The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Интервью с основателем системы управления контентом Drupal

19.05.2009 21:15

Интервью с Dries Buytaert, основателем системы управления контентом Drupal. CMS начала развиваться в 1999 году как студенческий проект по созданию BBS на PHP. Первый релиз Drupal вышел в январе 2001 года. Сейчас сообщество Drupal насчитывает несколько тысяч активных разработчиков, число независимых модулей для Drupal достигло двух тысяч, на базе Drupal построены десятки тысяч сайтов, например сайты компаний Lifetime Television, MTV UK, Universal Music, SonyBMG, Warner Brothers Records, New York Observer, Forbes, The Onion, Harvard University, Amnesty International.

  1. Главная ссылка к новости (http://cmscritic.com/drupal-cm...)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/21801-cms
Ключевые слова: cms, drupal, web, php
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Bregor (??), 22:43, 19/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поставили мы тут как-то этот друпал, ага...
    Три взлома за два дня.
    Было клева ;)
     
     
  • 2.2, Злобная училка (?), 22:53, 19/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Нашли чем гордиться.
     
  • 2.3, demimurych (?), 02:32, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    не несите околесицу.
    В ядре друпала и модулях идущих в поставке уже как год, ничего кроме сложно реализуемых xss не находят.


     
     
  • 3.4, Pilat (ok), 02:56, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >не несите околесицу.
    >В ядре друпала и модулях идущих в поставке уже как год, ничего
    >кроме сложно реализуемых xss не находят.

    Уверены ? Ниже пример. Да и Друпал силён сторонними модулями не в последнюю очередь.

      * Advisory ID: DRUPAL-SA-CORE-2009-004
      * Project: Drupal core
      * Versions: 5.x
      * Date: 2009-February-25
      * Security risk: Highly Critical
      * Exploitable from: Remote
      * Vulnerability: Local file inclusion on Windows
      * Reference: SA-CORE-2009-003 [1] (6.x)

    ... This enables malicious
    users to include files, readable by the webserver and located on the same
    volume as Drupal, and to execute PHP contained within those files. For
    example: If a site has uploads enabled, an attacker may upload a file
    containing PHP code and cause it to be included on a subsequent request by
    manipulating the URL used to access the site.

     

  • 1.8, dq0s4y71 (?), 11:48, 20/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >[оверквотинг удален]
    >   * Exploitable from: Remote
    >   * Vulnerability: Local file inclusion on Windows
    >   * Reference: SA-CORE-2009-003 [1] (6.x)
    >
    > ... This enables malicious
    > users to include files, readable by the webserver and located on the same
    > volume as Drupal, and to execute PHP contained within those files. For
    > example: If a site has uploads enabled, an attacker may upload a file
    > containing PHP code and cause it to be included on a subsequent request by
    > manipulating the URL used to access the site.

    Такие дыры находят в Друпале чуть ли не каждый месяц (http://drupal.org/security) и латают их. По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.

    > Поставили мы тут как-то этот друпал, ага...
    > Три взлома за два дня.
    > Было клева ;)

    Именно Друпал поломали? На сервер ведь можно проникнуть не только через дыры в CMS... Один из известных способов взлома Друпала - это через Тотал Коммандер. Вирь на виндовой машине ворует из него FTP-аккаунты, лезет на сервер, и правит код Друпала! А вообще, Друпал довольно надежная система (хоть и медленная). У меня сайт на нем 2 года крутится, (тьфу-тьфу) еще ни разу не поломали, хотя в логах странные запросы периодически наблюдаю.

     
     
  • 2.12, . (?), 12:46, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.

    например, в ПО управления кардиостимулятором

     
     
  • 3.14, XoRe (ok), 14:51, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>По-моему, это хорошо, когда в ПО _находят_ ошибки и _исправляют_ их.
    >
    >например, в ПО управления кардиостимулятором

    Или в ПО управления спутником.
    Или в ПО управления боингом.
    Или в ПО управления болидом формула-1.

    НО... в настолько критичных к ошибкам областях используется совсем другое ПО, чем у себя на сервере для форума или портала.
    То есть, не подменяйте одну ситуацию другой.

     
     
  • 4.15, аноним (?), 17:07, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Или в ПО управления болидом формула-1

    был недавно инцидент :)
    кто смотрит, тот в курсе

    >используется совсем другое ПО, чем у себя на сервере для форума или портала

    "у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл

     
     
  • 5.16, dq0s4y71 (?), 17:20, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > "у себя" бывает по разному. если портал приносит ощутимый доход, то имеет смысл позаботится о его надежности, а значит ... не использовать Друпэл

    А что использовать?

     
     
  • 6.17, аноним (?), 17:52, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >что использовать?

    например typo3 или vbulletin

     
     
  • 7.18, dq0s4y71 (?), 18:03, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > например typo3 или vbulletin

    Вы считаете их более защищенными?

     
     
  • 8.19, аноним (?), 18:17, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    вы доверяете мнению анонима ... текст свёрнут, показать
     
     
  • 9.20, dq0s4y71 (?), 19:25, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Почему нет, если оно хорошо обосновано ... текст свёрнут, показать
     
     
  • 10.21, аноним (?), 19:51, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    аргументы простые - публичные списки уязвимостей и опыт работы за достаточно бо... текст свёрнут, показать
     
     
  • 11.23, dq0s4y71 (?), 21:46, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Понятно Я работал только с Друпалом, поэтому сравнивать не могу ... текст свёрнут, показать
     
  • 5.26, SKeeper (?), 10:40, 21/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Или в ПО управления болидом формула-1
    >
    >был недавно инцидент :)
    >кто смотрит, тот в курсе
    >
    >>используется совсем другое ПО, чем у себя на сервере для форума или портала
    >
    >"у себя" бывает по разному. если портал приносит ощутимый доход, то имеет
    >смысл позаботится о его надежности, а значит ... не использовать Друпэл
    >

    Если портал действительно важен и приносит хороший доход, то необходимо тратиться временем или деньгами на перелопачивание кода и проверку безопасности, а не доверять какой бы то ни было cms

     
     
  • 6.27, Аноним (-), 13:28, 21/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >перелопачивание кода и проверку безопасности

    Это СЛИШКОМ дорого

     
     
  • 7.28, SKeeper (?), 17:21, 23/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>перелопачивание кода и проверку безопасности
    >Это СЛИШКОМ дорого

    Ставить цмс в которой просто реже _находят_ дыры - это лишь защита от кулхацкеров (так же как и постоянные обновления), которые юзают готовый эксплоит, но не от целенаправленного и профессионального взлома.

     

  • 1.10, Конторра (?), 12:11, 20/05/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    знаете систему лучше? я имею ввиду open source PHP CMS. назовите парочку. только не говорите - Joomla! и Wordpress :)
     
     
  • 2.11, dq0s4y71 (?), 12:29, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > только не говорите - Joomla! и Wordpress :)

    Почему? :)

     
     
  • 3.13, андрей (??), 13:09, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >> только не говорите - Joomla! и Wordpress :)
    > Почему? :)

    +1 действительно, почему?

     
  • 3.25, SKeeper (?), 10:27, 21/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Wordpress узкозаточенный, а у джумлы убогое юзабилити, ИМХО.
     
  • 2.22, anonim (?), 21:00, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Wordpress - cms?Oo
     
     
  • 3.24, dq0s4y71 (?), 21:49, 20/05/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Wordpress - cms?Oo

    Ну, авторы называют его publishing platform, но я не вижу чем он не ЦМС. Под блоги заточенный только.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру