Безопасность движка, сбор средств, кто "за" ?

 
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4284
у меня сайты не первый раз ломали(дорвеи,шел и т.д.), а недавно провели XSS-атаку на сайт.
у движка, на сегодняшний день, серьезные проблемы с безопасностью.
Разработчики перегружены и не успевают(это я так понимаю) за всем уследить, движок-то бесплатный.
Предлагаю обсудить тему.
Есть ли желающие скинуться и создать "фонд безопасности" для движка.
эти деньги можно передать разработчиками, чтобы они нанимали хакеров-тестеров или мы наймем а разработчикам скинем инфу о дырах. Чтобы каждый школьник выучивший азы пхп не устраивали нам проблемы

Сам готов поддержать ,кровно заработанными, аж на целые 3000 руб :)

хотел бы услышать мнение сообщества
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 1549
lezginka.ru, абсолютно за! Только какую версию ты бы хотел поддержать? Вдруг 1.9.1 будет безболезненной для миграции... Но на 1.9 останется, конечно, много людей.... По этому я абсолютно ЗА.

Осталось найти действительно заинтересованного и хорошего профессионала или даже команду...
Люблю эту CMS!
Я немного художествую тут: http://virelart.ru :)
Пока по большей части выкладываюсь тут vk.com/virelart. p.s.: пасибки можно в карму :3
Реклама
cms
Посетитель
small user social cms
МедальПочетный донор проектаКубок зрительских симпатий
Сообщений: 423
Хорошая идея, только думаю нужно подождать выхода новой версии...
Посетитель
small user social cms
Медаль
Сообщений: 276
Тоже за, но хотелось бы видеть открытую статистику, кто сколько скинул.. и сколько щас в копилке... smile
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 2470
Не вижу ни смысла не перспективы!
неломаемых движков без дыр в природе нет
можно всем миром сделать ядро цмс - АБСОЛЮТ так сказать, но к нему напишут модуль и этот абсолют превратится в дырявую цмс, или поставит чел этот абсолют на сервер и выставит права 777 и 666 ну и естественно его сайт снесут и он скажет какая дырявая цмс.
Ну короче гдето читал что 90% всех взломов от кривизны рук пользователей и дырявых дополнений, не хочу никого обидеть конечно, сам я такой.
У меня легальную с поддержкой netcat extra ломали через какую то дырку для инъекций sql
на одном и том же сервере у меня на джомле несколько сайтов и ни один не сломали а у моего клиента на этом же сервере турки в джомлу какой то свой призыв на главную страницу залили, ну вобщем примеров можно приводить кучу.
Мое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками.
Для того чтобы когото нанять нужно найти таких людей которые бы знали систему не хуже разработчиков и получается нанять разработчиков! smile
Ну это мое мнение.
Раньше РАЙ был везде - РАЙсовет, РАЙком, РАЙсобес...., а сейчас везде АДминистрации!
Не надо давать людям советы. Каждый должен лохануться самостоятельно!
Любишь в продакшн, люби и баги починить!
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4284
на счет версии , я не знаю ... на чем больше народ сидит
я предполагаю, что лучше настроится на 1.9.1
но решать надо сообща.

и еще.
подумайте как простимулировать тех кто готов заплатит более 1000 руб.

и сколько щас в копилке...
3000 руб.(виртуальных)
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4284
Мое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками
для этого тоже деньги нужны
т.е. чтобы там профи давал оценку новым модулям,комопонентам и т.д. сточки зрения безопасности

движок уже стал популярен и теперь школота нас не оставит в покое

неломаемых движков без дыр в природе нет
Олег, мы делаем защиту от школоты, те кто выучил азы пхп и давай из себя строит...бесплатные движки ломать
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 2470
lezginka.ru:
для этого тоже деньги нужны
т.е. чтобы там профи давал оценку новым модулям,комопонентам и т.д. сточки зрения безопасности
вот в этом я бы тоже поучаствовал деньгами, только чтобы платил компетентный чел за работу, ну тоесть чтобы мог дать оценку и соответственно определить, платить или нет, ато так опять же школота полезет перепечатывать из инета все подряд и никаких денег не хватит
Редактировалось: 1 раз (Последний: 16 августа 2012 в 18:36)
Раньше РАЙ был везде - РАЙсовет, РАЙком, РАЙсобес...., а сейчас везде АДминистрации!
Не надо давать людям советы. Каждый должен лохануться самостоятельно!
Любишь в продакшн, люби и баги починить!
Посетитель
small user social cms
Медаль
Сообщений: 447
Я тож готов скинуться.

Но eoleg прав - не сделать неломаемого сайта! Если уж ты наступил на хвост кому-то, то при желании сломают любой сайт. И чем он сложнее и функциональнее, тем проще это сделать.
Посетитель
small user social cms
Сообщений: 70
извините что не в тему
Спойлер
Модератор
small user social cms
МедальПочетный донор проектаКубок зрительских симпатийАвторитет форума
Сообщений: 1422
Чтобы залить дорвей, нужен левый скрипт файлового менеджера. Так что можете искать дыру на других сайтах хостинг аккаунта. Либо шерстить логи и смотреть кто мог бы это залить через фтп. Вы и сами могли, в качестве модуля например.
Нормальный хостинг, сервера быстрые - пользуюсь сам.
Посетитель
small user social cms
МедальКубок зрительских симпатийАвторитет форума
Сообщений: 6473
А на что скидываться то?) Инстант достаточно хорошо защищенная система, 90% случаев либо головотяпство собственное, либо раз в 3-4 месяца находят дыру и устраняют. Причем разработчики делают это максимально оперативно. Не вижу на что скидываться.
Хостинг и ВПС Халява тексты Стартапы Instantcms в Telegram
InstantCMS Team
small user social cms
МедальАвторитет форумаКубок зрительских симпатий
Сообщений: 4336
lezginka.ru, во-первых как уже 100500 раз писалось, права доступа, htaccess, последняя версия InstantCMS - это правильный путь к построению безопасности вашего сайта.
В 1.9.1 все известные нам уязвимости устранены.
Ну и напоследок,
сами мы попросту не сможем физически все оттестить. Мы узнавали у людей, занимающимися подобными тестами (именно специалисты), цену. Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет, а мы на данный момент не можем себе позволить оплатить это. Так что, имхо, тема бессмыслена.
Видео каталог для InstantCMS | Аудио каталог для InstantCMS | Мы Вконтакте | Предложение для спонсоров
Посетитель
small user social cms
МедальПочетный донор проектаКубок зрительских симпатий
Сообщений: 423
Fuze:
Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет
Если бы каждый внес свой вклад, думаю сумма подъемная.... А что входит в эти 50 т.р.?
Посетитель
small user social cms
МедальПочетный донор проектаАвторитет форумаКубок зрительских симпатий
Сообщений: 4284
Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет
возможно
Так что, имхо, тема бессмыслена.
не совсем соглашусь.

например.
чайнику, вроде меня, было проще и легче зайти на сайт, типа www.instantvideo.ru, где доступ может получить только по приглашениям админа.
выложить проблему, почитать аналогичные случаи, а кто-то может предложит и свои услуги проверки типичных проблем.
Так как проблемы со взломами теперь будут все чаще и чаще возникать, то инстант-сообщество узкоспециализированное по безопасности облегчит жизнь чайникам.
во-первых как уже 100500 раз писалось, права доступа
Fuze, у чайников есть склонность наступать 100500 раз на грабли(по себе знаю), а отдельный сайт-форум-блог облегчит жизнь.
Возникла проблема, зашел туда, почитал, пообщался и проблема решена.

А создания такого форума-блога вопрос времени и профессионализма. вот тут и проблема, что админ такого сайта должен быть профи.
Так как это время и нервы, отвечать на однотипные прроблемы чайников, нужно это как-то компенсировать(материально).
Может даже стоит ежемесячный доступ сделать платным. Возникла проблема, оплатил месячную оплату,зашел на форум почитал,поговорил и т.д.
А если нет проблем ничего и оплачивать не надо.
Думаю, что вариант "сайт по безопасности с платным доступом" стоит внимания
В начало страницы
Предыдущая темаСледующая тема Перейти на форум:
Быстрый ответ
Чтобы писать на форуме, зарегистрируйтесь или авторизуйтесь.