Безопасность движка, сбор средств, кто "за" ?

#1 16 августа 2012 в 17:55
у меня сайты не первый раз ломали(дорвеи, шел и т.д.), а недавно провели XSS-атаку на сайт.
у движка, на сегодняшний день, серьезные проблемы с безопасностью.
Разработчики перегружены и не успевают(это я так понимаю) за всем уследить, движок-то бесплатный.
Предлагаю обсудить тему.
Есть ли желающие скинуться и создать "фонд безопасности" для движка.
эти деньги можно передать разработчиками, чтобы они нанимали хакеров-тестеров или мы наймем а разработчикам скинем инфу о дырах. Чтобы каждый школьник выучивший азы пхп не устраивали нам проблемы

Сам готов поддержать, кровно заработанными, аж на целые 3000 руб :)

хотел бы услышать мнение сообщества
#2 16 августа 2012 в 18:00
lezginka.ru, абсолютно за! Только какую версию ты бы хотел поддержать? Вдруг 1.9.1 будет безболезненной для миграции… Но на 1.9 останется, конечно, много людей… По этому я абсолютно ЗА.

Осталось найти действительно заинтересованного и хорошего профессионала или даже команду…
#3 16 августа 2012 в 18:18
Хорошая идея, только думаю нужно подождать выхода новой версии…
#4 16 августа 2012 в 18:19
Тоже за, но хотелось бы видеть открытую статистику, кто сколько скинул… и сколько щас в копилке… smile
#5 16 августа 2012 в 18:21
Не вижу ни смысла не перспективы!
неломаемых движков без дыр в природе нет
можно всем миром сделать ядро цмс — АБСОЛЮТ так сказать, но к нему напишут модуль и этот абсолют превратится в дырявую цмс, или поставит чел этот абсолют на сервер и выставит права 777 и 666 ну и естественно его сайт снесут и он скажет какая дырявая цмс.
Ну короче гдето читал что 90% всех взломов от кривизны рук пользователей и дырявых дополнений, не хочу никого обидеть конечно, сам я такой.
У меня легальную с поддержкой netcat extra ломали через какую то дырку для инъекций sql
на одном и том же сервере у меня на джомле несколько сайтов и ни один не сломали а у моего клиента на этом же сервере турки в джомлу какой то свой призыв на главную страницу залили, ну вобщем примеров можно приводить кучу.
Мое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками.
Для того чтобы когото нанять нужно найти таких людей которые бы знали систему не хуже разработчиков и получается нанять разработчиков! smile
Ну это мое мнение.
#6 16 августа 2012 в 18:25
на счет версии, я не знаю… на чем больше народ сидит
я предполагаю, что лучше настроится на 1.9.1
но решать надо сообща.

и еще.
подумайте как простимулировать тех кто готов заплатит более 1000 руб.

и сколько щас в копилке...

3000 руб.(виртуальных)
#7 16 августа 2012 в 18:29

Мое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками

для этого тоже деньги нужны
т.е. чтобы там профи давал оценку новым модулям, комопонентам и т.д. сточки зрения безопасности

движок уже стал популярен и теперь школота нас не оставит в покое

неломаемых движков без дыр в природе нет

Олег, мы делаем защиту от школоты, те кто выучил азы пхп и давай из себя строит… бесплатные движки ломать
#8 16 августа 2012 в 18:34

для этого тоже деньги нужны
т.е. чтобы там профи давал оценку новым модулям, комопонентам и т.д. сточки зрения безопасности

lezginka.ru
вот в этом я бы тоже поучаствовал деньгами, только чтобы платил компетентный чел за работу, ну тоесть чтобы мог дать оценку и соответственно определить, платить или нет, ато так опять же школота полезет перепечатывать из инета все подряд и никаких денег не хватит
#9 16 августа 2012 в 18:37
Я тож готов скинуться.

Но eoleg прав — не сделать неломаемого сайта! Если уж ты наступил на хвост кому-то, то при желании сломают любой сайт. И чем он сложнее и функциональнее, тем проще это сделать.
#10 16 августа 2012 в 19:44
извините что не в тему
у меня в корне лежат 2 файла от генератора карт у них права 777, это не безопасно?
#11 16 августа 2012 в 19:49
Чтобы залить дорвей, нужен левый скрипт файлового менеджера. Так что можете искать дыру на других сайтах хостинг аккаунта. Либо шерстить логи и смотреть кто мог бы это залить через фтп. Вы и сами могли, в качестве модуля например.
#12 16 августа 2012 в 20:01
А на что скидываться то?) Инстант достаточно хорошо защищенная система, 90% случаев либо головотяпство собственное, либо раз в 3-4 месяца находят дыру и устраняют. Причем разработчики делают это максимально оперативно. Не вижу на что скидываться.
#13 16 августа 2012 в 20:01
lezginka.ru, во-первых как уже 100500 раз писалось, права доступа, htaccess, последняя версия InstantCMS — это правильный путь к построению безопасности вашего сайта.
В 1.9.1 все известные нам уязвимости устранены.
Ну и напоследок,
сами мы попросту не сможем физически все оттестить. Мы узнавали у людей, занимающимися подобными тестами (именно специалисты), цену. Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет, а мы на данный момент не можем себе позволить оплатить это. Так что, имхо, тема бессмыслена.
#14 16 августа 2012 в 20:23

Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет

Fuze
Если бы каждый внес свой вклад, думаю сумма подъемная… А что входит в эти 50 т.р.?
#15 16 августа 2012 в 20:33

Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет

возможно

Так что, имхо, тема бессмыслена.

не совсем соглашусь.

например.
чайнику, вроде меня, было проще и легче зайти на сайт, типа www.instantvideo.ru, где доступ может получить только по приглашениям админа.
выложить проблему, почитать аналогичные случаи, а кто-то может предложит и свои услуги проверки типичных проблем.
Так как проблемы со взломами теперь будут все чаще и чаще возникать, то инстант-сообщество узкоспециализированное по безопасности облегчит жизнь чайникам.

во-первых как уже 100500 раз писалось, права доступа

Fuze, у чайников есть склонность наступать 100500 раз на грабли(по себе знаю), а отдельный сайт-форум-блог облегчит жизнь.
Возникла проблема, зашел туда, почитал, пообщался и проблема решена.

А создания такого форума-блога вопрос времени и профессионализма. вот тут и проблема, что админ такого сайта должен быть профи.
Так как это время и нервы, отвечать на однотипные прроблемы чайников, нужно это как-то компенсировать(материально).
Может даже стоит ежемесячный доступ сделать платным. Возникла проблема, оплатил месячную оплату, зашел на форум почитал, поговорил и т.д.
А если нет проблем ничего и оплачивать не надо.
Думаю, что вариант "сайт по безопасности с платным доступом" стоит внимания
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.