у движка, на сегодняшний день, серьезные проблемы с безопасностью.
Разработчики перегружены и не успевают(это я так понимаю) за всем уследить, движок-то бесплатный.
Предлагаю обсудить тему.
Есть ли желающие скинуться и создать "фонд безопасности" для движка.
эти деньги можно передать разработчиками, чтобы они нанимали хакеров-тестеров или мы наймем а разработчикам скинем инфу о дырах. Чтобы каждый школьник выучивший азы пхп не устраивали нам проблемы
Сам готов поддержать, кровно заработанными, аж на целые 3000 руб :)
хотел бы услышать мнение сообщества
Осталось найти действительно заинтересованного и хорошего профессионала или даже команду…
неломаемых движков без дыр в природе нет
можно всем миром сделать ядро цмс — АБСОЛЮТ так сказать, но к нему напишут модуль и этот абсолют превратится в дырявую цмс, или поставит чел этот абсолют на сервер и выставит права 777 и 666 ну и естественно его сайт снесут и он скажет какая дырявая цмс.
Ну короче гдето читал что 90% всех взломов от кривизны рук пользователей и дырявых дополнений, не хочу никого обидеть конечно, сам я такой.
У меня легальную с поддержкой netcat extra ломали через какую то дырку для инъекций sql
на одном и том же сервере у меня на джомле несколько сайтов и ни один не сломали а у моего клиента на этом же сервере турки в джомлу какой то свой призыв на главную страницу залили, ну вобщем примеров можно приводить кучу.
Мое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками.
Для того чтобы когото нанять нужно найти таких людей которые бы знали систему не хуже разработчиков и получается нанять разработчиков!
Ну это мое мнение.
я предполагаю, что лучше настроится на 1.9.1
но решать надо сообща.
и еще.
подумайте как простимулировать тех кто готов заплатит более 1000 руб.
3000 руб.(виртуальных)и сколько щас в копилке...
для этого тоже деньги нужныМое предложение завести может коллективный блог по безопасности и там например описывать примеры настроек серверов, выставления прав, заполнения .htaccess, еще гуру разные могли бы делится своими патчами, хаками
т.е. чтобы там профи давал оценку новым модулям, комопонентам и т.д. сточки зрения безопасности
движок уже стал популярен и теперь школота нас не оставит в покое
Олег, мы делаем защиту от школоты, те кто выучил азы пхп и давай из себя строит… бесплатные движки ломатьнеломаемых движков без дыр в природе нет
вот в этом я бы тоже поучаствовал деньгами, только чтобы платил компетентный чел за работу, ну тоесть чтобы мог дать оценку и соответственно определить, платить или нет, ато так опять же школота полезет перепечатывать из инета все подряд и никаких денег не хватитдля этого тоже деньги нужны
т.е. чтобы там профи давал оценку новым модулям, комопонентам и т.д. сточки зрения безопасности
Но eoleg прав — не сделать неломаемого сайта! Если уж ты наступил на хвост кому-то, то при желании сломают любой сайт. И чем он сложнее и функциональнее, тем проще это сделать.
В 1.9.1 все известные нам уязвимости устранены.
Ну и напоследок,
сами мы попросту не сможем физически все оттестить. Мы узнавали у людей, занимающимися подобными тестами (именно специалисты), цену. Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет, а мы на данный момент не можем себе позволить оплатить это. Так что, имхо, тема бессмыслена.
Если бы каждый внес свой вклад, думаю сумма подъемная… А что входит в эти 50 т.р.?Ценник был порядка 50+ тыс. рублей. Думаю никто столько не соберет
возможноЦенник был порядка 50+ тыс. рублей. Думаю никто столько не соберет
не совсем соглашусь.Так что, имхо, тема бессмыслена.
например.
чайнику, вроде меня, было проще и легче зайти на сайт, типа www.instantvideo.ru, где доступ может получить только по приглашениям админа.
выложить проблему, почитать аналогичные случаи, а кто-то может предложит и свои услуги проверки типичных проблем.
Так как проблемы со взломами теперь будут все чаще и чаще возникать, то инстант-сообщество узкоспециализированное по безопасности облегчит жизнь чайникам.
Fuze, у чайников есть склонность наступать 100500 раз на грабли(по себе знаю), а отдельный сайт-форум-блог облегчит жизнь.во-первых как уже 100500 раз писалось, права доступа
Возникла проблема, зашел туда, почитал, пообщался и проблема решена.
А создания такого форума-блога вопрос времени и профессионализма. вот тут и проблема, что админ такого сайта должен быть профи.
Так как это время и нервы, отвечать на однотипные прроблемы чайников, нужно это как-то компенсировать(материально).
Может даже стоит ежемесячный доступ сделать платным. Возникла проблема, оплатил месячную оплату, зашел на форум почитал, поговорил и т.д.
А если нет проблем ничего и оплачивать не надо.
Думаю, что вариант "сайт по безопасности с платным доступом" стоит внимания