Безопасность движка, сбор средств, кто "за" ?

пока есть чайники, а они будут всегда — тема будет вечной

Да и уязвимости будут вечно) Вон как упомянули, гоша до сих пор платит бабло тем кто находит уязвимости в их мега стабильном и неуязвимом двиге))
Устранить ВСЕ не возможно… тем кому нужно всегда ищут и находят новые лазейки которые не всегда являются уязвимостями, но совокупность знаний и лазеек дает новые возможности взломать!
Уязвимость нельзя рассматривать только в наборе фалов движка!
Нужна совокупность всего что установлено на сервере, настройка сервера, плюс версии ПО… ну и самое интересное — сторонние разработки. У ВСЕХ это набор разный.

Другими словами — Одна и та же виноградная лоза может дать как хороший урожай так и плохой или может вообще завянуть! Потому что посадить можно как в тайге, так и в пустыне или на плодородном черноземе, но даже посаженная на черноземе тоже может поливаться регулярно а другая нет! также поливаться могут одна с удобрениями другая без… Перечислять можно долго)

letsgo, не согласен, давай обсудим это в другой ветке.

Всё читать не стал много уже написали, если баян уже, то простите.
То что человек сделал, то другой человек сломает. Тут уж никуда не деться, с другой стороны эти "ломатели" лично для меня думаю и для других тоже, приносят некий доход называемый "обслуживанием сайта". Вот к примеру делаешь сайт и спрашиваешь у людей о тех-обслуживание. Я сразу обговариваю этот момент. В этот пункт может входить многое, обновление движка, обновление контента, различные дополнение, залатывания дыр(от них всё равно никуда не деться) и т.д. и т.п. В общем пусть ломают, они так и дыры помогают найти и денег приносят. Может у меня подход оптимистичный, в целом как то так

Только вот написать любому из тех, кто умеет делать, и вдруг окажется что он уже занят работой как минимум на месяц) А уровень R2 или Fuze или Maxisoft тут еще у одного двух человек возможно и им сидеть писать статьи?)

Расписываетесь в бесили, вот возьмем скажем вариант постсоветского продмага и супермаркет, так что то не хочется идти в продмаг, где чуть чего получишь жалобной книгой полбу. Имидж имеет больше чем одна сторона. Легко сказать "ни зя" и все больше ни чего не надо, это как запрещено в подсознании откладывается.
Молится человек
-Боже я же такой верующий, милостыню даю, закон выполняю, почему ты не дашь мне выиграть миллион.
И так каждый день. В итоге небо разверзлось и оттуда голос
— Вижу что ты хороший верующий, милостыню подаешь, закон выполняешь, но в конце концов сходи купи лотерейный билет.
К чему я, надо попробовать, пока не попробуешь, не узнаешь.

letsgo, а не приходила идея что не Вы к фрилансеры, а они к Вам. Кстати если на офф. сайте нет ну скажем статей, то первый же попробовавший задастся вопросом если они не используют, так сказать лицо движка, то что бы это значило. Проблема не в отсутствии спецов, она в головах и мышлении, поменяй мышление и оказывается можно и где то "ни зя" делось то.

letsgo, а не приходила идея что не Вы к фрилансеры, а они к Вам.

Приходила конечно. Лежу как проснусь и думаю, вот счас сяду за компьютер когда, а тут раз со всех сторон пишут фрилансеры, предлагают услуги, а я отказываюсь. Сяду за комп и снова старое мышление лезет наружу)

Расписываетесь в бесили

А мне кажется это не я прошу что то сделать, я то как раз бессилия не испытываю и не прошу ничего создать.

и оказывается можно и где то "ни зя" делось то

Староват я для таких тренингов, уж как нибудь сам разберусь что низя, а что можно, пока вроде получается.

// Интересную тему подняли. И вечную. Как писали выше, самую неуязвимую систему, триста раз проверенную, можно легко угробить сторонними модулями или компонентами. Сколько аудитов не делай, исправление даже одной строчки кода может привести к проблемам безопасности серьезнее чем исправленная уязвимость.

Тестировать систему на уязвимости необходимо, а самым лучшим тестом является как раз таки долговременное использование на реальных сайтах. Просто в рамках одного теста не реально учесть всех нюансов, начиная от настройки сервера и заканчивая настройками самой системы.
Лучшим источником, и тестером системы были, есть и будут пользователи. Как админы, так и пользователи, и гости.

У инстанта пока что слабо развита обратная связь. От тестера -> к разработчику, и обратно.
Что бы не быть голословным. Релиз 1.9 состоялся в ноябре 11 года. В 12 году были найдены и исправлены уязвимости. Найденные уязвимости оформлены в виде патча безопасности. Где о них хоть слово сказано при скачивании последнего релиза? Не слова и в новостях, в описании релиза.

Новичек приходя на сайт скачивает 1.9, устанавливает, и только потом, когда сломали, узнает что кроме 1.9 надо еще и патч накатить сверху. Узнает об этом после взлома, весь кипя от злости, гнева, обиды идет на форум что бы высказать все что думает по "этому поводу" ну и решение найти. А оказывается решение есть, его тыкают как котенка в уже существующие темы с обсуждениями… Возникает мысль — а что, раньше предупредить ниЗЗя никак было?

На мои слова Вы можете справедливо ответить — кому надо, те сами следят за обновлениями и патчами. Читают форум, следят за траком (трак, это еще одна отдельная песня).
-Да, следят. Но таких единицы. Людям необходимо делом заниматься, а не сидеть на форуме F5 следя за новостями.

Запросы, найденные баги, все сваливается на форум. trac существует, но кроме разработчиков, и заинтересованных 1% продвинутых пользователей им никто не интересеутся, да и найти его сложно одна ссылка с главной и то не все по ней перейдут.

Сам trac, переодически спамиться, читать его, выискивая среди порнухи реальные issue это как рыться в чужом грязном белье. Для пользователей регистрация закрыта. Нет возможности комментирования issue (некоторые карточки рад бы подсказать путь решения да нет возможности) а на форуме вопрос из карточки не повторяется, или повторяется и решен, но указать на путь решения возможности нет.
Принять участие в разработке нового релиза, как бЭ возможность есть, обращайтесь и мы вас примем, но реально ею не хотят, могут и тд. воспользоваться. Тут несколько барьеров, начиная с психологического и заканчивая чисто организационными. Конечно понятно, что набирать в команду абы кого не будут, и тратить попусту время на кандидатов никто не хочет (для того и возведены барьеры), но, как всегда есть НО… Всегда находятся мелкие, глобально не значимые исправления, улучшения, дополнения кода. Их бы добавить, да нет возможности. Ради пяти строчек кода связываться с разработчиком? проситься в команду? Да ну это все к…

lezginka.ru, Вы столько раз заявляете «Я чайник», что создается впечатление, что Вы очень гордитесь тем, что Вы «чайник» и не желаете прикладывать никаких усилий, чтобы как-то из этого звания постепенно вырастать.

«Я чайник и горжусь этим, ничего, что я постоянно наступаю на те же грабли и не желаю их замечать. Зачем мне в чем-то пытаться разобраться, если в голове у меня гениальный проект. Я возьму готовую хорошую CMS, потом куплю у одного дяди дополнительный модуль, у другой тети – дополнительный компонент, прикручу еще несколько платных сторонних фишечек. Потом кто-то за деньги обеспечит мне безопасность моего проекта – и готово. Народ бросит Контакт, Фейсбук и прочую лабуду и валом попрет ко мне…»

Может, не надо сходу строить ковчег, не имея никакого опыта в этом? Вы же не Ной (как и большинство из нас) и у Вас нет такого незримого покровителя, вдохновителя, помощника и наставника, как был у него. Может, сначала надо сделать простую добротную лодку, приобрести какие-то знания и опыт, перестать наступать на грабли по сто раз?

Несколько человек в этой теме отмечали, что сама CMS (без всяких сторонних дополнений) довольно неплохо защищена от уязвимостей. Надо только выполнить набор необходимых действий и можно чувствовать себя более-менее спокойно. Конечно, при остром желании, можно взломать что угодно. Но если Вы дополняете систему сторонними доработками, то увеличиваете шанс взлома своего проекта в разы.
И никто никогда ни за какие деньги не обеспечит Вам стопроцентную безопасность.
Поэтому, мне кажется, что «чайнику» нужно сначала научиться использовать «чистую» систему, без всяких сторонних модулей и компонентов. Тем более, что в самой системе функционала для создания любой социальной сети – более, чем достаточно. И привлекать посетителей на свой сайт прежде всего оригинальной идеей и качественным контентом. А думать, что главное – это прикрутить как можно больше сторонних фишечек и примочек и успех обеспечен – как минимум, наивно. И, как показывает не только Ваш опыт, небезопасно.

Владимир, это правда

Вы же не Ной (как и большинство из нас) и у Вас нет такого незримого покровителя, вдохновителя, помощника и наставника, как был у него.

с твой легкой руки удалю этот текст.
остальной текст не про меня

блин… не ту кнопку нажал и половина поста ушла в печать...
Пусть этот пост будет Ч№2

Предложения по улучшению ситуации.

Стоит выпустить или обновить пакет 1.9 cp1251 добавив него патч. Для того что бы новые пользователи хотя бы на данный момент устанавливали последнюю версию системы.

Для тех у кого система уже установлена, добавить в админку возможность проверять обновления (хотя бы через механизм новостей) т.е. выводить в блоке новости системы. По требованию (кнопка проверить) или же автоматически (проверка раз в сутки, раз в неделю ets. ) Ну и своевременно эти новости добавлять. В админку своего сайта мы чаще заходим чем на главную проекта. А старожилы так вообще в закладках держат форум и реже блоги, а не главную и новости.

Для разработчиков, тестеров, или тех кто просто желает помочь, указать на ошибку, добавить код, сделать ссылку в главном меню на трак, а не только с одной главной страницы.

Для танкистов: это багтрекер, а не форум.

да, но какраз таки это и место добавления и обсуждения проблем и их решения. Дать эту возможность. С жесткой модерацией. Флуд? Иди в бобруйск на форум, в траке пиши по делу!…

мысль в слух… Возможно стоит начать использовать вместо trac -> github? Отпадет головная боль со спамом (роботы массово туда еще не добрались, а те что добираются быстро усилиями владельцев git быстро исчезают)
Доступность git и его сервисов. Контингент который его посещает. Возможно присутствие проекта в git репозитории привлечет новых разработчиков, вдохнет жизнь в проект еще больше. Тем более, что у r2 есть аккаунт на github. там загружена версия 1.8. Привести на git в репозитории код в соответствие с текущим и продолжать разработку там.

А мне кажется это не я прошу что то сделать, я то как раз бессилия не испытываю и не прошу ничего создать.

Интересно, letsgo, а почему Вас устраивает статус CMS как местечковой, я могу понять если бы я наезжал на разработчиков, но я ж то не наезжаю. Ситуация напоминает, народ предлагает сделать переливание крови Вики, а Вы нет мол, нельзя, а то парень в девушку превратится, суеверия какие то. Да и эти Ваши пророчества, так подтвердите свой статус, сделайте и если не получится то я первый скажу letsgo пророк. Да и вообще не пойму чего Вы сопротивляетесь, элементарный пример, я напишу на форуме о SEO, Вы пойдете напишете интересную статью и заработаете копейку или все эти разговоры о SEO это только хвастовство. Плюс это будет для тех кому это интересно, для небольшой группы.
Меня вот цепанула одна Ваша фраза, спецы заняты, объясню почему. Возьмем для примера Джумлу, две точки, первая когда только пришла идея ее написать и вторая то состояние которое существует сейчас. Так вот если в промежутке между ними нет людей которые ходят в подгузник, пытается выговорить мотреврите, тягает все с разных сайтов, беспорядочные связи налево и право, то такой CMS не существует, нет второй точки. Ну в самом деле только родился и сразу институт закончил.

Меня вот цепанула одна Ваша фраза, спецы заняты, объясню почему. Возьмем для примера Джумлу, две точки, первая когда только пришла идея ее написать и вторая то состояние которое существует сейчас. Так вот если в промежутке между ними нет людей которые ходят в подгузник, пытается выговорить мотреврите, тягает все с разных сайтов, беспорядочные связи налево и право, то такой CMS не существует, нет второй точки. Ну в самом деле только родился и сразу институт закончил.

набор слов какой-то… прочитал 3 раза ничего не понял)

у движка, на сегодняшний день, серьезные проблемы с безопасностью.

Чтобы каждый школьник выучивший азы пхп не устраивали нам проблемы

Какие-то голословные утверждения. У движка нет серьезных проблем с безопасностью. Серьезные проблемы есть у пользователей, не желающих читать инструкции, рекомендации и ставить обновления.

у r2 есть аккаунт на github

я понятия не имею чей это аккаунт

Какие-то голословные утверждения.Серьезные проблемы есть у пользователей, не желающих читать инструкции, рекомендации и ставить обновления.

согласен. извиняюсь, я неправильно выразился.
но от этого юзерам не легче, и проблем не становиться меньше, т.е. нам надо их решать

lezginka.ru, проблем и не станет меньше пока ты сам не сядешь и не разберешься с тем что такое права на файлы, владельцы файлов, как они связаны и на что влияют

lezginka.ru, проблем и не станет меньше пока ты сам не сядешь и не разберешься с тем что такое права на файлы, владельцы файлов, как они связаны и на что влияют

r2, не согласен, т.к. на этом не все решается и разговор дойдет- "не плохо бы тебе программирование знать"