URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 54588
[ Назад ]

Исходное сообщение
"Интервью с основателем системы управления контентом Drupal"

Отправлено opennews , 19-Май-09 22:43 
Интервью (http://cmscritic.com/drupal-cms-founder-dries-buytaert-inter...)  с Dries Buytaert, основателем системы управления контентом Drupal (http://drupal.org/). CMS начала развиваться в 1999 году как студенческий проект по созданию BBS на PHP. Первый релиз Drupal вышел в январе 2001 года. Сейчас сообщество Drupal насчитывает несколько тысяч активных разработчиков, число независимых модулей для Drupal достигло двух тысяч, на базе Drupal построены десятки тысяч сайтов, например сайты компаний Lifetime Television, MTV UK, Universal Music, SonyBMG, Warner Brothers Records, New York Observer, Forbes, The Onion, Harvard University, Amnesty International.

URL: http://cmscritic.com/drupal-cms-founder-dries-buytaert-inter...
Новость: http://www.opennet.me/opennews/art.shtml?num=21801


Содержание

Сообщения в этом обсуждении
"Интервью с основателем системы управления контентом Drupal"
Отправлено Bregor , 19-Май-09 22:43 
Поставили мы тут как-то этот друпал, ага...
Три взлома за два дня.
Было клева ;)

"Интервью с основателем системы управления контентом Drupal"
Отправлено Злобная училка , 19-Май-09 22:53 
Нашли чем гордиться.

"Интервью с основателем системы управления контентом Drupal"
Отправлено demimurych , 20-Май-09 02:32 
не несите околесицу.
В ядре друпала и модулях идущих в поставке уже как год, ничего кроме сложно реализуемых xss не находят.



"Интервью с основателем системы управления контентом Drupal"
Отправлено Pilat , 20-Май-09 02:56 
>не несите околесицу.
>В ядре друпала и модулях идущих в поставке уже как год, ничего
>кроме сложно реализуемых xss не находят.

Уверены ? Ниже пример. Да и Друпал силён сторонними модулями не в последнюю очередь.

  * Advisory ID: DRUPAL-SA-CORE-2009-004
  * Project: Drupal core
  * Versions: 5.x
  * Date: 2009-February-25
  * Security risk: Highly Critical
  * Exploitable from: Remote
  * Vulnerability: Local file inclusion on Windows
  * Reference: SA-CORE-2009-003 [1] (6.x)

... This enables malicious
users to include files, readable by the webserver and located on the same
volume as Drupal, and to execute PHP contained within those files. For
example: If a site has uploads enabled, an attacker may upload a file
containing PHP code and cause it to be included on a subsequent request by
manipulating the URL used to access the site.


"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 11:48 
>[оверквотинг удален]
>   * Exploitable from: Remote
>   * Vulnerability: Local file inclusion on Windows
>   * Reference: SA-CORE-2009-003 [1] (6.x)
>
> ... This enables malicious
> users to include files, readable by the webserver and located on the same
> volume as Drupal, and to execute PHP contained within those files. For
> example: If a site has uploads enabled, an attacker may upload a file
> containing PHP code and cause it to be included on a subsequent request by
> manipulating the URL used to access the site.

Такие дыры находят в Друпале чуть ли не каждый месяц (http://drupal.org/security) и латают их. По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.

> Поставили мы тут как-то этот друпал, ага...
> Три взлома за два дня.
> Было клева ;)

Именно Друпал поломали? На сервер ведь можно проникнуть не только через дыры в CMS... Один из известных способов взлома Друпала - это через Тотал Коммандер. Вирь на виндовой машине ворует из него FTP-аккаунты, лезет на сервер, и правит код Друпала! А вообще, Друпал довольно надежная система (хоть и медленная). У меня сайт на нем 2 года крутится, (тьфу-тьфу) еще ни разу не поломали, хотя в логах странные запросы периодически наблюдаю.


"Интервью с основателем системы управления контентом Drupal"
Отправлено . , 20-Май-09 12:46 
>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.

например, в ПО управления кардиостимулятором


"Интервью с основателем системы управления контентом Drupal"
Отправлено XoRe , 20-Май-09 14:51 
>>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
>
>например, в ПО управления кардиостимулятором

Или в ПО управления спутником.
Или в ПО управления боингом.
Или в ПО управления болидом формула-1.

НО... в настолько критичных к ошибкам областях используется совсем другое ПО, чем у себя на сервере для форума или портала.
То есть, не подменяйте одну ситуацию другой.


"Интервью с основателем системы управления контентом Drupal"
Отправлено аноним , 20-Май-09 17:07 
>Или в ПО управления болидом формула-1

был недавно инцидент :)
кто смотрит, тот в курсе

>используется совсем другое ПО, чем у себя на сервере для форума или портала

"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл


"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 17:20 
> "у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл

А что использовать?


"Интервью с основателем системы управления контентом Drupal"
Отправлено аноним , 20-Май-09 17:52 
>что использовать?

например typo3 или vbulletin


"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 18:03 
> например typo3 или vbulletin

Вы считаете их более защищенными?


"Интервью с основателем системы управления контентом Drupal"
Отправлено аноним , 20-Май-09 18:17 
>Вы считаете их более защищенными?

вы доверяете мнению анонима? ;)


"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 19:25 
> вы доверяете мнению анонима? ;)

Почему нет, если оно хорошо обосновано? :)


"Интервью с основателем системы управления контентом Drupal"
Отправлено аноним , 20-Май-09 19:51 
аргументы простые - публичные списки уязвимостей и опыт работы. за достаточно большой отрезок времени в ядре не было серьёзных дыр, максимум недостаточная фильтрация javascript или черезчур много вольностей для администраторов. но чтобы кто угодно взял и погадил в базу или залил шелл - такого не было. сам держу портал на булке, хостимся на vps, 14 месяцев проблем (кроме идиотского шаблонизатора, как я его ненавижу!) замечено не было.

"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 21:46 
> аргументы простые - публичные списки уязвимостей и опыт работы. за достаточно большой отрезок времени в ядре не было серьёзных дыр, максимум недостаточная фильтрация javascript или черезчур много вольностей для администраторов. но чтобы кто угодно взял и погадил в базу или залил шелл - такого не было. сам держу портал на булке, хостимся на vps, 14 месяцев проблем (кроме идиотского шаблонизатора, как я его ненавижу!) замечено не было.

Понятно. Я работал только с Друпалом, поэтому сравнивать не могу.


"Интервью с основателем системы управления контентом Drupal"
Отправлено SKeeper , 21-Май-09 10:40 
>>Или в ПО управления болидом формула-1
>
>был недавно инцидент :)
>кто смотрит, тот в курсе
>
>>используется совсем другое ПО, чем у себя на сервере для форума или портала
>
>"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет
>смысл позаботится о его надежности, а значит ... не использовать Друпэл
>

Если портал действительно важен и приносит хороший доход, то необходимо тратиться временем или деньгами на перелопачивание кода и проверку безопасности, а не доверять какой бы то ни было cms


"Интервью с основателем системы управления контентом Drupal"
Отправлено Аноним , 21-Май-09 13:28 
>перелопачивание кода и проверку безопасности

Это СЛИШКОМ дорого


"Интервью с основателем системы управления контентом Drupal"
Отправлено SKeeper , 23-Май-09 17:21 
>>перелопачивание кода и проверку безопасности
>Это СЛИШКОМ дорого

Ставить цмс в которой просто реже _находят_ дыры - это лишь защита от кулхацкеров (так же как и постоянные обновления), которые юзают готовый эксплоит, но не от целенаправленного и профессионального взлома.


"Интервью с основателем системы управления контентом Drupal"
Отправлено Конторра , 20-Май-09 12:11 
знаете систему лучше? я имею ввиду open source PHP CMS. назовите парочку. только не говорите - Joomla! и Wordpress :)

"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 12:29 
> только не говорите - Joomla! и Wordpress :)

Почему? :)


"Интервью с основателем системы управления контентом Drupal"
Отправлено андрей , 20-Май-09 13:09 
>> только не говорите - Joomla! и Wordpress :)
> Почему? :)

+1 действительно, почему?


"Интервью с основателем системы управления контентом Drupal"
Отправлено SKeeper , 21-Май-09 10:27 
Wordpress узкозаточенный, а у джумлы убогое юзабилити, ИМХО.

"Интервью с основателем системы управления контентом Drupal"
Отправлено anonim , 20-Май-09 21:00 
Wordpress - cms?Oo

"Интервью с основателем системы управления контентом Drupal"
Отправлено dq0s4y71 , 20-Май-09 21:49 
>Wordpress - cms?Oo

Ну, авторы называют его publishing platform, но я не вижу чем он не ЦМС. Под блоги заточенный только.