- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Объясняю еще раз. Берем jsp написанный для java 1.3 и использующий слово assert. На java 1.4 данный скрипт работать не будет.
Обратная и прямая совместимость не гарантируются при переходе на следующие версии языка. Это общепринятая практика.
Ну это мелочи ...
Но это не 200 страниц о которых говорилось выше про php.
Ну хостер только извините смеяться будет увидев такую дыру.
В худшем случаи может и с хостинга попросить с таким друшлаком......
В данную минуту папка где лежит файл с паролями закрыта .htaccess
Это мне посоветовали те кто дыру нашел и Разработчик всем разослал именно это обновление.
У.... вот тут Вы не правы :) Вы ведь сами признались, что далеки от программирования (полагаю/, от администрирования серверов так же)
Упущение есть со стороны администратора сервера в том, что он не включил для phtml файлов должную поддержку.
Тут Вы хоть спорте, хоть не спорьте, но это факт. И он имеет место быть.
Демоверсия была доступна и я ее ставил и смотрел. Оценить полный функционал само собой на ней невозможно.
Я имел ввиду даже не установку демоверсии, а то, что сделал я в те десяток минут - просто пробежаться по их сайту покликать ссылки, поменять урлы ;)
Поэтому я и упоминал, что для такого теста вам понадобился бы программист средней квалификации. Исходники проверять и изучать нет необходимости.
Позвольте с Вами не совсем согласится. Каждый програмист хвалит только себя и для обьективной оценки потребовался бы человек которому я мог доверять. Доверять его мнению.
Да-да. Именно об этом и идёт речь :) Поэтому для объективного мнения достаточно было привлечь незаинтересованного программиста.
А если бы этому незаинтересованному вы сказали: "за каждый аргументированный недостаток в их скрипте ты получишь 5 долларов", то поверьте, их бы нашлось довольно таки много :)
Если можно только озвучить к чему данные уязвимости могут привести.
Не изучал этот вопрос детально, так как не собирался и не собираюсь их ломать.
Первая - по крайней мере получил уже полный путь к скриптам от корня сервера. Кстати, Вы наверное будете смеяться, но ту ссылку с паролями, можно получить прямо из их демо версии, даже предарительне не будчи знакомым со структурой скриптов :)
Вторая - выполнение произвольного запроса в БД. Про последствия не буду.
Т.е я так понял, что разработчики php не обеспечивают совместимость скриптов предыдущих версий?
Хороший язык. В этом случае програмисты должны это сами делать или перейти на другой язык.
Стараются и обеспечивают по максимуму :) По крайней мере, знакомые мне.
Но, вот наглядный пример: буквально пару часов назад столкнулся с проблемой: на сервере безопасный режим, а версия ПХП, установленная там, как назло, одна из немногих, имеющая пренеприятный баг с созданием файлов :(
Естественно, ситуация не та, когда можно пнуть админа, и он обновит версию. Пришлось выкручиваться и править скрипты. Благо, решение было найдено.
Так что, эта палка о двух концах - не полько скриптописакам надо стараться, а ещё и разработчикам самого Интерпретатора.
Т.е я так понял, что разработчики php не обеспечивают совместимость скриптов предыдущих версий?
Хороший язык. :d В этом случае програмисты должны это сами делать или перейти на другой язык.
хоть какое-то правильное высказывание от Вас в этом топике :)
если я не ошибаюсь, то пхп - это персонал хоум пейдж :)
название говорит само за себя
Евген,
судя по грубости в Ваших репликах, я говорю дело, иначе бы Вас это так не цепляло.
Отвечу как разработчик скриптов. (не webcat боже упаси).
Любой скрипт, если пишется профессионалами и претендует на универсальность, должен запускаться на любом хостинге. Нужно это учитывать и использовать такие решения, которые смогу "жить" на 9 из 10 конфигураций (исключил самые идиотские и нестандартные конфиги).
Если все же Ваше детище не запустилось, или возникли проблемы лучше их сразу устранить (лучше в купе с хостером). Во-первых это даст пищу для размышления, поможет улучшить скрипт ну и результать будет все равно обладать некоторым плюсом.
Если же скрипт разработчика не заработал, начала вываливатся, подвисать, давайть ошибки, то тогда грош цена такому разработчику. И уж если Вы взяли деньги, то лучше доделать всё до конца и с вниманием отнестись к заказчику.
ИМХО любой платный скрипт должен быть более чем продуманым, ведь есть десятки free source аналогов, ничуть не хуже по функционалу, а порой даже превосходящие. Так что в данной ситуации виновен в первую очередь разработчик, которые невнимательно отнесся к проблеме. Однако я соглашусь с теми, кто говорит, что и хостер несет долю ответственности. Видя, что просто неотрабатывает обработка .phtml, он в тоже время спокойно на это смотрит и предлагает аудит безопасности. Элементарно люди решили сыграть на незнании клиентам и его проблемах. Срубить капусты так сказать.
Не вижу тут какого-либо пиара. Вообще, отвыкайте от использования этого слова - судя по результатам его употребления, ни один участник топика смысла этого слова не знает.
vjazanie, вас не затруднит:
- перестать жаловаться администратору на непонравившиеся лично вам дискуссии?
- перестать с многозначительным видом обещать что-то невнятное своим собеседникам? В одном топике вы пообещали отбить у Яндекса всех клиентов, в жалобе на этот - использовать форум для публикаций сомнительного характера.
- наконец, перестать передергивать? В данном топике вы несколько раз обвинили автора в подтасовке фактов и не извинились за данное обвинение, хотя его надуманность очевидна.
Что же касается претензий, то мне они кажутся полностью обоснованными. Даже обсуждаемая дыра в безопасности - причем здесь типы файлов, обрабатываемых PHP? Файл, в котором хранятся пароли, вообще не должен быть доступен, по идее. Я уж не говорю о такой нехитрой штуке, как криптование паролей - благодаря ему, кстати, вам никогда не удастся увидеть чужой пароль к аккаунту на этом форуме, они все хранятся в md5.
Кроме того, обработка .phtml - не очень стандартная вещь. Тем более, что практической надобности в ней мало - такие расширения были в ходу лет пять назад.
Поддержка же php5 - вовсе не такое безумное дело, как это хотят представить защитники тезиса "сам дурак". Почему-то разработчикам скрипта этого форума показалось нелишним сразу после выхода PHP5 адаптировать к нему свою разработку. С MySQL 5 он тоже работает - и работало еще с альфа-версией год назад, кстати. В чем проблема-то поддержать новые версии базового софта? Вы можете себе представить софт, который бы, продаваясь сейчас за такую цену, не смог бы работать на Windows XP - ему, вишь, Windows 95 надо?
И огромная просьба к программистам - перестаньте доказывать, что автору надо было смотреть самому или приглашать специалиста. Вы, когда компьютер покупаете, лично или с помощью радиотехника проверяете емкость всех конденсаторов на материнской плате? Длину лазера в DVD-ROM замеряете? Или самое элементарное - напряжение, подаваемое на процессорные контакты, просите замерить? Или, когда процессор сгорит из-за неисправности в блоке питания, вы не идете в магазин по гарантии, а просто выбрасываете компьютер вместе с жестким диском, приговаривая "Сам виноват, надо было проверять!"?
Упущение есть со стороны администратора сервера в том, что он не включил для phtml файлов должную поддержку.
Тут Вы хоть спорте, хоть не спорьте, но это факт. И он имеет место быть.
Поэтому я и упоминал, что для такого теста вам понадобился бы программист средней квалификации. Исходники проверять и изучать нет необходимости.
Первая - по крайней мере получил уже полный путь к скриптам от корня сервера. Кстати, Вы наверное будете смеяться, но ту ссылку с паролями, можно получить прямо из их демо версии, даже предарительне не будчи знакомым со структурой скриптов :)
Вторая - выполнение произвольного запроса в БД. Про последствия не буду.
Я не являюсь большим спецом в данном вопросе, но, насколько я понимаю (если не прав - пусть поправят) даже при настроенном интерпретаторе phtml любой желающий всё равно без труда может данный файл скачать ReGet'ом, FlashGet'ом и т.п., если файл от этого не защищен ограничением прав доступа. А защищать пароли и /или файл должны либо разработчики применением криптования и т.д., либо юзер выставлением прав в соответствии с инструкцией опять же от разработчика. В данном случае разработчик не обеспечил ни защиту, ни инструкцию. В чем и виноват.
Мнение моё, и не обязательно правильное.
С уважением, Евгений.
to WebCat (создателям скрипта)
"Да отдайте Вы ему козу, защитнику нашему" (с) Царь
А серьезно. Давно пора замять это дело, а не идти на принципы!
В конечном итоге все равно дороже себе обойдется.
Пока нет времни - короткий коммент
Что же касается претензий, то мне они кажутся полностью обоснованными. Даже обсуждаемая дыра в безопасности - причем здесь типы файлов, обрабатываемых PHP? Файл, в котором хранятся пароли, вообще не должен быть доступен, по идее. Я уж не говорю о такой нехитрой штуке, как криптование паролей - благодаря ему, кстати, вам никогда не удастся увидеть чужой пароль к аккаунту на этом форуме, они все хранятся в md5.
при всем уважении к Вам, как к организатору этого сайта, лучше не затрагивать те области, где познания не на уровне.
md5 - шифрует "в одну сторону" и хранить в этом шифре пароли для доступа к БД немного непрактично.
Думаю, что и на этом форуме реквизиты для доступа к БД хранятся в незашифрованном виде или зашифрованы другим методом, позволяющим расшифровать.
P.S.
про соседний топик и яндыкс - Вы там тоже что-то наобещали. Так вот я не получил от яндыкса ни одного сообщения про отключения кампаний по словам конкурентов. Ждем-с
И огромная просьба к программистам - перестаньте доказывать, что автору надо было смотреть самому или приглашать специалиста. Вы, когда компьютер покупаете, лично или с помощью радиотехника проверяете емкость всех конденсаторов на материнской плате? Длину лазера в DVD-ROM замеряете? Или самое элементарное - напряжение, подаваемое на процессорные контакты, просите замерить? Или, когда процессор сгорит из-за неисправности в блоке питания, вы не идете в магазин по гарантии, а просто выбрасываете компьютер вместе с жестким диском, приговаривая "Сам виноват, надо было проверять!"?
Все равно буду утверждать, что данного плана ПО должно устанавливаться и настраиваться разработчиком или сертифицированным специалистом. В крайнем случае, установка должна быть расписана по шагам, но при этом ответственность за ошибки возникшие при установке несет заказчик.
И еще раз по теме. Я целиком на стороне заказчика. Политически грамотная компания безо всяких трений помогла бы заказчику и, быть может, оплатила бы ему информацию об уязвимости. С учетом того что разработчики имели полный доступ для установки и конфигурирования - оправдания им нет.
Сейчас я пытаюсь объснить как можно было избежать данной ситуации.
ЗЫ. Почему то при покупке бытовой техники никого не смущает требование установки сертифицированным спецом, а здесь получается каждый сам себе мастер.
Пока нет времни - короткий коммент
при всем уважении к Вам, как к организатору этого сайта, лучше не затрагивать те области, где познания не на уровне.
md5 - шифрует "в одну сторону" и хранить в этом шифре пароли для доступа к БД немного непрактично.
Думаю, что и на этом форуме реквизиты для доступа к БД хранятся в незашифрованном виде или зашифрованы другим методом, позволяющим расшифровать.
Ну человек говорил про про пароли эккаунтов. Однако я не вижу смысла хранить их в md5 тем более если это пароли форума. Для интернет банкинга имеет смысл, а для обычных приложений все же нет. Это просто неудобно для пользователей, когда при восстановлении пароля ты получаешь новый, а не старый. Так называемая избыточная безопасность.
А что касается паролей БД, то они всегда хранятся в открытом виде. В этом я абсолютно согласен с vjazanie