Как стать автором
Обновить

Комментарии 31

либо в _dev прописываем фильтрацию по ip
а точнее не убираем её полностью — она там прописана по умолчанию, но все же правильнее вообще не деплоить на продакшен дев окружение
плюс переименовать файл _dev во что-нибудь непредсказуемое для надёжности
хе, а что мешает для dev сделать стандартную авторизацию? если у вас в проекте sfguard есть, то работы на 5 минут. Набросать роутинг и авторизацию в конфигах. Более того, можно пошаманить и подрубать error_reporting: <?php echo (E_ALL | E_STRICT)."\n" ?> и web_debug: on только для суперадминов, тогда вобще можно стирать dev.
> Т.к. проект открытый можно посмотреть состояние кода для любой версии и посмотреть уязвимости в багтрекере.

Насчет посмотреть уязвимости в багтрекере — это вовсе не следствие открытости проекта. В той же джанге уязвимости просят сообщать на ящик security@djangoproject.com, к которому есть доступ только у очень ограниченного круга доверенных разработчиков. А если уязвимость подтверждается, вся разработка останавливается до тех пор, пока уязвимость не будет закрыта в транке, текущем релизе и еще 2х предыдущих релизах.
Пятый в Яндексе — «РОМА — доделай до ума» :)
Не вижу. Региональная выдача яндекса видать :)
В dev на хосте, отличном от 127.0.0.1, можно запустить только тогда, когда чьи-то шаловливые ручки залезли в *_dev.php и убрали заботливо поставленную защиту
Поправить-то можно, я часто добавляю свой внутренний айпишник (дев-сервер на виртуалке крутится), главное не разрешать всему миру туда лазить
Это не уязвимость Symfony. Защита от выстрела себе в ногу присутствует, но особо одаренные личности ее успешно удаляют.
Я не писал что это уязвимость. Просто хотелось обратить внимание что _это_ можно увидеть в результатах поисковиков. И еще раз напомнить разработчикам, наглядно показав на примере.
www.pallada.ru/frontend_dev.php
50 запросов на страницу — это мощно =) еще немного и получится bitrix

symfony уважаю, ничего личного
В битрексе половина запросов не дублируется :D
И register_globals on, интересно зачем? :)
Тут уж просто кривизна рук самого программиста, а symfony- то не причем:)
Это, мне кажется, проблема ORM (пропел там вроде). Если я делал $object->countArtists() то предполагал что оно будет кешировать результат, а не каждый раз делать SELECT COUNT(*) FROM. Когда я увидел что это не так, пришлось самому дописывать такой функционал, что не доставляло ни разу.
Вообще удивляет, как так, вроде использование подобного фреймворка говорит о каком-то профессионализме, и тут такие ляпы =\
Бросьте, использование фреймворка ни о чём не говорит. К тому же ляпы и баги свойственны любому сколь-нибудь сложному программному продукту. Не может программист не делать ошибок.
Я не про ошибки типа как www.pallada.ru/frontend_dev.php, где половина запросов дубли.

А про убирание защиты, которая есть по умолчанию.
Это, имхо, просто безалаберность.
И помимо сноса или блокирования *_dev.php не забываем снимать в настройках / переопределять default модуль. Также накрываем 500 ошибку (создаем свою ошибку для нее) и, если используется check_lock и предполагается блокирование модулей (что скорее всего), — unavaliable. Про 404 я уж совсем молчу — ее хоть в settings не пропустишь.
По-хорошему, вдобавок убираем backend.php из продакшна (мне нравится вариант с поддоменом). А совсем по-хорошему — лезем сюда и побеждаем остальные мелочи, выдающие symfony (будь то имя дефолтной куки или что ещё).
>>кто-нибудь запускал это в Windows?
да, я этим пользуюсь из-под windows
Можно в двух словах откуда взять бинарник и нужны ли для работы какие-то махинации?
Вот здесь написал ответ: avorobiev.habrahabr.ru/blog/76932/
Не смог разместить в блоге symfony из-за кармы.
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь
можно наблюдать пароли от smtp :)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории