papalangi_44

Hallo ich melde mich mal wieder mit einem Problem/Frage.

Ich wollte mal den SyntaxHighlighter von Alex Gorbatchev ausprobieren (version 3.0.83 (July 02 2010).
Nach dem Download entpacken und anpassen der Verzeichnisse funktionierte das nicht mit der Datei src/shCore.js


XRegExp is not defined Zeile 124
und
SyntaxHighlighter is undefined Zeile 45

Nachdem ich
ersetzt hatte klappte zunächst mal die Demo index.html

ganz recht erscheint ein kleiner giftgrünes Button etwa 5x5 pixel, wenn mann draufklickt geht ein Popup auf in dem man azum Donate aufgefordert wird.
So ein Aufwand, um Popup erscheint mir etwas komisch und ich habe mir
den Kode etwas genauer angesehen komme aber noch nicht ganz damit klar.


in scripts/shCore.js steht nur ein riesiges eval das anscheinend mit dem Packer von dean edwards verschlüsselt ist.
ich habe das zunächst mal durch http://jsbeautifier.org/ gejagt und kam so
zu einer etwas lesbaren Variante.

In dieser Variante wird ird sichtbar, dass der String des eval aber noch einmal modifiziert wird.

ich musste mit document.write ausgeben, da alert dann nicht mehr funktioniert.
Die Frage ist, was hat er noich alles modifizeirt?

Was da dann passiert habe ich noch nicht verifizieren können. und ich kann mit meinen Kentnissen auch nicht das Endergebnis mit der ungepackten src/shCore.js vergleichen.


Da in der Version 3.0.83 mit autoload die die entsprechenden brushes nachgeladen werden, stellen sich mir folgende Fragen:
-das script wird später im Browser des Anwenders ausgeführt. Kann damit nicht beliebiger Code nachgeladen werden. Das wäre der Trojaner schlechthin.

- Hat jemand einen fix für src/shCore.js ich hasse eval und derartige obfuscation .

- Wie kann ich an den engültig generierten Code rankommen?

- Hat sich jemand das Ding evtl schon mal genauer angeschaut?

Gruß Papalangi_44

Mister Ad

nikosch

Benutz halt was anderes, offenes. Wozu der Aufwand!

Ansonsten gilt: http://www.php.de/php-einsteiger/543...produkten.html (Fachfragen zu bestimmten Softwareprodukten)
Das schließt Evaluierung / Reverse engineering mit ein. Wenn der Autor seinen Code verstecken wollte, wird er einen Grund dazu haben. Das solltest Du akzeptieren.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

mermshaus

http://bitbucket.org/alexg/syntaxhighlighter/src

Edit: @#4: Dass ich den Code innerhalb von 10 Sekunden gefunden habe, lasse ich mal unerwähnt.

__________________
Blog | Buch | Kaloa

papalangi_44

Einspruch!!! Wenn dir jemand einen Trojaner oder ähnliches unterjubeln will .hat er auch einen Grund seinen Code zu verstecken oder akzeptierst du dann dann lächelnd
Nicht umsonst wird doch wohl auch von Mozilla auf die Gefahr von eval hingewiesen.
Wenn während der Auflösung des Strings aus ca 10.000 Zeichen ca 20.000 Zeichen werden und das dann immer noch verschlüsselt ist, , dann kann man ja wohl mal fragen was das soll.
Nur um ein Donate-Popup das erst bei einem Klick auf einen winzigen Button erscheint, ist das jedenfalls nicht gemacht worden.
Da hilft es mir auch nix, dass diese Routine in 1001 Dokumentationsseiten verwendet wird.
Natürlich kann ich was anderes verwenden, ich habe schon lange eine Routine die ähnliches mittels php und highlight_file bzw highlight_string macht
serverseitig macht .

Wenn dir die Sicherheit deiner Webseitenbesucher egal ist, kann ich deiner Argumentation folgen.

Na ja, bin dann evtl im falschen Forum.

Gruß papalangi_44

nikosch

Genau das habe ich gemeint. Er hat ein Interesse daran, den Code zu schützen. Zu guten oder schlechten Zwecken. Wenn zu guten, hast Du zu respektieren, dass er nicht will, dass sein Code reviewt wird. Wenn zu schlechten, hat er auch seinen Grund. Dann kannst Du aber nicht erwarten, dass er seinen Code offenlegt oder wir Dir den untersuchen.
Kannst Du. Aber bitte nicht uns.
Wenn Du das weißt, warum benutzt DU dann den Code?

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--

papalangi_44

- ich benutze den Code nicht, sondern habe untersucht, ob ich ihn verwenden kann. Über ein Donate könnten wir danach reden.

- wenn ein einfacher alert("Hallo"); mir nach einem Refresh der Seite nur noch ein ein leeres Alert-Fenster zeigt, habe ich damit ein Problem.

- Hat sich jemand das Ding evtl schon mal genauer angeschaut?
ich habe nicht darum gebeten, das ihr den Code für micht untersucht.

- Danke mermshaus, das war der gesuchte Hinweis, (wenn ich weiss wo ich suchen muß, finde ich es auch in 10 Sekunden).

In der Regel löse ich meine Programmierprobleme (seit über 40 Jahren) allein und frage nicht in irgendeinem Form nach.