Com as mais recentes alterações feitas ao drupal, não sei como é que estamos em relação a algumas vulnerabilidades. Por exemplo, como os utilizadores podem colocar o código para imagens nos seus tópicos, alguém mal intencionado pode fazer correr javascript a qualquer pessoa que aceda à página principal do AoJ. Obviamente que não testei isto, mas verifiquei essa hipótese pré-visualizando um tópico. Se quiserem experimentar, mudem para o editor plain text e coloquem algo deste género como tag:
img src="https://www.abreojogo.com/sites/all/modules/og/images/opml-icon-16x16.png" onload="alert('código manhoso');"
Se tivermos algo como o WYWIWYG Filter instalado, acho que estes atributos onload e outros podem ser bloqueados.
https://www.drupal.org/project/wysiwyg_filter
![https://www.abreojogo.com/sites/all/modules/og/images/opml-icon-16x16.png"](https://www.abreojogo.com/sites/all/modules/og/images/opml-icon-16x16.png"){kind=link}
É uma preocupação legítima, claro.
Se esse módulo for compatível com a versão que usamos de Drupal actualmente, acho bem. Talvez até dê para eliminar os problemas que temos com código que quebra a primeira página.
Por outro lado, retira algumas possibilidades de conteúdo mais rico…
Já agora, talvez esteja na hora de começarmos a pensar num upgrade ao Drupal, não?
Bem sei que será uma trabalheira e que o tempo não abunda mas creio que começamos a ficar um pouco "atrasados" em termos de versões…
_
… já me lembrei foi de ignorarmos completamente esta versão do AOJ e decidir-se o que se quer ter sem preocupações com o que temos agora.
Claro que com isto se iriam perder algumas coisas mas, em contra-partida, se iriam ganhar, espero, muitas outra.
Se decidirmos por esta opção, de uma forma ou de outra, conseguirei migrar os conteúdos (e comentários) para qualquer outro sistema (desde que tenha acesso à Base de Dados)
Mas indo ainda mais à frente, e para não começarmos logo cheios de lixo, fixe fixe era ver quais os conteúdos interessantes e exportar apenas esses… (atenção: há mais de 10.000 entradas no sistema e maid de 70.000 comentários)
Qual a vossa opinião? Há quem tenha vontade e disponibilidade para isto (montar um eventual novo sistema e seleccionar os conteúdos a migrar)?
Sugeria aos administradores que desligassem o javascript quando acedem ao AoJ (recomendo usarem o noscript para o firefox).
Quanto ao upgrade, isto é uma pescadinha de rabo na boca :) Segurança, funcionalidades, alojamento, tudo isto vai ficando pendente. Eu tenho disponibilidade para ajudar mas ainda não percebi o que é para fazer :P Uma instalação nova do último Drupal e migrar uma parte da BD lá para dentro? Ou optamos por um CMS menos genérico e complicado?
Será preciso decidir-se o que fazer. Alguém está à vontade com algum CMS e tem disponibilidade? Diria que não caso contrário já provavelmente teria dito alguma coisa.
Não esquecer que uma das funcionalidades muito interessantes do AOJ é o módulo do BGG que foi actualizado pelo Stormrover (para funcionar na actual versão do drupal). Passar o AOJ para uma nova versão dará depois algum trabalho a actualizar o módulo; mudar de CMS diria que poderá dar ainda mais trabalho…
… de qualquer das formas, já há muito tempo que o AOJ pede um novo layout.
Para além disso tem já alguns problemas de base que faz com que diariamente tenha de desbloquear algumas tarefas… 
A nível da tecnologia, toda a gente conhece o PHP e o mysql, mas não faço ideia dos embróglios que o nosso Drupal acumulou ao longo dos anos. Será possível ficar melhor com uma nova instalação e migração da base de dados? E a hipótese de manter este AoJ em modo read-only como arquivo?
Realmente está na altura de decidirmos como evoluirá o AoJ.
A minha sujestão é a seguinte:
Lançar a campanha de angariação de fundos. Algo que estou para fazer há algum tempo, bem sei. Vou tratar disso em breve. Posso mencionar esta possibilidade de evolução como um dos fins possíveis para os fundos recolhidos (acham bem?).
Enquanto a campanha decorre irmos discutindo entre nós (mas abrindo a possibilidade de sugestões da comunidade) essa evolução.
Apontar a implementação de uma nova versão para 2015. Isto dará algum tempo para falarmos e decidirmos.
Que vos parece?
Para já parece-me menos "doloroso" manter a base em Drupal… Por outro lado a mudança de CMS pode permitir uma melhor adaptação do AoJ ao caminho que escolhamos seguir.
_
Para ilustrar a gravidade da coisa, pus neste tópico um códigozito em javascript que altera o logo do abreojogo em cima. Isto é tipo a coisa mais simples que pode acontecer. Acho que precisamos de uma maneira de mais rapidamente decidirmos e agirmos sobre o site. Vou tentar aparecer nesta 5a para falar com o Mallgur.
Fazer uma espécie de crowdfunding e ouvir as opiniões dos utilizadores pode avançar já, independentemente do que se vier a decidir.
E também já pensei naquilo que o Tiago falou, pensar "out of the box" e fazer uma coisa nova de raiz, talvez usando um CMS mais flexivel tipo joomla que tem imensos templates para se optar.
Entretanto, a Drupal anunciou e corrigiu um problema com a XLM-RPC API que permite a qualquer pessoa mandar abaixo o site facilmente arrebentando com a memória do servidor.
Podemos também criar uma nova instancia do AOJ, na versão 6 mas com os módulos todos actualizados. Desta forma podemos manter os módulos do BGG (visualização dos plays jogados, top 5, jogos dos utilizadores, etc) sem a necessidade de os actualizarmos.
A sugestão de mantermos um arquivo do AOJ parece-me interessante.
Acredito que depois se possa ir migrando os conteúdos mais interessantes para a nova instancia sem grandes dificuldades… até que se desactive de vez a versão que temos hoje do AOJ.
… nos próximos dias vou tentar actualizar o AOJ para a última versão do drupal (6.33).
Já fiz backup do AOJ mas ainda não consegui fazer o upgrade. Quero fazer isto primeiro no meu portatil porque já por uma vez tive de utilizar um backup devido ao upgrade não ter funcionado como deveria e ter deixado tudo pendurado.
O AOJ foi actualizado para a versão 6.33.
Para já o site está a funcionar mas é provável que nos próximos dias sejam detectados alguns erros provenientes da actualização do drupal, de mais de 10 dos módulos utilizados e também de uma actualização do tema utilizado.
Se notarem erros avisem…
… depois irei tentar restringir o javascript para evitar termos um pato a nadar nesta página (em vez do simbolo do AOJ) 
Voltou-se a activar o filtro que permite utilizar apenas algumas tags de html, não permitindo deste modo código malicioso. (este filtro já chegou a estar activo há bastante tempo; não me recordo ao certo o porquê de se ter desactivado).
… como o Mallgur disse, isto acaba por limitar um pouco o que os utilizadores colocam, embora entenda que não se deva permitir a colocação de determinadas tags.
Neste momento direi que o AOJ está todo a funcionar com a última versão do drupal!
Obrigado, Tiago! Não verifiquei ainda o código, mas o pinguim já não mexe 
O template está ligeiramente diferente mas penso que é tranquilo.
[quote=tmgd]Será preciso decidir-se o que fazer. Alguém está à vontade com algum CMS e tem disponibilidade? Diria que não caso contrário já provavelmente teria dito alguma coisa.
Não esquecer que uma das funcionalidades muito interessantes do AOJ é o módulo do BGG que foi actualizado pelo Stormrover (para funcionar na actual versão do drupal). Passar o AOJ para uma nova versão dará depois algum trabalho a actualizar o módulo; mudar de CMS diria que poderá dar ainda mais trabalho…
… de qualquer das formas, já há muito tempo que o AOJ pede um novo layout.
Para além disso tem já alguns problemas de base que faz com que diariamente tenha de desbloquear algumas tarefas… [/quote]
Desde que se fez o upgrade para a versão 6.33 deixou de haver problemas de tarefas bloqueadas! 
Relativamente ao meter um novo layout no AOJ é algo simples, sendo apenas necessário modificar o tema. Claro que modificando o tema será depois necessário proceder a algumas configurações mas não costuma ser algo muito complicado.
P.S. - Já experimentei foi com o tema actual modificar as cores mas não fiquei convencido… a que poderia ficar melhor seria a azul; no entanto esta alteração não trás vantagem alguma 
[quote=Rick Danger]Obrigado, Tiago! Não verifiquei ainda o código, mas o pinguim já não mexe :)[/quote]
Ok, já estive a testar e o filtro parece estar a bloquear tudo das img que não seja o src, inclusivé um possível align. Também suponho que iframe/object já não passa, pelo que deixa de ser possível embeber vídeos do tucano. A nível dos caracteres, mesmo arranjando maneira de passar pelos html entities, parece que estas coisas são sempre bloqueadas. Dada a gravidade daquilo que se poderia fazer antes (do género copiar os cookies de todos os visitantes), acho que é aceitável perder estas funcionalidades.
[quote=Rick Danger][quote=Rick Danger]Obrigado, Tiago! Não verifiquei ainda o código, mas o pinguim já não mexe :)[/quote]
Ok, já estive a testar e o filtro parece estar a bloquear tudo das img que não seja o src, inclusivé um possível align. Também suponho que iframe/object já não passa, pelo que deixa de ser possível embeber vídeos do tucano. A nível dos caracteres, mesmo arranjando maneira de passar pelos html entities, parece que estas coisas são sempre bloqueadas. Dada a gravidade daquilo que se poderia fazer antes (do género copiar os cookies de todos os visitantes), acho que é aceitável perder estas funcionalidades.[/quote]
Olá,
Com a actualização do drupal, entre outras coisas, também se adicionou um módulo que permite filtrar de uma forma mais flexivel as tags de html. No caso das imagens, os atributos que estamos a permitir actualmente são: src, width, height, alt e title
Se achares que devemos adicionar mais alguma avisa.
Obrigado uma vez mais pela ajuda na identificação dos problemas e pelos testes.
Abraço,
Tiago
hmm… não li o tópico todo confesso…
mas actualmente (presumo que por esta actualização) não se consegue colocar videos de youtube da forma que era feito anteriormente (através de
<object width="420" height="315"><param name="movie" value="//www.youtube.com/v/D-_soWdVAF0?hl=en_US&version=3&rel=0"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="//www.youtube.com/v/D-_soWdVAF0?hl=en_US&version=3&rel=0" type="application/x-shockwave-flash" width="420" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object>
)
alguma ideia?