.

как в фэйсбуке же.

может создать отдельную тему в толксах, где каждый желающий сможет запостить свой ID или логин на твоём ресурсе? это будет подтверждением, но количество шквора не узнаешь, да.

> но количество шквора не узнаешь, да.

ладно, пофиг со скором. Будет большая посещаемость - будет дополнительная реклама лору. Будут регаться на лоре только чтобы получить доступ к закрытой части =)

Лучше тогда по количеству звёзд доступ раздавать. Причём желательно серых.

>увы, нельзя. у нас ники регистрозависимые

Ну и что? В чём проблема то? OpenID как работает? Допустим я на его сайте авторизуюсь по openid, я должен указать ссылку на мой профиль на лоре. Меня перенаправляют на ЛОР, тут сервер запрашивает у меня логин и пароль и авторизовываер, сообщает его серверу что я прошел авторизацию и возвращает меня обратно. Так?

Чем, кстати, серые от зеленых отличаются?

Количество всех звезд отображает максимальный скор, количество зеленых - текущий. Попроси Димеза, он снимет с тебя скор и твоя звезда посереет.

Чем, кстати, серые от зеленых отличаются?

Цветом! //Кэп

Зелёные за обычный троллинг дают, а серые - если затроллищь модератора.

Пруфлинк: http://www.lorquotes.ru/view-quote.php?id=4

>Есть ли у ЛОРа какой-нибудь способ подтвердить на внешнем сайте, что посетитетль является пользователем ЛОРа с нужным ником?

В топку, т.к. брутфорс по никам и пол-дела готово. Потом брутфорс на ЛОР и аминь.

> Ну и что? В чём проблема то?

в том, что на лоре есть логин Name_No и name_no. openid для обоих одинаковый.

> большинство людей поди и не знают, что такое «открытый ключ»

и хрен с ними.

Ну хорошо, допустим. Но ведь тут же есть цифровые ID пользователей, вроде они тоже могут использоваться в ссылках на профиль пользователя вместо ника.

> Ну хорошо, допустим. Но ведь тут же есть цифровые ID пользователей, вроде они тоже могут использоваться в ссылках на профиль пользователя вместо ника.

это уже не openid. делать openid вида 41365.linux.org.ru — это не по людски

> Самый разумный вариант. И никакого XSS не надо.

++. а ключик можно выдергивать со странички ЛОРа на своем сайте спец.проверяльщиком.

> а ты сам-то согласишься написать такое в свой профиль?

на твоем мега-сайте генерится спец.ключик, который предлагается при регистрации засунуть в профиль на ЛОРе. при регистрации ключик грепается с ЛОРа и таким образом проверяем тот ли ты за кого себя выдаешь.

у проверяемого поднимаетса view-only VNC-Server, проверяющий по внц подключается к проверяемому и просит его зайти на лор. в отличие от скриншота хоть подделать невозможно.

Очень даже openid. Тем более при первой авторизации на его сервере можно указать любой ник, отличный от ника на лоре. Он будет показываться посетителям его сайта.

>у проверяемого поднимаетса view-only VNC-Server, проверяющий по внц подключается к проверяемому и просит его зайти на лор. в отличие от скриншота хоть подделать невозможно.

Проверяемый запускает у себя на локалхосте копию ЛОРа, прописывает в /etc/hosts 127.0.0.1 linux.org.ru, и под присмотром проверяющего заходит хоть под maxcom'ом.

+1, свмый вменяемый вариант

>логин Name_No и name_no. openid для обоих одинаковый

openid регистронезависим? серьёзно? Какое убожество.

> openid регистронезависим? серьёзно? Какое убожество.

Все доменные имена регистронезависимы. проверь: http://LINUX.ORG.RU/ как думаешь, это отдельная запись в dns? А http://LiNuX.OrG.Ru/ ?

Какое отношение имеет регистронезависимость доменов к OpenID?
Всё что следует после домена в адресах, регистрозависимо.
Сравните: http://linux.org.ru/forum/talks и http://linux.org.ru/Forum/Talks