Enable addition of slides to event #55

Open

tochev wants to merge 1 commits from enable-addition-of-slides-to-event into master

pull from: enable-addition-of-slides-to-event

merge into: Site:master

Site:master

Site:add-docker-compose

Site:add-devise-translation

Site:notify-on-volunteer

Site:fix-team-volunteer-counts

Site:indicate-unverified

Site:fix-localhost

Site:fix-docker-ignore

Site:add-notes-to-export

Site:text-fixes

Site:2022email

Site:maintenance

Conversation 4 Commits 1 Files Changed 11 +63 -19

tochev commented 2024-10-20 17:11:59 +03:00

Owner

Copy Link

This PR adds the following functionalities:

• ability for speakers to add slides (they can add slides up to two weeks after the conference)
• prevention of speakers altering their entry too close to the conference or after that

Please make sure to review the .with_attached_resources_bundle especially in the events.json API as I'm not sure that it is the most efficient way.

This PR adds the following functionalities: - ability for speakers to add slides (they can add slides up to two weeks after the conference) - prevention of speakers altering their entry too close to the conference or after that Please make sure to review the `.with_attached_resources_bundle` especially in the `events.json` API as I'm not sure that it is the most efficient way.  

image.png

57 KiB

image.png

28 KiB

tochev added 1 commit 2024-10-20 17:12:02 +03:00

89b184f776 Enable addition of slides to event

ignisf commented 2024-10-20 17:15:50 +03:00

Owner

Copy Link

кой отговаря, когато неизбежно бъде качен malware?

кой отговаря, когато неизбежно бъде качен malware?

tochev commented 2024-10-20 18:23:21 +03:00

Author

Owner

Copy Link

кой отговаря, когато неизбежно бъде качен malware?

мина ми през ума още като си мислех функционалността, но:

• вярваме на лекторите си до доказване на противното (знам че понякога не трябва да го правим), но текущото от моя гледна точка не е много по-различно от това някой да пусне malware/exploit в github repo-то си или да сложи линк към нещо
• реално всеки потребител трябва сам да си проверява какво сваля и пуска
• риска за нас от drive-by е подобен като някой да си качи снимка със съмнително съдържание
• можем да направим да не е publicly exposed и също така да не са публични, а да са зад auth only, но ми се иска да събираме презентации

> кой отговаря, когато неизбежно бъде качен malware? мина ми през ума още като си мислех функционалността, но: - вярваме на лекторите си до доказване на противното (знам че понякога не трябва да го правим), но текущото от моя гледна точка не е много по-различно от това някой да пусне malware/exploit в github repo-то си или да сложи линк към нещо - реално всеки потребител трябва сам да си проверява какво сваля и пуска - риска за нас от drive-by е подобен като някой да си качи снимка със съмнително съдържание - можем да направим да не е publicly exposed и също така да не са публични, а да са зад auth only, но ми се иска да събираме презентации

ignisf commented 2024-10-21 01:10:25 +03:00

Owner

Copy Link

1. вече два пъти лектори умишлено са правили успешен XSS през описанията на лекциите си (не заради дупка в clarion – заради дупки в скриптове, които ядат данните му) и един път (неуспешна) enumeration атака в опит да си маркират лекцията като одобрена. Ето това ще се случи с openfest.org, когато (и съм убеден, че е въпрос на време) някой реши да качи malware:

2. please... дори ти не вярваш, че някой ще се увери, че не е опаразитен, преди да ти прати презентацията си, камо ли за някой, който иска да ти я прати опаразитена нарочно. Освен това крайната отговорност е на openfest като разпространител. Виж в какво се изразяват последствията в предната точка. После ти ли ще се разправяш с google или не дай си МВР? Не. Няма да си ти.

3. Снимките се рекомпресират. Clarion и зависимостите му се обновяват. Шансът някой да изгърми 0дей по нас е много по-малък от това някой да качи зипнато опаразитено .exe/зип бомба for the lulz.

4. Дори да не са publicly exposed, стига някой да изтегли вирус през админ интерфейса с chrome с това включено https://sealmetrics.com/blog/googles-enhanced-safe-browsing-a-comprehensive-guide/#How_Does_Enhanced_Safe_Browsing_Work

И последно.. Защо трябва да си превързваме здрав пръст?... Няма ли достатъчно други критични проблеми? И особено на фона на archive.org фиаското...

1. вече два пъти лектори умишлено са правили успешен XSS през описанията на лекциите си (не заради дупка в clarion – заради дупки в скриптове, които ядат данните му) и един път (неуспешна) enumeration атака в опит да си маркират лекцията като одобрена. Ето това ще се случи с openfest.org, когато (и съм убеден, че е въпрос на време) някой реши да качи malware:  2. please... дори ти не вярваш, че някой ще се увери, че не е опаразитен, преди да ти прати презентацията си, камо ли за някой, който иска да ти я прати опаразитена нарочно. Освен това крайната отговорност е на openfest като разпространител. Виж в какво се изразяват последствията в предната точка. После ти ли ще се разправяш с google или не дай си МВР? Не. Няма да си ти. 3. Снимките се рекомпресират. Clarion и зависимостите му се обновяват. Шансът някой да изгърми 0дей по нас е много по-малък от това някой да качи зипнато опаразитено .exe/зип бомба for the lulz. 4. Дори да не са publicly exposed, стига някой да изтегли вирус през админ интерфейса с chrome с това включено https://sealmetrics.com/blog/googles-enhanced-safe-browsing-a-comprehensive-guide/#How_Does_Enhanced_Safe_Browsing_Work И последно.. Защо трябва да си превързваме здрав пръст?... Няма ли достатъчно други критични проблеми? И особено на фона на archive.org фиаското...

image.png

134 KiB

ignisf commented 2024-10-21 01:12:53 +03:00

Owner

Copy Link

Ако толкова държиш да се събират лекции, добави поле за URL и мини със скрипт и ги свали за архив след това. По възможност само slideshare/speakerdeck/google drive/pcloud/dropbox да е позволен, за да се грижат те, а не ти, за сканиране/филтриране.

Алтернативно си направи alias slides а-маймунско openfest.org и ги гони да ти ги пращат там 🤷

Ако толкова държиш да се събират лекции, добави поле за URL и мини със скрипт и ги свали за архив след това. По възможност само slideshare/speakerdeck/google drive/pcloud/dropbox да е позволен, за да се грижат те, а не ти, за сканиране/филтриране. Алтернативно си направи alias slides а-маймунско openfest.org и ги гони да ти ги пращат там 🤷

This pull request can be merged automatically.

You are not authorized to merge this pull request.

You can also view command line instructions.

Step 1:

From your project repository, check out a new branch and test the changes.

git checkout -b enable-addition-of-slides-to-event master

git pull origin enable-addition-of-slides-to-event

Step 2:

Merge the changes and update on Gitea.

git checkout master

git merge --no-ff enable-addition-of-slides-to-event

git push origin master

Sign in to join this conversation.

Reviewers

No reviewers

Labels

Clear labels   

bug

  

dependencies

Pull requests that update a dependency file

  

duplicate

  

enhancement

  

help wanted

  

invalid

  

question

  

wontfix

No Label

bug

dependencies

duplicate

enhancement

help wanted

invalid

question

wontfix

Milestone

Clear milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

No Assignees

2 Participants

Notifications

Subscribe

Due Date

The due date is invalid or out of range. Please use the format 'yyyy-mm-dd'.

No due date set.

Dependencies

No dependencies set.

Reference: Site/clarion#55

No description provided.