Безопасность движка, сбор средств, кто "за" ?

#31 16 августа 2012 в 21:38

Я вот все удивляюсь, что в код вообще никто на заглядывает!??
nickname прогоняется через strip_tags
в метод request() посмотрите уже.

Fuze
если честно — не разбирался и не лез в код… жду 1.9.1, эту пилить как я понял уже нет смысла
#32 16 августа 2012 в 21:40

Я вот все удивляюсь, что в код вообще никто на заглядывает!??
nickname прогоняется через strip_tags
в метод request() посмотрите уже.

Fuze
В таком случае необходимо спрашивать Лезгинку что он ставил, может уникальность никнейма или какой другой хак. Что б другие исправили.
#33 16 августа 2012 в 21:41
Так а в чем проблема создания такого сайта? Или нужен уникальный дизайн, модули и прочее? Как по мне так это не нужно. Главное получении информации, которая там будет.
Разницы в открытом или закрытом клубе не вижу. Половина форума будет кидать заявки, ведь они должны знать о каких-либо уязвимостях, и их уничтожении, с целью обезопасить свои сайты. И даже если какой-нибудь школоло-хакер решит попасть в этот клуб, он попадет, подав заявку на вступление. Не отказывать же ему, по причине "Мы вас не знаем, до свидания."?!
Как по мне, так сделать пока все на стандарте, на бесплатном хостинге, а если проект начнет расширяться, тогда уже и думать и дизайне, домене и прочем.
Но это ИМХО.
#34 16 августа 2012 в 21:46

Так а в чем проблема создания такого сайта? Или нужен уникальный дизайн, модули и прочее? Как по мне так это не нужно. Главное получении информации, которая там будет.
Разницы в открытом или закрытом клубе не вижу. Половина форума будет кидать заявки, ведь они должны знать о каких-либо уязвимостях, и их уничтожении, с целью обезопасить свои сайты. И даже если какой-нибудь школоло-хакер решит попасть в этот клуб, он попадет, подав заявку на вступление. Не отказывать же ему, по причине "Мы вас не знаем, до свидания."?!
Как по мне, так сделать пока все на стандарте, на бесплатном хостинге, а если проект начнет расширяться, тогда уже и думать и дизайне, домене и прочем.
Но это ИМХО.

SpideR-KOSS
Что мешает школоло-хакеру прийти на тот сайт?
Если делать то делать под присмотром админов instantcms.ru, а то потом обидки мол взломали, код прописали, а админ не сообщил, а я сделал как написано на том сайте и у меня сайт увели. Да и все в одном месте должно быть.
#35 16 августа 2012 в 21:52

Так а в чем проблема создания такого сайта?

Нельзя такой сайт делать. Для кого то он станет учебником и источником знаний, но не всегда для владельцев сайтов.
#36 16 августа 2012 в 21:52

Если делать то делать под присмотром админов instantcms.ru

Коля
Вы же понимаете что админам некогда. Они трудятся сразу над двумя версиями движка, поэтому они могут туда лишь заглядывать и иногда делится советами, но не присматривать.

Да и все в одном месте должно быть.

Коля
Возможно я не так понял, но я высказался ЗА создание такого проекта.
#37 16 августа 2012 в 21:54
50к для аудита кмс на уязвимости… это слишком мало :(

аудит среднего скрипта из 3-10 файлов стоит 100-500$ в зависимости от сложности

это не просто поиск дырок, типа потыкать в доступные поля на предмет как товарищ выше😊да xss попробовать, авось где выскочит. это работа почти сопоставимая с написанием кода заново, просматривается весь код, отмечаются все функции и разбираются по степени опасности и идет их проверка и тд. при этом как минимум два человека одновременно независимо должны это делать что бы исключить пропуск ошибок.

Господину Лезгинке, я дважды зачищал хостинг от нашествия. движки были не обновленны, права стояли криво, были тестовые данные. так что очередному взлому удивлятся не стоит и аудит не поможет.

1. читайте инструкцию и выставляйте права по ней.
2. файл конфигурации на 644 после всех настроек
3. админку закрыть серверным паролем через htaccess
4. на продакшене не должно быть левых скриптов которые сайт не использует, неиспользуемые модули надо отключить.
5. тестирование компонентов и прочих на поддомене — категорически исключить, при острой необходимости закрывать поддомен серверным паролем. некоторые скажут что я параноик, но все ваши поддомены 99% что в индексе, так как различные бары и надстройки ( привет яндекс бару) палят поисковикам куда вы ходите. а тестовый домен где стоит движок поставленный кое-как и с запиханными в него для теста сторонними модулями — грех не вскрыть даже ленивому.
6. пароли никогда не хранить, помнить наизусть и обновлять антивирусник до актуального состояния.

по поводу взломов. дырки которые находятся, их никто в паблик не выкладывает, они сначала отрабатываются по максимуму и только когда их замечают разработчики и фиксят, тогда они уходят в паблик и школота начинает ломать ленивых до обновлений админов. когда вас вскроет профи, вы и не заметите😊

поэтому каждое вскрытие надо анализировать. брать логи сервера, дамп базы данных и файлов и изучать.
#38 16 августа 2012 в 21:54

Нельзя такой сайт делать. Для кого то он станет учебником и источником знаний, но не всегда для владельцев сайтов.

skaz
Этих "учебников" в интернете в принципе и так полно.
Но я думаю, что на сайте не должно быть самих уязвимостей указано, а лишь профилактические действия для защиты сайтов.
#39 16 августа 2012 в 21:56

Если от аудита толк реальный будет и он действительно нужен, то надо хотя бы попытаться собрать сумму, а уж если не соберем тогда и говорить что не собрали...
Кто то 100 руб. Кто то 3000 руб. попытка не пытка (раздать обратно можно). Только сорганизоваться надо...
А то правда все на этой CMS ездим, а реально помочь не можем.

skaz
Прекрасное предложение, а сборщиком денег назначим Fuze раз он в теме:

Когда мы общались с специалистом, все было сформулировано и цена обозначена. Специалист надежный, знаем его давно.
За прошествием времени вылетело из головы, как возникнет возможность переговорить, напишу в этой теме.

Fuze
А если не соберется нужная сумма то :

Лучше эти деньги разработчикам перечислить — скинуться и на новый год подарок финансовый сделать)

pivua)
Создать тему и в ней писать поступления, ну там
+100
+3000 и т.д
Сразу будет видно.
#40 16 августа 2012 в 21:58

Вы же понимаете что админам некогда. Они трудятся сразу над двумя версиями движка, поэтому они могут туда лишь заглядывать и иногда делится советами, но не присматривать.

SpideR-KOSS
Кроме тех Админов что трудятся над двумя версиями еще Админы есть или я ошибаюсь.
#41 16 августа 2012 в 22:07

50к для аудита кмс на уязвимости… это слишком мало :(

picaboo
Я написал 50+

аудит среднего скрипта из 3-10 файлов стоит 100-500$ в зависимости от сложности

picaboo
Да не вопрос, только смотря к кому обращаться, можно и жигули за 400кру купить.
picaboo, я уже ответил, я уточню, возможно ли это сейчас, цену точную, и перечень аудита.
#42 16 августа 2012 в 22:07
Админам некогда, но у нас полно шикарных профи, которые разбираются в ПХП, скриптах, кто им-то мешает попробовать заработать таким образом???
#43 16 августа 2012 в 22:15
Fuze, я без наезда😊просто говорю о том что это реально дорого будет, а главное стоит ли оно того, если ставить после этого непроверенные модули, шаблоны и тд.
#44 16 августа 2012 в 22:26
Если сильно нужен закрытый форум для данных вопросов, то могу предложить бесхозый, малопосещаемый и почти ни кому не известный (доступ к разделу форума будет ограничен), если будут желающие порулить этим разделом, то милости просим.

ps Не в целях рекламы
#45 16 августа 2012 в 22:31

Админам некогда, но у нас полно шикарных профи, которые разбираются в ПХП, скриптах, кто им-то мешает попробовать заработать таким образом???

Azura

Да кто вам сказал что здесь полно шикарных профи?) На одной руке пересчитаешь реальных спецов и те заняты по уши работой.

Прикольно) Лезгинка не выставил права и такой спор пошел) Отвлекли Fuze от реальной работы, что есть нехорошо, пока пытались доказать свою патриотичность системе.

Самое интересное что взломы единичны, дыры проявляются очень редко, и вскрыть можно что угодно и после какого угодно аудита.

Не помню кто, то ли Яндекс, то ли Гугл обьявляли конкурс на дырки и платили премию, так находились кто вскрывали, это я к чему, что конечно хорошо когда все безопасно, только вот зачем на воде вилами то водить и кричать о безопасности сейчас или в будущем, как будто система настолько дырява. Все имеет свой подход, пока что проблемы безопасности решались так как сложилось все, так что все вроде и так номано. И да поможет нам ежедневный бекап, с соблюдением правильных прав на папки!

Я бы вот кстати предложил внести в 1.9.1 проверку папок на правильные права в админке. Нажал и показало чего и куда не выставлено. Так есть в некоторых системах.
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.