Comments 129
жалко их - не ведают, что творят
> за деньги седьмой пункт моей программы должен выполняться безукоризненно
Безопасность должна соблюдаться в любом интернет-магазине, независимо от того, платный ли движок.
Зачем же теперь разбираться, где они ещё накосячили)) или Вам не достаточно причин, чтобы не пользоваться их продуктом? ;)
Именно поэтому у меня больше доверия вызывают опенсурсные движки...
Безопасность должна соблюдаться в любом интернет-магазине, независимо от того, платный ли движок.
Зачем же теперь разбираться, где они ещё накосячили)) или Вам не достаточно причин, чтобы не пользоваться их продуктом? ;)
Именно поэтому у меня больше доверия вызывают опенсурсные движки...
И в чем они у вас доверия вызывают? Глупейшая мысль - мол ошибки только в опенсорсе фиксят быстро. Или вы сами их думаете поправите быстро? Ошибаетесь, в любом скрипте надо разбираться, а если это система, то чаще всего там черт ногу сломит.
Что еще в защиту платных систем /магазины и прочее/ - вы можете их не покупать. Кто вас заставляет?
Мое ИМХО - магазин это очень ответственный скрипт /система/ и должен быть написан по уму, поэтому экономить здесь /выбирая опенсорс/ я не стану. Не отрицаю, что платные тоже под угрозой, но в таком маленьком проценте вероятности, что им можно пренебречь.
Что еще в защиту платных систем /магазины и прочее/ - вы можете их не покупать. Кто вас заставляет?
Мое ИМХО - магазин это очень ответственный скрипт /система/ и должен быть написан по уму, поэтому экономить здесь /выбирая опенсорс/ я не стану. Не отрицаю, что платные тоже под угрозой, но в таком маленьком проценте вероятности, что им можно пренебречь.
А скрипт, наверное, на PHP (Perl, Python) будет? Это ж опенсорс! Не экономьте!
И еще web-сервер от Майкрософт поставьте, не помню, как он там называется :-D
И еще web-сервер от Майкрософт поставьте, не помню, как он там называется :-D
Вы мух от котлет отделите, уважаемый. Сморозили глупость не подумав. Объясняю для тупых - php это НЕ опенсорс в прямом смысле. PHP - это продукт, который разрабатывают специалисты. А вот что пишут ламеры на качественном продукте - это уже то, на чем не надо экономить.
Еще ремарка для тупых - на C# тоже могут писать ламеры и родить говнопроект.
IIS - сервер от майкрософт.
Еще ремарка для тупых - на C# тоже могут писать ламеры и родить говнопроект.
IIS - сервер от майкрософт.
PHP - это OpenSource проект. Подразумеваю существующие реализации языка под большинство платформ.
Опа, PHP уже не Open Source, жаль...
Давно?
Давно?
Мы немного в разных направлениях начали говорить. Я исключительно _про скрипты_. Вы примешали php. Согласитесь, что инструмент и конечный результат это разные вещи.
А оскорбил меня как раз таки ваш наезд на инструмент. Для меня php безопаснее всяких мелкомягких выородков.
А оскорбил меня как раз таки ваш наезд на инструмент. Для меня php безопаснее всяких мелкомягких выородков.
Ну так почему в случае PHP Open Source вам не помеха, в случае скриптов - угроза безопасности. Где логика?
Понятно, что скриптов много разных, их пишут разные люди, и есть кривые, конечно. Но это не вина Open Source. Я видел довольно много ужасно дырявых платных скриптов. И их даже кто-то покупал...
Понятно, что скриптов много разных, их пишут разные люди, и есть кривые, конечно. Но это не вина Open Source. Я видел довольно много ужасно дырявых платных скриптов. И их даже кто-то покупал...
Речь идет о продукте, а не о технологии.
Microsoft .NET Framework - тоже с открытыми кодами, а Visual Studio Express вместе с C# бесплатные, но это вовсе не значит, что на них нельзя написать что-то платное.
Веб-сервер от MS называется IIS, 7-я версия которого - отличная вещь.
Microsoft .NET Framework - тоже с открытыми кодами, а Visual Studio Express вместе с C# бесплатные, но это вовсе не значит, что на них нельзя написать что-то платное.
Веб-сервер от MS называется IIS, 7-я версия которого - отличная вещь.
Я именно к вопросу безопасности написал. Как можно говорить о небезопасности Open Source, если на более низком и более важном уровне у нас опять-таки Open Source.
Согласен, что многие свободные и бесплатные движки кривые и небезопасные, но это никак не коррелирует с тем, открыты ли исходники.
Многие начинающие "великие программисты" закрывают исходный код своих мегапроектов, но лучше мегапроекты от этого не становятся.
Ну и все это про PHP, в основном.
Согласен, что многие свободные и бесплатные движки кривые и небезопасные, но это никак не коррелирует с тем, открыты ли исходники.
Многие начинающие "великие программисты" закрывают исходный код своих мегапроектов, но лучше мегапроекты от этого не становятся.
Ну и все это про PHP, в основном.
"Visual Studio Express вместе с C# бесплатные, но это вовсе не значит, что на них нельзя написать что-то платное"
Фигасе прям такое из лицензии следует?
Фигасе прям такое из лицензии следует?
Ну да, можно брать и писать. Express-версия студии бесплатная, сам .NET, ASP.NET и все такое устанавливаются бесплатно, так что можно работать.
То, что бесплатная, это я знаю. Вопрос лишь в том не написано ли в лицензии на VS-Express, что нельзя использовать для коммерческих целей.
Абсолютно нет.
Зато написано вот что: "Installation and Use. One user may install and use any number of copies of the software on your devices to design, develop and test your programs.". А это значит, что можно установить на любом количестве устройств и использовать для разработки и тестирования. Никаких ограничений, связанных с разработкой на Express-версиях, нет.
Зато написано вот что: "Installation and Use. One user may install and use any number of copies of the software on your devices to design, develop and test your programs.". А это значит, что можно установить на любом количестве устройств и использовать для разработки и тестирования. Никаких ограничений, связанных с разработкой на Express-версиях, нет.
Уже нет. Последняя версия таких ограничений не включает. Вот 2005я - там да, были ограничения.
С каких это пор .NET Framework стала с открытым кодом???
Вы путаете теплое с мягким. .NET - открытая платформа, да. Но открыты спецификации на нее, а не исходный код.
Вы путаете теплое с мягким. .NET - открытая платформа, да. Но открыты спецификации на нее, а не исходный код.
Я и не путаю теплое с мягким.
Scott Guthrie (16.01.2008): .NET Framework Library Source Code now available.
Также не забываем, что это открытое - еще не факт, что свободное. В данном случае MS предлагают изучать исходники .NET для нахождения ошибок, тестирования, а также для упрощения проектирования тех или иных мест. Однако, поскольку .NET - все таки проприетарная платформа с открытым кодом - лицензия запрещает перекомпиляцию .NET в измененном виде (ну, и, соответственно, распространение в таком виде), кроме особых оговоренных случаев, либо по договоренности с MS.
Также они мотивируют это тем, что так проще будет портировать платформу на все устройства (в частности, поможет проекту Mono с портом .NET на Линукс).
Scott Guthrie (16.01.2008): .NET Framework Library Source Code now available.
Также не забываем, что это открытое - еще не факт, что свободное. В данном случае MS предлагают изучать исходники .NET для нахождения ошибок, тестирования, а также для упрощения проектирования тех или иных мест. Однако, поскольку .NET - все таки проприетарная платформа с открытым кодом - лицензия запрещает перекомпиляцию .NET в измененном виде (ну, и, соответственно, распространение в таком виде), кроме особых оговоренных случаев, либо по договоренности с MS.
Также они мотивируют это тем, что так проще будет портировать платформу на все устройства (в частности, поможет проекту Mono с портом .NET на Линукс).
Да, кстати, вот только уточнил. Ограничений по переиспользованию кода .NET на других платформах значительно меньше. Это MS поддерживают инициативы по портированию.
И чем это мысль глупейшая? У меня есть опыт разработки (не магазинов, правда) на разных платных движках и на нескольких бесплатных. Бесплатные - оказались более логичны внутренне, с ними удобнее работать, и глюков в них сколько-нибудь значимых обнаружено не было. В платных были глюки (иногда) и неудобство использования (часто, увы). С безопасностью на опенсурсных движках у меня тоже никогда проблем не было.
Исключительно личный опыт, извините. Названий писать, думаю, не стоит :(
И дело не в экономии совсем - платил заказчик.
Исключительно личный опыт, извините. Названий писать, думаю, не стоит :(
И дело не в экономии совсем - платил заказчик.
А у меня больше доверия вызывают хорошие движки. Коммерческие движки после их покупки предоставляют исходные коды - чем не OpenSource? Мне, как разработчику важно качество самого движка и оперативный саппорт со стороны разработчика.
Как-то пытался получить саппорт от бесплатного OpenSource продукта. Суммы, которую мне выкатили за реализацию довольно простой задачи, хватило бы на покупку вполне приличной коммерческой CMS, у которой потом я бы имел бесплатный саппорт.
Другое дело - степень ответственности. Чем серьёзней проект, тем серьёзнее должны быть вложения в него. Это либо использование платных продуктов, либо бесплатных+платная разработка.
Либо этим проектом владеет специалист, который и занимается его разработкой. Но почему-то мало кто считает, что в конечном счёте это тоже "деньги".
Как-то пытался получить саппорт от бесплатного OpenSource продукта. Суммы, которую мне выкатили за реализацию довольно простой задачи, хватило бы на покупку вполне приличной коммерческой CMS, у которой потом я бы имел бесплатный саппорт.
Другое дело - степень ответственности. Чем серьёзней проект, тем серьёзнее должны быть вложения в него. Это либо использование платных продуктов, либо бесплатных+платная разработка.
Либо этим проектом владеет специалист, который и занимается его разработкой. Но почему-то мало кто считает, что в конечном счёте это тоже "деньги".
хватило бы на покупку вполне приличной коммерческой CMS, у которой потом я бы имел бесплатный саппортА вы покупали когда-нибудь CMS? Саппорт ограничивается, грубо говоря, помощью в настройках - любые модификации идут за отдельную плату. Причём весьма немалую. Всё упирается в логистику: проблема не в том, чтобы реализовать нужную вам небольшую фишечку, а в том, что появляется ещё один branch, за которым нужно следить, портировать в него багфиксы, etc. Это всё будет стоить разработчиками времени и сил, а кто будет за всё это платить? Вы же получите фишку и успокоитесь?
Соглашусь, с саппортом у OpenSource несладко. По моему опыту, опенсурсные движки почему-то удобнее платных. Внутренне логичнее и разрабатывать что-то на их основе легче. Причина сего - для меня загадка, признаюсь. Но получается, что при прочих равных я выберу OpenSource.
Степень ответственности - да, безусловно. Чем серьёзней проект, тем взвешеннее должны быть вложения. И, как Вы верно заметили, совсем не только денежные. Всё это так.
Степень ответственности - да, безусловно. Чем серьёзней проект, тем взвешеннее должны быть вложения. И, как Вы верно заметили, совсем не только денежные. Всё это так.
С одной стороны все верно. А с другой стороны нет
>> пользователи не должны напрягать мозг
Пользователи может и нет, а разработчики должны. Я сторонник того, что сайт, даже на движке "из коробки", должен разрабатывать хоть мало мальски понимающий в этом деле человек. Как только мы попытаемся сделать конструктор, что бы сайты клепали секретарши, то тут будет полный пиндык.
Большенство дыр в безопасности находится не в софте и не в скриптах, а в прокладке между клавиатурой и стулом.
>> пользователи не должны напрягать мозг
Пользователи может и нет, а разработчики должны. Я сторонник того, что сайт, даже на движке "из коробки", должен разрабатывать хоть мало мальски понимающий в этом деле человек. Как только мы попытаемся сделать конструктор, что бы сайты клепали секретарши, то тут будет полный пиндык.
Большенство дыр в безопасности находится не в софте и не в скриптах, а в прокладке между клавиатурой и стулом.
Если бы после установки скрипт в принудительном порядке требовал изменить рутовый пароль на слово, хотя бы длинной не менее 6 символов, это бы сильно изменило картину. А так производитель САМ портит свою репутацию.
Ну или на крайняк в инструкцию к фразе:
Для входа в административную панель нажмите F12.
По умолчанию создается аккаунт с логином "root" и паролем "root".
(для демо-версии логин "demo", пароль "demo")
можно бы было добавить "Обязательно измените пароль после установки системы, иначе придет плохой дядя и все испортит". Ладно, прозевали момент в скрипте, хотя бы в инструкции можно бы было описать самые важные шаги
Ну или на крайняк в инструкцию к фразе:
Для входа в административную панель нажмите F12.
По умолчанию создается аккаунт с логином "root" и паролем "root".
(для демо-версии логин "demo", пароль "demo")
можно бы было добавить "Обязательно измените пароль после установки системы, иначе придет плохой дядя и все испортит". Ладно, прозевали момент в скрипте, хотя бы в инструкции можно бы было описать самые важные шаги
Про рекомендации в инструкции я соглсен. Но только рекомендации! Возможно вынесенные отдельным пунктом и написанные жирным. Но я считаю, что _требовать_ от меня пароль не менее 6 символов и т.п. ни кто не в праве. А может я даун у меня больше 5 символов в голове не укладывается. Так что только настоятельные рекомендации.
Вы сами себе противоречите - то вы говорите, что вам нужен "мало мальски понимающий в этом деле человек", то он вдруг дауном оказался. Проверено: какого бы размера ни были буквы и как бы они не переливались если жёсткого запрета нет - куча народу отавит пароль по умолчанию.
Я на нескольких CMS видел разумную систему: пока пароль не сменён можно зайти только на страницу его смены и никуда больше. Да, жестоко, да, насилие над человеком. Но если исходники нет и человек не идиот - он может проверку оттуда убрать, а если не может - то ему тем более не стоит ничего доверять...
Я на нескольких CMS видел разумную систему: пока пароль не сменён можно зайти только на страницу его смены и никуда больше. Да, жестоко, да, насилие над человеком. Но если исходники нет и человек не идиот - он может проверку оттуда убрать, а если не может - то ему тем более не стоит ничего доверять...
Я себе не противоречу. В инструкции к системе моменты, касающиеся безопасности, должны быть освещены безусловно.
Заниматься разработкой сайтов должен специалист. Но заставлять его ставить пароль определенной длинны - не правильно. Можно это только рекомендовать. Можно рекомендовать настойчиво, но не заставлять.
Это имхо конечно же
Заниматься разработкой сайтов должен специалист. Но заставлять его ставить пароль определенной длинны - не правильно. Можно это только рекомендовать. Можно рекомендовать настойчиво, но не заставлять.
Это имхо конечно же
В этом плане я соглашусь с WordPess там после установки админу генерится пароль и предварительно показав его на экране отсылает на мыл.
Дополнительно в помощь поиска багов: http://forum.antichat.ru/showthread.php?t=40457
Эти действия незаконны, и могут быть поводом для заведения уголовного дела.
Когда ваш магазин, который вам приносит 2-3 килобаксов в месяц /а это минимальная планка нормального ебизнеса/, сольют из интернет-кафе, вам будет уже не до уголовного дела. Вы еще и отдадите хакеру 10 штук, лишь бы он вернул магазин.
Простите, а что значит "10 штук лишь бы вернул магазин"? Магазин — это чтоли машина или мобильник, который можно украсть и потом вернуть? Ну сольют его и пусть подавятся — достал дистриб и поставил заново, а лучше из бэкапа (который все хостеры автоматом делают) накатил...
Пропадут все заказы за определённый срок и прочее. Серъёзный ущерб как вашей репутации, так и прямой (телефоны/пылесосы/тортики закуплены, а куда их везти - неизвестно; хорошо если у вас продукт не скоропортящийся).
С другой стороны Утконос с дырой в которую танк может въехать уже не первый год существует - и ничего...
С другой стороны Утконос с дырой в которую танк может въехать уже не первый год существует - и ничего...
Да вы что, прям-таки уголовное? И где же это написано, что "нельзя заходить в панель управления чужого магазина, зня логин/пароль"?
Эти действия могут быть незаконны. Где состав преступления? Конкретный, пожалуйста. Мол такой-то получил несанкционированный доступ туда-то и пр.
Человек, более того, правильным делом занят. Настораживает, что столько внимания одному, конкретному, коммерческому магазину, но дело правильное.
Человек, более того, правильным делом занят. Настораживает, что столько внимания одному, конкретному, коммерческому магазину, но дело правильное.
Статья 272 УК РФ (Неправомерный доступ к компьютерной информации). Формально это действительно правонарушение. По аналогии: нельзя без спросу заходить в чужую квартиру, имея от нее ключи.
дайте мне консультацию юриста - если я имею доступ к серверам компании, то могу читать всю переписку проходящую через них и данные хранящиеся на них. Верно?
А заходить в чужую квартиру, имея от нее ключи это просто невежливо. Если конечно, целью стоит зайти и посидеть а не вынести все что можно :)
А заходить в чужую квартиру, имея от нее ключи это просто невежливо. Если конечно, целью стоит зайти и посидеть а не вынести все что можно :)
Я не юрист, да и приведенная аналогия хромает (также, как и все аналогии в той или иной степени). Тут важен такой момент, что не все, что вы можете делать, является законным. Проникновение в чужую квартиру или чтение внутренней переписки компании можно квалифицировать совершенно по разному, в зависимости от того, откуда у вас ключи/пароли и т.д.
Для того, чтобы классифицировать доступ к панельке магазина как неправоменрый, необходимо наличие правил или лицензии на его использование, в которых четко прописано, куда мне как посетителю ходить можно, куда нельзя.
Представьте гипотетическую ситуацию, когда на админке магазина нет пароля вообще, а вы ну совсем нечаянно нажали F12 и попали в неё все? вы нарушили закон и получили неправомерный доступ? И вас можно катать по УК?
Для меня, как и для многих хорошо знакрмых с компом людей, root/root - это тоже отутствие пароля :)
Представьте гипотетическую ситуацию, когда на админке магазина нет пароля вообще, а вы ну совсем нечаянно нажали F12 и попали в неё все? вы нарушили закон и получили неправомерный доступ? И вас можно катать по УК?
Для меня, как и для многих хорошо знакрмых с компом людей, root/root - это тоже отутствие пароля :)
Представьте гипотетическую ситуацию, что в доме была незаперта дверь и её открыло сквозняком (распахнули дети), и вы совершенно случайно шли мимо и нечаянно зашли в неё. Может ли хозяин квартиры задержать/сдалть в полицию/застрелить вас?
Некорректное сравнение. Скорее хозяин квартиры пригласил меня к себе в гости и не закрыл дверь на кухню, но и не запрещал мне туда входить, а я не спрашивая зашел. Это гораздо больше похоже на ситуацию с сайтом.
Состав преступления и статья в УК - суть разные вещи.
Нет в том, что человек здесь опубликовал состава преступления, как бы кто ни хотел его там найти.
На Википедии неплохо написано, что такое состав преступления.
Если бы все следовали вашей логике в определении преступлений, нужно было бы пересажать 90% граждан.
Нет в том, что человек здесь опубликовал состава преступления, как бы кто ни хотел его там найти.
На Википедии неплохо написано, что такое состав преступления.
Если бы все следовали вашей логике в определении преступлений, нужно было бы пересажать 90% граждан.
> управлять магазином будут две милые барышни со светлыми волосами.
После этой фразы мне стало страшно за будущее этого магазина. Всё же интернет-магазин это не самое простое программное решение и экономическая система.
Можно, конечно, многое отдать на откуп софтине, но когда потом за неверное бизнес-решение приходится расплачиваться продавцу - тогда-то он и задумывается "а не обеспечить ли бизнес продвинутым инструментом продаж?". Имхо, все эти "из коробки" при первой же возможности напомнят о своём существовании - глюками или тормозами.
После этой фразы мне стало страшно за будущее этого магазина. Всё же интернет-магазин это не самое простое программное решение и экономическая система.
Можно, конечно, многое отдать на откуп софтине, но когда потом за неверное бизнес-решение приходится расплачиваться продавцу - тогда-то он и задумывается "а не обеспечить ли бизнес продвинутым инструментом продаж?". Имхо, все эти "из коробки" при первой же возможности напомнят о своём существовании - глюками или тормозами.
Нет, админить-то придется все равно самому, но вот вносить продукты, изменять прайс, смотреть состояние заказов это задача дамами вполне решаемая, главное все правильно настроить и тыркнуть пальцем (а лучше на бумажке написать), какую кнопку нажимать, чтобы это сделать. Если вы посмотрите андминку пхпшопа, то поймете, почему я на нем остановился.
UFO just landed and posted this here
А как насчет интернет-магазина на txt файлах? :)
Вы с yzh44yzh о разных вещах говорите.
"Дикая простота в смысле внутреннего устройства" - очень, очень полезно для безопасности.
"Дикая простота в смысле лёгкости использования" - редко когда совмещается с безопасностью.
Я боюсь что автор хотел последнего, а не первого...
"Дикая простота в смысле внутреннего устройства" - очень, очень полезно для безопасности.
"Дикая простота в смысле лёгкости использования" - редко когда совмещается с безопасностью.
Я боюсь что автор хотел последнего, а не первого...
UFO just landed and posted this here
UFO just landed and posted this here
Не очень хорошо "палить ссылки". А что, если теперь малолетние хацкеры из числа читателей Хабра ринуться громить эти самые магазины по стопам автора данной статьи?
Тут проще обратиться к веб-студиям, у некоторых есть собственные движки, другие модифицировали open source. Денег больше заплатите, но скорее всего получите многие фишки ориентированные на рунет из коробки (если конечно вы не первый заказчик и даже не второй :) ), и не придётся в дальнейшем искать каких-нибудь фрилансеров на доработку системы.
Отправьте баг-репорт авторам - пусть сделают заплатку, чтобы пользователи могли обновиться.
Это будет благородно.
Это будет благородно.
Ну вот допустим я беру и блокирую через глобальный .htaccess исполнение скриптов в папке /files/, куда клиенты через аплоадер кидают файты. Я гарантию дать могу, что уже через неделю найдется чел, который захочет туда, без лишних проблем, кинуть кастомный PHP файлик и придется снимать защиту. Или менять .htaccess…
Ключевой момент ЛЮБОЙ безопасности не параноидальное блокирование вообще всего (тоже метод конечно), а найм грамотных специалистов, которые будут систему обслуживать.
Конечно следует заткнуть важные дырки, зазендить конфиг файл, права поставить, разграничить зоны, что где может исполняться… Но все это не спасёт, если админ — светловолосая девочка с паролем «qwerty» :)
Человеческий фактор — самое уязвимое место любой системы, человека можно уговорить, обмануть, что угодно сделать. Девелоперов я не защищаю, но если бы пароль на сайтах был бы не root:root, то автор бы ничего не смог поделать совсем так по-тупому…
Ключевой момент ЛЮБОЙ безопасности не параноидальное блокирование вообще всего (тоже метод конечно), а найм грамотных специалистов, которые будут систему обслуживать.
Конечно следует заткнуть важные дырки, зазендить конфиг файл, права поставить, разграничить зоны, что где может исполняться… Но все это не спасёт, если админ — светловолосая девочка с паролем «qwerty» :)
Человеческий фактор — самое уязвимое место любой системы, человека можно уговорить, обмануть, что угодно сделать. Девелоперов я не защищаю, но если бы пароль на сайтах был бы не root:root, то автор бы ничего не смог поделать совсем так по-тупому…
А если этот чел закинет туда такой кастомный файлик http://phpshell.sourceforge.net/ ?
Под «челом» я подразумевал заказчика. Не хакера… Хакер, понятное дело, хочет получить шелл :)
Самое прикльное, что можно и кастомный .htaccess зааплоадить. А насчет рутрут вы правы, так по-детски влезть не получилось бы, но в этом-то и главный позыв поста: разработчики сделали крутой скрипт, но совершенно не позаботились о примитивнейшней защите от человеческого фактора.
что ему мешает кинуть туда локальный .htaccess ? :)
О чем и речь… Можно конечно при аплоаде не давать заливать файлы без имени (.htaccess можно интерпретировать как файл без имени но с расширением), можно переименовывать на лету, но все это бред, по сравнению с тем, чтобы просто хорошо отладить саму авторизацию и просто не пустить злоумышленника к святой святых — аплоадилке :)
Ув. ТС, в повествовании не хватает ссылок на упоминаемые движки. Я понимаю, гугл никто не отменял, но все же, манеры хорошо тона...
То есть, основная "дыра в безопасности" это дефолтные логин-пароль, которые автор отказался менять?
известная тема -)
молодца!
сам также сливал как-то раз =)
молодца!
сам также сливал как-то раз =)
Вся статья на тему "Кая я нашёл 7 тестовых сайтов с дефаултным паролем админки". Не густо.
Битрикс (не шоп, знаю, но цмс сильно раскрученная) тоже просит 777 на некоторые папки. Проблема здесь кроется в том, что если найдут уязвимость на сайте (необязательно не скриптах цмс/шопа), которая позволяет command execution, простой 'find -type d -perm 777' выведет эту папку, а потом мы красиво wget'ом в нее сольем пхп-шелл.
Этот алгоритм действий злоумышленников в зубах навяз уже у всех шаред-хостеров :(
Этот алгоритм действий злоумышленников в зубах навяз уже у всех шаред-хостеров :(
Что вы можете сказать насчет движка www.shop-script.ru ? После долгих поисков остановился именно на нем.
Спасибо, посмеялся. Во второй магазин с phpshop'ом удалось войти под рутом.
Оставлю записку чтобы сменили пароль..
Советую вернутся к рассмотрению интернет-магазина на бесплатном движке от Joomla! Интерфейс приятнее и понятнее, чем тот же phpshop. Главная проблема тут может стоять в разработке шаблона - это основная работа напильником. Но у есть джумлы море бесплатных шаблонов, которые можно самостоятельно доработать, либо купить/заказать платный шаблон.
Огромным преимуществом джумлы над прочими движками в наличии большого числа наработок к ней: различные модули, компоненты, причем большинство из них бесплатны. Огромный форум поддержки на русском.
Кроме того, по итогам 2007 года джумла стала лучшим бесплатным движком, в том числе по безопасности.
Оставлю записку чтобы сменили пароль..
Советую вернутся к рассмотрению интернет-магазина на бесплатном движке от Joomla! Интерфейс приятнее и понятнее, чем тот же phpshop. Главная проблема тут может стоять в разработке шаблона - это основная работа напильником. Но у есть джумлы море бесплатных шаблонов, которые можно самостоятельно доработать, либо купить/заказать платный шаблон.
Огромным преимуществом джумлы над прочими движками в наличии большого числа наработок к ней: различные модули, компоненты, причем большинство из них бесплатны. Огромный форум поддержки на русском.
Кроме того, по итогам 2007 года джумла стала лучшим бесплатным движком, в том числе по безопасности.
Php-shop вроде как дает исходники при покупке (возможно зависит от лицензии), но смотреть его код, честно говоря, не полезно для душевного здоровья.
Каждая вторая доработка превращается в увлекательное расследование, то добавление товара в корзину окажется в файле mail.php, то id пользователя окажется удивительным типом TINYINT(11).
Строго говоря, логин-пароль "по умолчанию" сам по себе не является уязвимостью продукта в целом, а так я особо зияющих дыр не заметил (хотя особенно и не искал), админка- как решето, конечно, в плане sql инъекций и xss, но если ты в нее попал система уже скомпрометирована.
Каждая вторая доработка превращается в увлекательное расследование, то добавление товара в корзину окажется в файле mail.php, то id пользователя окажется удивительным типом TINYINT(11).
Строго говоря, логин-пароль "по умолчанию" сам по себе не является уязвимостью продукта в целом, а так я особо зияющих дыр не заметил (хотя особенно и не искал), админка- как решето, конечно, в плане sql инъекций и xss, но если ты в нее попал система уже скомпрометирована.
Поддерживаю,я не знаю уровень автора статьи, но информация приведённая в ней детский лепет, а не анализ. Каждый второй КМС (в том числе и друпал)позволяет залить пшп фаил. Куча скриптов имеют дефолтных пользователей. С другой стороны 500$ это у девелоперов мания величия видимо, я бы обратил бы внимание на то сколько в этот магазин придётся еще вложить прежде чем он сможет нормально работать. Тоесть сколько придется отвалить программистам чтоб они подогнали магазин под нужды (модули оплаты, дизайн, сервисы и тп), как минимум 1000-1500уе + 500 за магазин. 1500 - 2000 за это добро перебор.
Кстати, насчет mail.php вы видимо спутали phpshop.ru и phpshop.org. Сегодня рассматривал исходники пока все очень прилично, логика, комменты.
Статья очень напоминает статью ELEKT'a из 114 выпуска журнала "][акер".
Тоже ПО, теже ошибки (правда в статье их приведено больше).
Интересно было бы прочесть ответ автора на мой пост.
Тоже ПО, теже ошибки (правда в статье их приведено больше).
Интересно было бы прочесть ответ автора на мой пост.
Я давно вырос из возраста, в котором интересно читать этот журнал :) Сейчас как-то больше к бизнесу, спорту и здоровью тянет
просто выход журнала, а через неделю выход такой же статьи...
8)
Прикольное совпадение. К счастью мои мозги работают достаточно живо, чтобы самому отыскать такую возможность без помощи кулхацкерских изданий (сори, если задел, просто уже лет 9 назад вовсю глумились над сокурсниками-читателями). Вчера вечером посидел, покапался, удивился, решил отписать на любимый ресурс. Ну значит не первыйнах. Хотя наверняка еще и до него, и до меня через эти бреши народ лазил.
Прикольное совпадение. К счастью мои мозги работают достаточно живо, чтобы самому отыскать такую возможность без помощи кулхацкерских изданий (сори, если задел, просто уже лет 9 назад вовсю глумились над сокурсниками-читателями). Вчера вечером посидел, покапался, удивился, решил отписать на любимый ресурс. Ну значит не первыйнах. Хотя наверняка еще и до него, и до меня через эти бреши народ лазил.
В коментах видел кто-то писал "Зачем пользоваться их продуктом если там ошибки и зачем разбираться в этом продукте" это нужно делять чтобы потом не бажить самому себе когда что нить делать начнеш.
А почему не расматривали вариант - использовать готовый сервис интернет магазинов ?
Он не один такой в интернете. Там достаточно зарегистрироваться, и заполнить каталог товаров.
Например, e-marts.info
Он не один такой в интернете. Там достаточно зарегистрироваться, и заполнить каталог товаров.
Например, e-marts.info
Уже одному горе-админу пароль сменил для рута :)
Конечно же, я его тут же известил об этом.
Конечно же, я его тут же известил об этом.
Нашел пару сайтов, ничего не менял конечно, но системка миловидно извещает, мол дядя юзер, негоже дефолтным паролем пользоваться - могут трахнуть. Можно конечно говорить о том что пусть каждому новому покупателю выдают md5(microtime(true))-пароль, но ведь завалять разработчиков своими "Я забыл"
UFO just landed and posted this here
Безопасность как всегда утыкается в полную безграмотность людей и нежелание думать, а так же бытовую логику «купил машину, у неё ключи уникальные».
Вот тут и должна быть техподдержка. То есть самим залезть и проверить. А у нас пока техподдержка — это получить деньги и не трогаться с места, пока не позовут.
Вот тут и должна быть техподдержка. То есть самим залезть и проверить. А у нас пока техподдержка — это получить деньги и не трогаться с места, пока не позовут.
Использование дефолтного пароля - личное дело пользователей продукта. Я не слышал, чтобы кто-то особенно пинал разработчиков MSSQL за юзера "sa" с пустым паролем. Возможно, уровень профессиональной подготовки у покупателей этих продуктов слишком разный.
Какой захватывающий детектив получился! Браво!
кстати...
я наверное не один бросился смотреть это на практике...
так вот...
есть такая компания pcosa.ru, которая в клиентах показывает разработчкиов данного скрипта...
так вот - судя по тому, что удалось найти на некоторых сайтах - они не только не залатали эту дыру, но и активно ее юзают...
стыдно :-(
я наверное не один бросился смотреть это на практике...
так вот...
есть такая компания pcosa.ru, которая в клиентах показывает разработчкиов данного скрипта...
так вот - судя по тому, что удалось найти на некоторых сайтах - они не только не залатали эту дыру, но и активно ее юзают...
стыдно :-(
зашёл в один такой магазин, посмотрел обзор соединений.. увидел, что я не один там сижу такой. забавно.
вы точно все еще хотите открыть е-магазин? Вы и на взломах можете неплохо зарабатывать =)
Мне кажется, что порядочнее было бы написать разработчикам о найденных уязвимостях чтобы они могли разослать информацию пользователям и исправить проблемы. А вместо этого Вы своей статьёй подбиваете некоторых граждан на пакости, указывая им готовый алгоритм её реализации.
Разработчики знают эту уязвимость в последнем релизе магазина после входа с помощью рутрута всплывает окошко "Вы используете стандартный пароль администратора. Это может привести к взлому сайта. Сменить пароль?". Но в какой именно версии они додумались до этого не известно, а большинство из проверенных магазинов имеют версию на 3-4 ниже последней.
Тут кстати проявляется еще одна фишка барыг: техподдержка, во время которой можно обновить скрипты, действительна только пол года. Дальше за отдельное бабло (причем сопоставимое со стоимостью самого скрипта). Не хочешь платить надейся :)
Тут кстати проявляется еще одна фишка барыг: техподдержка, во время которой можно обновить скрипты, действительна только пол года. Дальше за отдельное бабло (причем сопоставимое со стоимостью самого скрипта). Не хочешь платить надейся :)
Что при этом интересно - в состав пакета входит утилитка для поднятия/создания дампов MySQL, и поправьте меня, если ошибаюсь, но это ничто иное, как интегрированный Sypex Dumper Lite (http://sypex.net/)
================================================
/***************************************************************************\
| Sypex Dumper Lite version 1.0.8b |
| (c)2003-2006 zapimir zapimir@zapimir.net http://sypex.net/ |
| (c)2005-2006 BINOVATOR info@sypex.net |
|---------------------------------------------------------------------------|
| created: 2003.09.02 19:07 modified: 2006.10.27 03:30 |
|---------------------------------------------------------------------------|
| This program is free software; you can redistribute it and/or |
| modify it under the terms of the GNU General Public License |
| as published by the Free Software Foundation; either version 2 |
| of the License, or (at your option) any later version. |
| |
| This program is distributed in the hope that it will be useful, |
| but WITHOUT ANY WARRANTY; without even the implied warranty of |
| MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the |
| GNU General Public License for more details. |
| |
| You should have received a copy of the GNU General Public License |
| along with this program; if not, write to the Free Software |
| Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,USA. |
\***************************************************************************/
Я понимаю, что если пользователь не сменил пароль по умолчанию, то это не проблемы разработчика.. А вот как быть с копирайтом? ;-) GNU разве подразумевает возможность редистрибуции кода без упоминаний авторства?
================================================
/***************************************************************************\
| Sypex Dumper Lite version 1.0.8b |
| (c)2003-2006 zapimir zapimir@zapimir.net http://sypex.net/ |
| (c)2005-2006 BINOVATOR info@sypex.net |
|---------------------------------------------------------------------------|
| created: 2003.09.02 19:07 modified: 2006.10.27 03:30 |
|---------------------------------------------------------------------------|
| This program is free software; you can redistribute it and/or |
| modify it under the terms of the GNU General Public License |
| as published by the Free Software Foundation; either version 2 |
| of the License, or (at your option) any later version. |
| |
| This program is distributed in the hope that it will be useful, |
| but WITHOUT ANY WARRANTY; without even the implied warranty of |
| MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the |
| GNU General Public License for more details. |
| |
| You should have received a copy of the GNU General Public License |
| along with this program; if not, write to the Free Software |
| Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,USA. |
\***************************************************************************/
Я понимаю, что если пользователь не сменил пароль по умолчанию, то это не проблемы разработчика.. А вот как быть с копирайтом? ;-) GNU разве подразумевает возможность редистрибуции кода без упоминаний авторства?
GNU таким не балуется :)
А вот GPL позволяет такое, правда в триале код этой утилиты тоже должен быть открыт. Или по крайней мере разработчики должны любому пользователю триала по требованию выдавать эти исходники.
А вот GPL позволяет такое, правда в триале код этой утилиты тоже должен быть открыт. Или по крайней мере разработчики должны любому пользователю триала по требованию выдавать эти исходники.
Непонимаю за что 500 долларов?! Сборки на ос-коммерс например VAM стоят 20 долларов, работают без напильника, и уязвимости такой нет. Основываясь на собственном опыте говорю. А вот дефаултный пароль это конечно вина самих хозяев, ну двери то открытые небось к себе в квартиру не оставляют... :)
Надеюсь, семи нерадивым хозяевам магазинов на phpshop подсказали их ошибки?)
Жесткий топик. Хорошо в свое время я заказал разработку собственной ЦМС. :)
Хм, таких ЦМС великое множество. И это очень, очень здорово, не правда ли?
Автору плюсов и успехов. :)
Хм, таких ЦМС великое множество. И это очень, очень здорово, не правда ли?
Автору плюсов и успехов. :)
tehnoera.ru :)
работаю в группе компаний, у которой несколько е-магазинов. Скинул начальнику статью, пусть почитает :)
После "777" можно было и не продолжать.
Ну раздули резину :)
Ссылка по теме http://www.phpshop.ru/news/ID_185.html
Нихт нуленную версию мучать, имхо она под нашим руководством была выложена (http://www.nulled.ws смотрите ссылку друзья). Все ошибки с загрузкой файла давно-давно пофиксины, а если кто пользуется нулем, то это их траблы.
Да и про цену, кроме версии за 11790 руб есть версия за 3990 и их большинство, разве 4000 руб это "отвалили денег"? Это зайти в магазин и купить пожрать и пиво :)
Развелось тут псевдохакеров....Заказуха.. :)))))
Ссылка по теме http://www.phpshop.ru/news/ID_185.html
Нихт нуленную версию мучать, имхо она под нашим руководством была выложена (http://www.nulled.ws смотрите ссылку друзья). Все ошибки с загрузкой файла давно-давно пофиксины, а если кто пользуется нулем, то это их траблы.
Да и про цену, кроме версии за 11790 руб есть версия за 3990 и их большинство, разве 4000 руб это "отвалили денег"? Это зайти в магазин и купить пожрать и пиво :)
Развелось тут псевдохакеров....Заказуха.. :)))))
Что тут было? :)
Sign up to leave a comment.
Безопасность — наше все: как украсть е-магазин