Аудит безопасности InstantCMS 1.10

Из за огромного кол-ва изменений будет следующей версией 1.10

есть небольшая просьба — компонент форума переписывать в последнюю очередь, а как будете браться за него — отпишитесь тут пожалуйста — спишусь с вами и предоставлю свои доработки по данному компоненту (на данный момент их ну очень мало, практически можно сказать нет, но кое что всё-таки есть, небыло времени им вплотную заниматься, хотя обещал сообществу, да впринципе и сейчас много времени уходит на другие личные дела) тут редко появляюсь, но раз в сутки всё-ровно захожу

просьба — компонент форума переписывать в последнюю очередь

и так оставил напоследок)

ну не знаю как правильно назвать, да и спорить не буду — но наверное всё таки дыры, через которые как и у меня на сайте, так и у других тут пользователей инстанты появлялись неизвестные файлы в папках сайта (это только один из случаев привёл). не уязвимость ли ???

Ну давай глянем правде в глаза, была дырка, через которую лили pdf файлы. Её устранили тут же, такие моменты достаточно редки на Инстанте, тем более редактор есть редактор. А теперь сравни что пишешь ты:

1.9.1 будет содержать, точнее наоборот не будет содержать уязвимости в ядре. то есть это версия 1.9 с закрытыми дырами

Так версия 1.9 уже не содержит дыры, так ведь? Так к чему такие заявления то, мне вот странно. Идет разговор о том что Fuze переписывает и улучшает практически все компоненты, но это так именно и называется. В какое то время будут возникать новые дырки, раз в несколько месяцев, это естественный процесс, и будут устраняться и в версии 1.9 и 1.9.1 и в 2 будущей, но писать о дырявой 1.9 — пустая болтовня.

Предлагаю сменить понятие " дырявой " на более подходящее IT сообществу, на пример, безопастность 3 из 10 .
Реально, стрёмно звучит, Господа.
И при описании уязвимостей тоже нужно рассматривать уровень. Школота через post/get запрос,sql injection и линки дыбает (такое нужно срочно решать)!!!, или мастер, который всегда найдёт.
Лично я перейду на 1.9.1 (1.10) только из соображений безопастности и в надежде, что будет нормально работать редактор.Кодировка меня и cp1251 вполне устраивает.

а вот версия 191 пролетит и все.

Скорей всего у кого не очень громоздкий проект будут стараться перебраться на неё, именно потому что она планируется быть более стабильной как я понял. чем текущая. И аудит поможет сделать её более стабильной.

А все что касается 2.0… Её пока нет, так какой смысл об этом говорить? Будет хотя бы бета, тогда и надо поднимать тему. А так можно сказать "давайте будем на 3.0 собирать, она будет еще лучше чем 2.0..."

Тестеры потестят ну найдет пару дыр, ну залатаю их и все, наэтом и останемся.

Я хотел бы надеяться, что вообще не найдут, а уж если аш две… то тогда точно не зря собираем.

Я за будующее хоть оно и нескоро настанет.

Я то же. Только не за то которое когда то наступит, а за то что уже требует конкретных действий.
А на сегодня от нас всех нужно только помочь посильно проекту в конкретном деле.

Это как пенсия — вроде далеко, а если посмотреть с другой стороны......

Это я то же понял, За 1.9.1 нужно платить сегодня и сейчас. Я за 2.0 "может быть, когда нибуть".

Да, но)) смысл есть в 2.0, так как ядро переписывается заново, а от первых шагов зависит будущее системы,
а если из за постоянных дыр постоянно будет переписываться основа системы, то можно будет тысячу раз допиливать и возвращаться к переписи движка заново. имхо. развитию нужен стабильный фундамент. Благодаря вкладу в фундамент 2.0 изначально мы можем получить наследование версией 3.0 ядра от 2.0 и развитие системы уже будет направлено на развитие функционала системы или… или… чего то еще.


Насчет спеца: было бы не плохо если бы такой человек был в штате instantsoft и мог контролировать выложенные пользователями плагины и компоненты, проверять их безопасность и после этого разрешать или запрещать к выходу их в паблик, тогда и к системе претензий безопасности поубавилось бы я думаю.

Все верно сказано (именно про это и был мой пост выше)

Лично я перейду на 1.9.1 (1.10) только из соображений безопастности

аналогично ) Но оч волнует меня один вопрос — я себе форум заказала напрочь переписанный, не считая всяких плюшек — вообще дерево. Так вот можно ли как-то проапгрейдиться будет, не затрагивая форум?

1. Каждая версия имеет право быть проверенной, тем паче на текущих останутся огромное число людей. Да и не жить же постоянными тревогами годами.
2. Думается что пропатченная версия должна иметь свой номер.
3. К вопросу компонентов, это дело лично каждого, особенно хороших и посещаемых проектов проверять безопасность купленных, сторонних и тем самым огородить пользователей, на это должен быть бюджет и он на самом деле не такой большой и не выйдет за рамки конверсии самого проекта и преувеличит её. В купе конечно с разработчиком компонента, но это уже вопрос договоренностей и поддержки.

Насчет спеца: было бы не плохо если бы такой человек был в штате instantsoft и мог контролировать выложенные пользователями плагины и компоненты, проверять их безопасность и после этого разрешать или запрещать к выходу их в паблик, тогда и к системе претензий безопасности поубавилось бы я думаю.

Оклад от 100000 месячный, кто готов скидываться на это дело? )))

Все верно сказано (именно про это и был мой пост выше)

Дак это потому что я с вами полностью солидарен
и следил некоторое время за развитием одной прогрессивной зарубежной cms с направленностью "community" cms

Оклад от 100000 месячный, кто готов скидываться на это дело?

Да что вы все о деньгах garry, помните Человек с бульвара капуцинов, " — Гарри, — заряжай"))

Разве эта cms родилась за деньги?
Неужели Создатель выкладывал в инете обьявления скинтесь пожалуйста я сделаю cms?
Ведь это происходило совершенно бесплатно. (мотивы известны лишь создателю)
И это принесло плоды:
сообщество с разным уровнем специалистов-пользователей. (мотивы известны только пользователям)

Ну дак давайте же используем это как-то, если это комъюнити проект.
Зачислим из пользователей ну например старшего "кодера", младшего… если это возможно.

А за такие деньги "Оклад от 100000 месячный" еще 100 и можно заказать отличный стабильный портальный движок с поддержкой и обновлениями безопасности.

Gumoff, Не я поднял вопрос о ШТАТЕ, а он подразумевает оклад. Тем паче ради плюса в карму, ни кто из серьезных спецов не работает, да собственно это уже работа и ответственная. Взваливать такую ответственность на себя за плюс в карму ни кто не будет.
А оклад месячный такой и есть, конечно с вариациями, например за разовые работы.

А за такие деньги "Оклад от 100000 месячный" еще 100 и можно заказать отличный стабильный портальный движок с поддержкой и обновлениями безопасности.

Хорошую, обновляемую под компоненты, безопасную и с поддержкой, доработкой не реально.


Кстати рекомендую к использованию на своих сайтах www.revisium.com/ai/ скрипт проверит и найдет шеллы и всякую гадость в скриптах джава и остальных, подозрительные файлы и тд.

Тем паче ради плюса в карму, ни кто из серьезных спецов не работает, да собственно это уже работа и ответственная. Взваливать такую ответственность на себя за плюс в карму ни кто не будет.
А оклад месячный такой и есть, конечно с вариациями, например за разовые работы.

Давайте не из серьезных спецов, которым лениво, давайте из энтузиастов желающих стать серьезными спецами)
А какая ответственность? вряд ли думаю юридическая.

Жаль что я не спец и тем интересней разобраться)
Если огонь в глазах погас, кому нужны такие спецы?

А какая ответственность? вряд ли думаю юридическая.

Допустим, есть компонент реально классный и имеющий допустим оценку безопасности 10, с аннотацией о полной проверке( проверял не "серьезный спец" и так как вы предлагаете от имени проекта instantcms. Владелец — вебмастер популярного, уникального проекта ставит его себе и радуется. Потом бах и его сайт слит и размножена база по 500 сайтам. анализ показывает на этот модуль. Как вы думаете какова будет реакция?

Для примера привожу несколько серверов на которых сейчас слитых уже более 40000 тысяч сайтов. Можете кстати поискать и свои там. Позиции и любовь ПС падает достаточно быстро к склонированным.
Обновляются в реал тайме, все сайты рабочие и индексируются великолепно(http://www.google.com/search?q=site%3Amobill.name ) некоторые выше оригинала, так что так. Кто с мобилы на свои если увидите сайты не заходите, хотя там ничего страшного, если не загружать оперу которую предлагает ваш сайт)))
mobill.name/ — внизу карты сайта, это только один сайтик с того хоста. А там такой не один, работают люди не покладая рук.

а если из за постоянных дыр постоянно будет переписываться основа системы, то можно будет тысячу раз допиливать и возвращаться к переписи движка заново. имхо. развитию нужен стабильный фундамент.

Даже не знаю, так много хочется ответить...
Где Вы постоянные дыры нашли?, покажите хоть одну...

допиливать и возвращаться к переписи движка заново

А что надо каждый релиз с нуля писать?

Давайте не из серьезных спецов, которым лениво, давайте из энтузиастов желающих стать серьезными спецами)

А давайте мне я в этом нифига не шарю, но зато энтузиа-а-аст, дальше некуда, и хочу (ну, жуть как) спецом стать
Gumoff, Hmelex,

Дак это потому что я с вами полностью солидарен

Я так понял, что все будут на 1.9.1 (1.10) переходить завтра, а Вы сразу на 2.0? Не подскажите как это сделать тем у кого по несколько проектов, (перескочить сразу на 2.0)
При условии, что кто то на 2.0 их переводить вообще не рискнет.
Gumoff, Hmelex,
И еще раз, хотелось бы спросить где Вы видели 2.0 готовую для проведения аудита?