| 1.1, InuYasha (?), 12:41, 18/03/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Пенетрируют всё что популярнее нуля. )
Хоть сам пиши - но дыры в фреймворках. У CMS хотя бы сообщества есть и больше шансов что заметят и поправят.
| | |
| |
| 2.3, Аноним (3), 12:57, 18/03/2020 [^] [^^] [^^^] [ответить]
| +6 +/– | |
> У CMS хотя бы сообщества есть и больше шансов что заметят и поправят
Недостаток: массовый взлом.
| | |
| |
| 3.9, Аноним (9), 13:10, 18/03/2020 [^] [^^] [^^^] [ответить]
| +6 +/– |
Иногда, спустя время, на свой не популярный код смотришь и думаешь - Что за идиот писал? Как оно вообще работает до сих пор? И срочно править...
Но это "иногда" не всегда бывает ...
| | |
| |
| |
| 5.68, InuYasha (?), 01:34, 19/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Спустя время осознаешь что когда-то давно писал на php.
Спустя время осознаешь что когда-то давно писал...
| | |
|
|
|
| 2.4, ша (?), 12:58, 18/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> У CMS хотя бы сообщества есть и больше шансов
ну вот тебе как раз и пример вордпресса с вендой. оба решет0. популярно != лучше/безопасно.
| | |
| |
| 3.11, имя_ (?), 13:27, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>вордпресса с вендой
сравнил открытые исходники с закрытыми. Молодец, держишь марку.
| | |
| 3.22, Аноним (23), 13:53, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Еще можно с макдональдсом сравнить. Гамбургер популярен, но не безопасен. Но пипл какбэ хавает так зачем замораживаться на опенсорсную еду на кухне или на дорогую в ресторане?
| | |
| |
| 4.31, Аноним (31), 14:52, 18/03/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
А кстати гамбугер из макдака ведь безопасней 99% еды из прочих мест, включая "дорогую в ресторане". Сравнение точно было про преимущество опенсорсного индийского фастфуда с обязательными гепатитом и сифилисом?
| | |
| |
| 5.40, nmorozov (ok), 17:01, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
 загули "эрик шлоссер нация фастфуда" это макдонадлс, несколько перевернет твое представление о безопаснее прочих мест
| | |
|
|
|
| 2.27, vitalif (ok), 14:32, 18/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Не юзай фреймворки
Правда, будут дыры в самом пхп, но там отношение к их фиксингу посерьезнее
| | |
| |
| 3.30, коржик (?), 14:52, 18/03/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
а зачем писать на пхп если можно взять какой-нибудь asp net core MVC? Не знаю, насколько нужно быть конченым, чтобы умудриться на дотнете допустить инъекцию sql?
| | |
| |
| 4.49, лютый жабби (?), 17:45, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>насколько нужно быть конченым, чтобы умудриться на дотнете допустить инъекцию
с чего ты взял, что в вышеназванном sql инъекции? дырки совсем другие и в маздайном решете их тоже есть...
| | |
|
| 3.51, пох. (?), 18:23, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Правда, будут дыры в самом пхп, но там отношение к их фиксингу посерьезнее
вот взять, к примеру, phar:// ;-)
Если ваш нескучный язычок не позволяет выполнить произвольный код, просто попытавшись проверить факт существования файлов - жизнь прошла мимо вас.
notabug, посерьезнее, ага, ага.
| | |
|
|
| |
| 2.6, Аноним (3), 13:00, 18/03/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Предложи что-то получше. Wordpress лидирует по числу уязвимостей не из-за того, что WP такой говёный, а из-за того, что очень популярный. Плюс обилие плагинов под любую нужду - нашёл дыру в одном, считай, взломал сразу N сайтов.
| | |
| |
| 3.28, vitalif (ok), 14:33, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, именно потому, что говенный, в особенности говенны плагины. Допускать выполнение кода это ппц, а там в каждом втором плагине так, по моему
| | |
| |
| 4.35, Аноним (3), 16:00, 18/03/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Нет, именно потому, что говенный
М-м-м... так объективно
> в особенности говенны плагины
Так не используй такие плагины и будет тебе счастье
| | |
|
| 3.41, Урри (?), 17:02, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> не из-за того, что WP такой говёный
CMS, которая запускает плагины на своем уровне, никак не урезая их права - говно. Поэтому WP - именно что говёнНый.
| | |
| 3.61, и.о.К.О. (?), 21:50, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>Предложи что-то получше.
Статичный html.
Для 99.995% сайтов использующих wordpress или другую CMS, sql php и динамическая генерация страниц не нужны.
| | |
| 3.63, Lex (??), 22:12, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Ну вообще-то, "говенный" тоже подходит.
Но самое забавное в новости то, что джава упиманиется в ней как дырявая.. порой, даже наравне с пыхом.
Джава, которая интерпройс vs пых, который "для вебмакак"(тм)
| | |
|
| 2.15, Аноним (23), 13:33, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
Все срачи про раст про безопасность. Но почему-то никто даже не пытается написатьп безопасную CMS или безопасный PHP. В чем тут дело? Заговор? Или надо смотреть шире?
| | |
| |
| 3.42, Урри (?), 17:03, 18/03/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Они пока менеджер пакетов пишут. Вот допишут, тогда за еще что-нибудь ненужное возьмутся. И когда это ненужное закончится, вот тогда, возможно, доберутся до CMS.
| | |
| 3.58, Сишник (?), 19:24, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 На нём уже пытался один человек сделать для начала быстрый веб сервер, так своё же сообщество затравило.
| | |
| 3.64, Lex (??), 22:17, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Возможно потому, что пых сам по себе не шибко то и дырявый( по крайней мере, и на жабе и на проч хватает "опасностей" )..
Ну а по поводу cms.. тут уж либо делать примитивную и почти не конфигурируемую, либо - давать больше свободы в плане доработок, но иметь потенциально кучу дыр( в т.ч благодаря сторонним модулям )
| | |
|
|
| 1.5, BlackRot (ok), 12:59, 18/03/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Более 10 лет на ВП, что-то никаких проблем не было никогда. Наверное потому что софт всегда обновленный.
| | |
| |
| 2.29, vitalif (ok), 14:35, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Наверно потому, что ты нахрен никому не нужен
Ну и повезло м.б, т.к даже тех кто никому не нужен иногда боты ломают
Я чего только не видел с этим вротпрессом...
| | |
| 2.43, Урри (?), 17:05, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
У меня курящий смолоду дед до 90 лет дожил. Наверное потому, что сигареты продлевают жизнь.
| | |
| |
| 3.45, Аноним (44), 17:31, 18/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Наверное, потому, что курил советские папиросы из натуральных компонентов.
| | |
| |
| 4.55, пох. (?), 18:33, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
"а мусор с пола цеха - добавляли?" (вот сейчас и проверим, кто на самом деле застал, а кто перепевает бабушкины легенды про "натуральные компоненты" - к моему удивлению, этот анекдот в гугле не находится)
| | |
| 4.56, пох. (?), 18:34, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
ах, простите, не углядел про "папиросы". Дааа, не знаю как у Урри, наверное, его-то дед все же курил - табак, а у вас, похоже, была интересная молодость?
| | |
|
| 3.53, пох. (?), 18:26, 18/03/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
Скорее все же потому, что, вопреки антитабачным истерикам - никак заметно на ее продолжительность не влияют.
| | |
|
|
| |
| 2.70, denis111 (ok), 02:45, 19/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Устаревший фреймворк для Java, сайтам на котором лень мигрировать на что-нибудь по современней. Типа банков и прочих ынтерпрайзов, которым дешевле, если ваши деньги украдут через эти уязвимости, чем обновиться.
| | |
|
| |
| 2.20, Аноним (23), 13:41, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Ну во первых сайтов бы стало меньше. А значит привлекательность для школьников резко снизилось. Меньше школьников => меньше сайтов => меньше дыр. Но это не панацея.
Это как карантин в условиях пандемии лишь помогает медицинским службам справится с потоком больных. Но не победить болезнь полностью.
| | |
| |
| 3.54, пох. (?), 18:27, 18/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну во первых сайтов бы стало меньше.
то есть, собственно, их стало бы - ноль, не считая бесполезных васянских и статической картинки "сайт все еще в разработке, осталось 99999 лет до ее окончания".
| | |
| 3.65, Lex (??), 22:31, 18/03/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Но на самом деле нет. Точнее, ровно наоборот в плане дыр.
Попадался как-то сайтик, запиленный на плюсАх( чувакам надо было, чтобы на сайте какие-то данные отображались, а они получались с датчиков какими-то хитрыми путями посредством смешной библиотеки.. ну и ничего лучше, как только из-за этого написать и остальной сайт под плюсы не придумали..
Такой эпической помойки я не видал даже у пыхоиндусов.. даже у пыхокитайцев.
Просто глючная и совершенно не поддерживаемая куча д.ерьма, где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах( как и в случаях разного регистра букв. И далеко не факт, что одна из них будет 404-й - это может оказаться что угодно, вплоть до админ. панели ).. и это даже без каких-либо серьезных тестирований.
Как ни странно, но пых( с каким-нибудь YII ) в вебе оказался намного лаконичнее, а дырявость/безопасность системы не имеет прямого отношения ни к ООП, ни к типизации ( по крайней мере, наличие и того и другого в принципе не означают никакой безопасности сами по себе ).
С тех пор я невзлюбил плюсы и дурных макак, что пытаются затолкать свою хренову типизацию и ооп-чик куда ни попадя "просто потому что", особенно, если это касается веба.
| | |
| |
| 4.74, йкЛще (?), 15:56, 19/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>> Просто глючная и совершенно не поддерживаемая куча д.ерьма, где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах( как и в случаях разного регистра букв. И далеко не факт, что одна из них будет 404-й - это может оказаться что угодно, вплоть до админ. панели )..
Не понял, где обещаный криминал-то?
>> где со слешем в конце адреса и без него, можно оказаться на совершенно разных страницах
2 разных URL могут вести на разные страницы.Спецификация тут: https://www.w3.org/TR/url/
>> как и в случаях разного регистра букв
Ничего не изменилось: 2 разных URL могут вести на разные страницы. Спецификация все еще там же.
>> И далеко не факт, что одна из них будет 404-й
Кхм. 404 - это вообще не страница. 404 - это код возврата HTTP. "404 Not Found - The server has not found anything matching the Request-URI." Спецификация тут: https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html
На всякий случай переведу: "404 Не Найдено - сервер не нашел ничего, соответствующего URI запроса". С чего одна из существующих страниц должна быть "404-й" - непонятно. Сервер нашел же, ну!
А уж "404-я страница" - это вообще фронтендная заглушка, которая не совсем чтобы уж коррелировала со спецификацией HTTP. В спеке говорят: "не нашел страницу - верни статус 404". "404-я страница" делается редиректом на страницу с надписью "не найдено" или прочими странными буквами. А редирект у нас делается со статусами 301,302,303,307, например. Не нашел страницу - вернул 302. А по спецификации - 404 должен вернуть.
>> это может оказаться что угодно, вплоть до админ. панели
Если по URL расположена админ-панель, не вижу ни единой причины ей там не быть...
| | |
| |
| 5.76, Lex (??), 09:55, 20/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Изначально в сайте это не задумывалось, т.к на этот счет была целая куча запросов на багфикс.
Ну вообще-то нет.
Говоря об относительно простых сайтах / структуре, я, как пользователь, ожидаю попасть ровно на одну и ту же страницу, вне зависимости от того, заканчиваю я адрес слешем или нет( или к слову о том, что, даже у яндекса и гугла, yandex.ru, yandex.ru/ и google.ru, google.ru/ - это одни и те же страницы, но никак не Главная и Почта/Новости/Итп ).
Да ты просто гений. Только вот.. почему такая маленькая лекция об HTTP и 404-м коде, если речь вообще шла о странице-заглушке на сайте ?)
Обычно на сайтах есть и одноименная страница-заглушка, сообщающая, что вы хз куда попали и идите ка на главную страницу / пишите в поддержку. В общем-то, это одна из само-собой разумеющихся вещей на сайте, чтобы не вываливать дефолтное пустое браузерное окно с соотв. текстом.
Если что, речь не о каком-то REST / JSON-RPC и прочих штуковинах, никакого апи сервак не предоставляет - он только выдает самописный сайт на плюсАх.
Если ты, будучи обычным пользователем, хочешь зайти на какую-то новость, а попадаешь на админ-панель сайта, то это именно проблема, причем, очень серьезная.
Такого дырявого г.на ИМХО, я даже на пахе не видел. Речь не о сайтах школьников, а о сайтах нехилых контор( в данном случае, металлургической ).
| | |
| |
| 6.77, йкЛще (?), 09:28, 23/03/2020 [^] [^^] [^^^] [ответить] | +/– | Оно, конечно, так, за одним большим НО Согласно спецификации, yandex ru и yande... большой текст свёрнут, показать | | |
|
|
|
|
| 2.46, Аноним (44), 17:34, 18/03/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>А если бы сайты на C писали?
К известным веб-уязвимостям добавились бы ещё и уязвимости при использовании указателей, переполнения стека.
| | |
| 2.59, Сишник (?), 19:28, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
На микроконтроллерах типа esp8266 вполне себе делают веб интерфейсы. Как раз по скорости как php на дешёвой впске.
| | |
|
| 1.62, Случайный прохожий (?), 21:51, 18/03/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Именно поэтому, дорогое друзья, если необходима универсальная CMS для сайта нужно выбирать Joomla! Как разработчик, сильно не долюбливаю WordPress.
| | |
| |
| 2.66, Lex (??), 22:34, 18/03/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Джумла, друпал.. всё это то ещё..
Хотя, вордпрес, кнчн, ещё хуже.
| | |
| |
| 3.73, suffix (ok), 07:48, 19/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Опять таки меня все заклюют в который уже раз.
Но в плане именно безопасности очень неплох Битрикс (входящий в него по умолчанию бесплатный модуль "Проактивная защита" если настроен на 3-ий "параноидальный" уровень защищает от всего и вся. Фактически это WAF вполне приличный).
| | |
|
| 2.75, Kuromi (ok), 01:43, 20/03/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Джумла конечно хороша...вот только когда там находят очередную дыру диапазон уязвимых версий обычно примерно такой 3.0-3.9, иными словами большая часть уязвимостей тянется с сааамого начала текущей "мажорной" версии, а это значит что дырам ГОДЫ...
| | |
|
|
