| 1.1, iCat (ok), 15:28, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 Хм-м-м...
А если во входные двери магазинов не врезать замки и не ставить охрану - их тоже будут грабить...
А ещё можно (для удобства) Apache от root запускать... Это - тоже "уязвимость"?
| | |
| |
| 2.2, hummermania (ok), 15:48, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Тут же программные уязвимости еще из плагинов пришедшие. Поди проконтролируй все состояния системы. Это как если бы в замок для магазина была бы по ошибке заложена особенность конструкции, которая его легко открывает. Здесь спасет регулярное централизованное обновление плагинов.
| | |
| |
| 3.3, iCat (ok), 16:02, 04/08/2011 [^] [^^] [^^^] [ответить]
| –2 +/– |
От "онодолжносамо головного мозга" лечиться нужно. Я именно это имел в виду.
Сколько ни обновляйся, сколько ни вкладывай в "системы безопасности", и прочие "заумности", а в отсутствии здравого смысла более-менее приемлемого уровня безопасности не достичь.
| | |
| |
| 4.5, ubuntulyb (ok), 16:15, 04/08/2011 [^] [^^] [^^^] [ответить]
| –4 +/– |
 да, не достичь щас, но скоро вычеслить окажется с пол пина атаки и любой который может их сделать (таких останется единицы) не станет средства на всякие commercы на wp расходывать, пока сеть такая то конечно это продолжается, все зависит от мощностей процессора, покашто их не хвтает для глобальных проектов
| | |
| |
| 5.6, iCat (ok), 16:18, 04/08/2011 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ух, ты! А без пробелов можешь?
А по делу - никакие мощности не спасут от раздолбайства и безграмотности.
| | |
| |
| 6.8, тоже Аноним (ok), 16:24, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 Мощности не спасут, а предусмотрительность программистов системы - может.
Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с предметом.
Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов, но при этом надежна.
| | |
| |
| 7.13, zazik (ok), 17:06, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Мощности не спасут, а предусмотрительность программистов системы - может.
> Либо система будет реализовать то самое "онодолжносамо", либо она будет уязвима в
> реальных условиях - когда ей будут пользоваться люди, поверхностно знакомые с
> предметом.
> Скажем, работа инкассаторской службы совершенно не зависит от уровня образования инкассаторов,
> но при этом надежна.
Очень надёжна, да :) Видел я, как инкассатор в одиночку обходит крупный торговый центр и возвращается с собранными деньгами в машину.
| | |
| |
| |
| 9.26, zazik (ok), 23:09, 04/08/2011 [^] [^^] [^^^] [ответить] | +/– | Маловероятно Скорее всего это сверхнадёжный регламент - ходить поодиночке с кру... текст свёрнут, показать | | |
| |
| |
| 11.33, zazik (ok), 09:40, 05/08/2011 [^] [^^] [^^^] [ответить] | +/– | Хороший живец, жирный Представляю, какая выручка по всем магазинчикам в этом ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 5.21, Анонимный Аноним (?), 19:27, 04/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Прикинь потенциальную выгоду от простого, но очень эффективного JavaScript'а, который отправляет введённые в форму данные о кредитной карте куда-то там, где их аккуратно складывают и используют со злым умыслом. Все эти «единицы», которые такие атаки смогут проворачивать будут именно «на всякие commercы» свои средства «расходывать».
И прекрати прогуливать уроки русского языка в школе.
| | |
|
|
|
| 2.15, Аноним (-), 17:25, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А если во входные двери магазинов не врезать замки и не ставить
> охрану - их тоже будут грабить...
А это при чем ? Дыра в последнем стабильном релизе osCommerce. По вашей логике, любой интернет-магазин это магазин без замков, так как там потенциально могут быть уязвимости.
| | |
| |
| 3.29, iCat (ok), 02:18, 05/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
> А это при чем ? Дыра в последнем стабильном релизе osCommerce. По
> вашей логике, любой интернет-магазин это магазин без замков, так как там
> потенциально могут быть уязвимости.
Значит, я не достаточно ясно выразился.
"Искаропки" софт настроен так, чтобы "запустился, и - работает". Без учёта всевозможных "индивидуальностей окружения". Настройка софта "под эксплуатацию" - это как раз и есть работа системных администраторов.
Все попытки сделать "универсальные настройки" приводили к MS-way.
Любой шаблонный набор скриптов не предусматривает "защиту" или "максимальную выгоду". На то это и "шаблон", чтобы из него можно было сделать много _разного_, а не только "Интернет-магазин Васисуалия Форестера по торговле шаблонами C++".
| | |
|
|
| 1.4, aaa (??), 16:10, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
| | |
| |
| 2.7, Аноним (-), 16:20, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
+0.(9) тебе. Сам всегда так делал, никаких проблем с безопасностью не было.
| | |
| |
| 3.10, Аноним (-), 16:42, 04/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
раз Джо до сих пор ловят, то наверно не такая уж и плохая защита
| | |
|
| 2.16, Аноним (-), 17:27, 04/08/2011 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
В Sony вон написали и расплатились раза три номерами кредиток клиентов :-)
| | |
| 2.17, Аноним (-), 17:35, 04/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> пишите сайты/форумы/блоги и прочее сами, с нуля и будет вам счастье...
Фирме Сони этот рецепт не очень помог. Наверное дело в том что не все кодеры одинаково полезны.
| | |
| 2.25, тоже Аноним (ok), 21:24, 04/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
Если сайт можно просто взять и написать с нуля, очень высока вероятность того, что этот сайт никому на хрен не нужен. Именно этим объясняется "безопасность" самописных сайтов.
| | |
|
| 1.14, Shurik (??), 17:24, 04/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 А Drupal в качестве инет-магазина "безопаснее" будет? Я ниче почти не шарю в этом. Был инет-магаз свой на оскоммерсе. Закрыл (товар который продавал исчез у поставщиков). Прошел год. Теперь появился. Но все заново необходимо теперь делать((
был парень который мне помогал с магазом,но из-за новой работы на это у него нет больше времени.
Есть шаблон сайта (старый магаз) его надо посадить на хороший движок и отправить на хост (ht systems был хостингом) Кто готов за деньги помочь пишите на почту bredbull@ya.ru
всем спасибо
| | |
| 1.27, Аноним (-), 00:16, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Я один замечаю, что подобных новостей об уязвимостях всяких там открытых проектов становится все больше и больше? Причем, эти уязвимости вполне конкретно эксплуатируются, а не как раньше только находились и фикслись.
Это приведет к потере доверия ко всем эти якобы надежным опенсорсам, что может вылиться либо в возвращение к закрытым софтам либо к извлечению рук открытых программистов из того места, где они сейчас находятся, что тоже приводит к коммерциализации их разработок. В общем, перспективы пугающие.
| | |
| |
| 2.31, anonymous (??), 04:35, 05/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
 > Это приведет к потере доверия ко всем эти якобы надежным опенсорсам
что-то к «потере доверия к якобы надёжной проприетарщине» не привело до сих пор.
впрочем, если хомки понесут в клювах бабло проприетарщикам — туда им и дорога. станет чище и легче дышать.
| | |
| 2.32, Аноним (-), 07:32, 05/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
> может вылиться либо в возвращение к закрытым софтам либо к извлечению
> рук открытых программистов из того места, где они сейчас находятся,
Ну тогда винду и IE уже должно было бы использовать 0 человек, если почитать списки уязвимостей. И как бы не в обиду, но в опенсорцных хромах и фоксах такие баги чинят не в пример оперативнее и не ждут месяц чтобы фикс раздать.
| | |
|
| 1.30, Аноним (-), 02:21, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Универсальное средство от таких уязвимостей - ReadOnly права на все папки и файлы, я так свой магаз вылечил :) Когда надо чтото изменить меняю права через шел
| | |
| |
| 2.34, ызусефещк (?), 12:34, 05/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
И на каждый новый товар картинку закинуть - тоже в шелл лезть? Не похоже на "универсальное" средство.
| | |
| |
| 3.40, Павел (??), 12:02, 07/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
А почему бы и нет, не вижу никакой сложности, перед загрузкой новых товаров набрать пару команд в консоли
| | |
|
| 2.36, detergen (?), 14:24, 05/08/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Ага, особенно когда зловредный код в БД пишется... сходите по ссылкам
| | |
| |
| 3.41, Павел (??), 12:05, 07/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ага. Пусть пишется, зато злоумышленник мне на сайт свои файлы не сможет загрузить
| | |
|
| 2.38, vov (??), 14:45, 05/08/2011 [^] [^^] [^^^] [ответить]
| +/– |
Довольно действенное решение "прятать" админку, на стадии установки предлагается ввести ее адрес. Так в zencart сделали.
Так же тупо и просто админку http авторизацией дополнительно закрывают.
| | |
|
| 1.39, анонимус (??), 21:12, 05/08/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Проблема связана с тем, что при проверке домена с которого допускается загрузка фотографий используется оценка наличия маски в URL, т.е. злоумышленник может указать в качестве изображения адрес "http://blogger.com.somebadhackersite.com/badscript.php" и Timthumb.php загрузит его в кэш, который является поддиректорией в корневом каталоге WordPress, в которой в 99% случаях оставлены полномочия запуска PHP-скриптов. В дальнейшем, PHP-код может быть выполнен после прямого обращения к загруженному в кэш файлу.
Epic! :D
| | |
|
