Итак. Как говорил кто то на сайте, мы совсем не уделяем внимания безопасности сайтов на InstantCMS.
Сейчас будут громкие возгласы, уделяем уделаем. Недавно получил предложение из рассылки на instantcms.ru поделится ссылкой на свой сайт, созданный на цмс инстант, типа для каталога. Так вот пока безопасной версии инстанта не будет, не бывать моему сайту в каталоге инстанта.
Укажу как минимум на 2 косяка в безопасности, которые запросто могут положить сайт.
Косяк намбер 1:
На скрине ниже видно как я складываю архивы в папки сайта 22zona.ru/. Эту возможность мне "дарит" визуальный редактор FCK. При этом складывать файлы могу в любую папку в папке аплоад, папка имаджес тоже доступна, если нажать на кнопочку "добавить картинку", а там посмотреть на сервере.
А хостеры жуть как не любят когда на сайте складируют вирусы (на народе за это закрыли один из моих сайтов).
"А мы позволяем добавлять статьи только проверенным людям" — скажете вы. FCK редактор используется при редактировании настроек клуба. Грузить на чужой сайт вирусы можно и оттуда. К сожалению интеграция инстант и FCK не проработана тщательно, о чем я писал здесь instantcms.ru/forum/43/thread2000-1.html и закрыть эту дыру пока не получается никак.
Вывод: Либо менять редактор, либо позволять грузить файлы только в одну папку — дабы можно было их быстро проверять на вирусность. Лучший вариант — добавить в написание статьи бб кода для юзеров, а FCK оставить для модеров и выше.
Косяк намбер 2:
Опять же изза виз редактора. Так как панели редактора не поддаются настройке, опять таки написано тут instantcms.ru/forum/43/thread2000-1.html то есть такая чудесная кнопочка "источник", позволяющая вставить хтмл код в страницу любому, кто может писать статьи. Любой хтмл код, в том числе и опасный <iframe>. Чем это может грозить читаем тут yandex.ru/yandsearch?clid=9582&text=%D0%B2%D0%B8%D1%80%D1%83%D1%81+iframe.
Глядишь сейчас дело по внедрению бб кодов сдвинется с мертвой точки...
P.S. Версия инстанта 2.0 будет одной из лучших цмс не только среди бесплатных, но и платных. I like instant cms.
Сейчас будут громкие возгласы, уделяем уделаем. Недавно получил предложение из рассылки на instantcms.ru поделится ссылкой на свой сайт, созданный на цмс инстант, типа для каталога. Так вот пока безопасной версии инстанта не будет, не бывать моему сайту в каталоге инстанта.
Укажу как минимум на 2 косяка в безопасности, которые запросто могут положить сайт.
Косяк намбер 1:
На скрине ниже видно как я складываю архивы в папки сайта 22zona.ru/. Эту возможность мне "дарит" визуальный редактор FCK. При этом складывать файлы могу в любую папку в папке аплоад, папка имаджес тоже доступна, если нажать на кнопочку "добавить картинку", а там посмотреть на сервере.
А хостеры жуть как не любят когда на сайте складируют вирусы (на народе за это закрыли один из моих сайтов).
"А мы позволяем добавлять статьи только проверенным людям" — скажете вы. FCK редактор используется при редактировании настроек клуба. Грузить на чужой сайт вирусы можно и оттуда. К сожалению интеграция инстант и FCK не проработана тщательно, о чем я писал здесь instantcms.ru/forum/43/thread2000-1.html и закрыть эту дыру пока не получается никак.
Вывод: Либо менять редактор, либо позволять грузить файлы только в одну папку — дабы можно было их быстро проверять на вирусность. Лучший вариант — добавить в написание статьи бб кода для юзеров, а FCK оставить для модеров и выше.
Косяк намбер 2:
Опять же изза виз редактора. Так как панели редактора не поддаются настройке, опять таки написано тут instantcms.ru/forum/43/thread2000-1.html то есть такая чудесная кнопочка "источник", позволяющая вставить хтмл код в страницу любому, кто может писать статьи. Любой хтмл код, в том числе и опасный <iframe>. Чем это может грозить читаем тут yandex.ru/yandsearch?clid=9582&text=%D0%B2%D0%B8%D1%80%D1%83%D1%81+iframe.
Глядишь сейчас дело по внедрению бб кодов сдвинется с мертвой точки...
P.S. Версия инстанта 2.0 будет одной из лучших цмс не только среди бесплатных, но и платных. I like instant cms.
А прикрутить бб кода для написания статей сложно?
вместо строки
$group_id = $_SESSION['user']['group_id']; if ($group_id=="2") { $oFCKeditor->ToolbarSet = 'Admin'; } else { $oFCKeditor->ToolbarSet = 'User'; };А панелька User настраивается в файле fckconfig.js аналогично панельке Admin. Выкинул "лишние" кнопки источник и еще парочку.
В общем и себя не обидел, и юзеров. ))
Далее применяем метод от Евгения выше к файлу плагина.
Убираем загрузку Флеш для пользователя, или не убираем, по моему не нужна она.
Кнопка "посмотреть на сервере" есть в диалоговых окнах Картинок, Флеш, Ссылка, убрать ее конфигурацией нельзя, но есть html диалоговых окон. :)
Заходим в папку wysiwyg->fckeditor
Ищем в подпапках папку dialog, в ней файлы. Для картинок например нам нужен fck_image.html
Ищем в нем по слову browse где происходит отображение кнопки, комментируем строки и все, кнопка пропадет.
На примере картинок, в этом js надо найти строку // Show/Hide the "Browse Server" button.
И оставить ниже параметры 'none'.
Аналогично для других.