Аудит безопасности 2-ки. Предлагаю складчину

А что у нас есть базовые взломы 2 Инстанта или первого даже? И в процентах насколько бы вы оценили такой аудит? Я бы вот дал ему 1% полезности, так как вижу темы, за эти годы не раз видел взломы и там ситуация такова:

а хабру или fl.ru также взломали, как вы описали? нет. хотя вроде дыры были довольно очевидными и как столько лет никто не замечал и не ломал

а хабру или fl.ru также взломали, как вы описали?

Взломали, хотя их тоже не дураки делали. Возможно и аудит проводили.

хотя вроде дыры были довольно очевидными и как столько лет никто не замечал и не ломал

После взлома ситуация именно так и выглядит "очевидно же, почему не замечали". То есть всё ждет своего часа и аудит этому не поможет.

Сбор средств добровольный. Оценкой необходимости аудита пущай занимаются разработчики.

Добавить ещё надо "авось повезёт"

2-кой пока не занимаюсь, поэтому если что, участвовать буду скромно (но буду обязательно)

Однако хотелось бы напомнить как проводился аудит на 1-й ветке:
В начале обсуждение:
instantcms.ru/forum/thread11846.html
Потом решение:
instantcms.ru/forum/thread11847.html

1.
Для проведения аудита сами разработчики нашли, кто и за сколько будет делать.
В этом есть свой резон, со всех сторон.

2.
Относительно необходимости. Дело добровольное. Однако напомню по 1-й ветке аудит определенную пользу принес.
Не только в плане того что были найдены или не найдены шелы (Определенную пользу в плане безопасности тогда аудит принес).
Главная польза, это сам факт проведения аудита сторонними специалистами.
Многим это принесет моральное успокоение.

Так что главное слово за разработчиками, надежда на reg.ru и пр. специалистов которых немало предлагают подобные услуги, как то не внушает...

ЗЫ: По мне тоже кажется пока рановато, но с другой сторон пока деньги соберутся…

надежда на reg.ru

Вообще жесть. Заоблачные цены, рассылка писем по пользователям партнеров, с призывом покупать купленные за 99 рублей домены по 500, никакое железо на хостинге, и после всего этого еще и аудит у них?) Кто это предлагает, по моему просто не понимает.

никаких reg.ru, вы что

Я теперь ученый, поэтому, я конечно предложу исполнителя (еще не связывался и не наводил справки), но решать будете сами. Деньги ваши. Опять крайним я остаться не желаю. Обсуждайте, голосуйте. Как будет какое-то решение, пишите, организуем. Инициативы от нас не ждите. От нас только будет лишь исправления тех уязвимостей, которые сами найдем.

Поддержу аудит. Думаю, разработчикам надо как в прошлый раз, начать собр средств. Как соберется сумма — проводить аудит.
А так можно долго обсуждать.

Только сбор сделайте чуть подольше, а то налоги заплатил сегодня :)))
Лучше если Админы сайта выберут аудит контору.

Rainbow:
надежда на reg.ru

Вообще жесть.

Я же написал:

Для проведения аудита сами разработчики нашли, кто и за сколько будет делать.

Насчет:

Опять крайним я остаться не желаю.

Умные поймут, дуракам не докажите.

Я тоже за проведение аудита и готов участвовать в складчине. Также считаю что для текущей версии (2.2.1) аудит делать рано, нужно немного "отшлифовать" систему, хотя бы убрать все известные баги.

могу оказать содействие как финансово, так и самим аудитом от спецов mail.ru и других крупных компаний.

Отлично, тогда предлагаю провести аудит после выхода очередного обновления движка (2.2.2 или как его там (: ) форума и instantvideo. А пока проведем перекличку всех готовых поучаствовать.

предложу исполнителя (еще не связывался и не наводил справки)

Думаю, что можно уже наводить справки, хорошо бы узнать сколько это удовольствие будет стоить.

Лучше если Админы сайта выберут аудит контору.

я только за, если спецы будут действительно профи

Видимо осенние нагрузки не проходят даром. За полтора года ни одного взлома системы — но они за. Может аудит то и понадобится, если будут симптомы того, что сайты от системы теряют в безопасности, но когда нет этого — как то странно всё это, особенно в свете что 2 Инстант еще во многом только в становлении и многое меняется в нём.

Дело конечно добровольное, но выразить свои сомнения в необходимости это делать сейчас или пусть чуть позже, я думаю могу. Спасибо за внимание, удачи в сборах.

За полтора года ни одного взлома системы — но они за. Может аудит то и понадобится, если будут симптомы того, что сайты от системы теряют в безопасности, но когда нет этого — как то странно всё это, особенно в свете что 2 Инстант еще во многом только в становлении и многое меняется в нём.

С этим полностью согласен.

ЗЫ: По мне тоже кажется пока рановато, но с другой сторон пока деньги соберутся...

Фактически пока это не необходимость, а только для морального успокоения.
А сумма не маленькая.
По несколько раз с изменением системы, собирать (и вообще канителится) не получится.

Поэтому возможно как вариант лучше сделать голосование кто за то чтобы проводить аудит сейчас, или кто за то что бы дождаться более стабильной версии когда будут включены все запланированные функции. Так будет хотя бы понятно в цифрах кому это вообще нужно и как именно.

Не хотелось бы что бы этот вопрос решался с горяча.

Видимо осенние нагрузки не проходят даром. За полтора года ни одного взлома системы — но они за.

покажите проекты, которые могли бы по какйо то причине заинтересовать кулхацкеров? так что пол года или год это не показатель. Показатель масштаб сатов, которые пытались взломать, но не взломали.

если будут симптомы того, что сайты от системы теряют в безопасности, но когда нет этого — как то странно всё это

т.е надо дождаться взломов и потом принимать меры? странная логика. Обычно letsgo, Вы более последовательны и стратегичны.

А сумма не маленькая.

так уже выше писали — мероприятие добровольное. кто может позволить себе это и хочет быть уверен в том, что система отвечает всем необходимым условиям безопасности, те велком.
Система в целом уже в ядре стабильна и ее только улучшшают и оптимизируют, убирают баги.
Если же Fuze подберет профи аудитора, то уверен с ним также можно будет обговорить условие, что потом доделать аудит с теми компонентами, которые войдут в систему за сумму, которая будет оплачена. Либо разделить оплату на 2 транша