Интервью (http://cmscritic.com/drupal-cms-founder-dries-buytaert-inter...) с Dries Buytaert, основателем системы управления контентом Drupal (http://drupal.org/). CMS начала развиваться в 1999 году как студенческий проект по созданию BBS на PHP. Первый релиз Drupal вышел в январе 2001 года. Сейчас сообщество Drupal насчитывает несколько тысяч активных разработчиков, число независимых модулей для Drupal достигло двух тысяч, на базе Drupal построены десятки тысяч сайтов, например сайты компаний Lifetime Television, MTV UK, Universal Music, SonyBMG, Warner Brothers Records, New York Observer, Forbes, The Onion, Harvard University, Amnesty International.URL: http://cmscritic.com/drupal-cms-founder-dries-buytaert-inter...
Новость: http://www.opennet.me/opennews/art.shtml?num=21801
Поставили мы тут как-то этот друпал, ага...
Три взлома за два дня.
Было клева ;)
Нашли чем гордиться.
не несите околесицу.
В ядре друпала и модулях идущих в поставке уже как год, ничего кроме сложно реализуемых xss не находят.
>не несите околесицу.
>В ядре друпала и модулях идущих в поставке уже как год, ничего
>кроме сложно реализуемых xss не находят.Уверены ? Ниже пример. Да и Друпал силён сторонними модулями не в последнюю очередь.
* Advisory ID: DRUPAL-SA-CORE-2009-004
* Project: Drupal core
* Versions: 5.x
* Date: 2009-February-25
* Security risk: Highly Critical
* Exploitable from: Remote
* Vulnerability: Local file inclusion on Windows
* Reference: SA-CORE-2009-003 [1] (6.x)... This enables malicious
users to include files, readable by the webserver and located on the same
volume as Drupal, and to execute PHP contained within those files. For
example: If a site has uploads enabled, an attacker may upload a file
containing PHP code and cause it to be included on a subsequent request by
manipulating the URL used to access the site.
>[оверквотинг удален]
> * Exploitable from: Remote
> * Vulnerability: Local file inclusion on Windows
> * Reference: SA-CORE-2009-003 [1] (6.x)
>
> ... This enables malicious
> users to include files, readable by the webserver and located on the same
> volume as Drupal, and to execute PHP contained within those files. For
> example: If a site has uploads enabled, an attacker may upload a file
> containing PHP code and cause it to be included on a subsequent request by
> manipulating the URL used to access the site.Такие дыры находят в Друпале чуть ли не каждый месяц (http://drupal.org/security) и латают их. По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
> Поставили мы тут как-то этот друпал, ага...
> Три взлома за два дня.
> Было клева ;)Именно Друпал поломали? На сервер ведь можно проникнуть не только через дыры в CMS... Один из известных способов взлома Друпала - это через Тотал Коммандер. Вирь на виндовой машине ворует из него FTP-аккаунты, лезет на сервер, и правит код Друпала! А вообще, Друпал довольно надежная система (хоть и медленная). У меня сайт на нем 2 года крутится, (тьфу-тьфу) еще ни разу не поломали, хотя в логах странные запросы периодически наблюдаю.
>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.например, в ПО управления кардиостимулятором
>>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
>
>например, в ПО управления кардиостимуляторомИли в ПО управления спутником.
Или в ПО управления боингом.
Или в ПО управления болидом формула-1.НО... в настолько критичных к ошибкам областях используется совсем другое ПО, чем у себя на сервере для форума или портала.
То есть, не подменяйте одну ситуацию другой.
>Или в ПО управления болидом формула-1был недавно инцидент :)
кто смотрит, тот в курсе>используется совсем другое ПО, чем у себя на сервере для форума или портала
"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл
> "у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать ДрупэлА что использовать?
>что использовать?например typo3 или vbulletin
> например typo3 или vbulletinВы считаете их более защищенными?
>Вы считаете их более защищенными?вы доверяете мнению анонима? ;)
> вы доверяете мнению анонима? ;)Почему нет, если оно хорошо обосновано? :)
аргументы простые - публичные списки уязвимостей и опыт работы. за достаточно большой отрезок времени в ядре не было серьёзных дыр, максимум недостаточная фильтрация javascript или черезчур много вольностей для администраторов. но чтобы кто угодно взял и погадил в базу или залил шелл - такого не было. сам держу портал на булке, хостимся на vps, 14 месяцев проблем (кроме идиотского шаблонизатора, как я его ненавижу!) замечено не было.
> аргументы простые - публичные списки уязвимостей и опыт работы. за достаточно большой отрезок времени в ядре не было серьёзных дыр, максимум недостаточная фильтрация javascript или черезчур много вольностей для администраторов. но чтобы кто угодно взял и погадил в базу или залил шелл - такого не было. сам держу портал на булке, хостимся на vps, 14 месяцев проблем (кроме идиотского шаблонизатора, как я его ненавижу!) замечено не было.Понятно. Я работал только с Друпалом, поэтому сравнивать не могу.
>>Или в ПО управления болидом формула-1
>
>был недавно инцидент :)
>кто смотрит, тот в курсе
>
>>используется совсем другое ПО, чем у себя на сервере для форума или портала
>
>"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет
>смысл позаботится о его надежности, а значит ... не использовать Друпэл
>Если портал действительно важен и приносит хороший доход, то необходимо тратиться временем или деньгами на перелопачивание кода и проверку безопасности, а не доверять какой бы то ни было cms
>перелопачивание кода и проверку безопасностиЭто СЛИШКОМ дорого
>>перелопачивание кода и проверку безопасности
>Это СЛИШКОМ дорогоСтавить цмс в которой просто реже _находят_ дыры - это лишь защита от кулхацкеров (так же как и постоянные обновления), которые юзают готовый эксплоит, но не от целенаправленного и профессионального взлома.
знаете систему лучше? я имею ввиду open source PHP CMS. назовите парочку. только не говорите - Joomla! и Wordpress :)
> только не говорите - Joomla! и Wordpress :)Почему? :)
>> только не говорите - Joomla! и Wordpress :)
> Почему? :)+1 действительно, почему?
Wordpress узкозаточенный, а у джумлы убогое юзабилити, ИМХО.
Wordpress - cms?Oo
>Wordpress - cms?OoНу, авторы называют его publishing platform, но я не вижу чем он не ЦМС. Под блоги заточенный только.