Неадекватные действия со стороны техподдержки и администрации форума ispsystem.

Т.е. это понимать так: "уязвимость сообщай, но о чем-то договариваться я с тобой не стану, а не сообщишь, ну и ладно, проживем"?

Я понимаю, зачем вы просили номер тикета, но увы. И пускай вас наводит на такие мысли, так оно проще, да, но тикет был. Вот кстати если говорить о тикетах... наверное уже пару месяцев прошло, как я отписал о очередном потенциальном баге: при включении автоподдоменов создаются симлинки с владельцем root, и если настраивать апач не абы как, то при включенной SymLinksIfOwnerMatch работать это не будет. Сейчас проверил - бага не исправлена. Мало того, у вас (у компании) нет привычки даже сообщать клиентам будет бага исправлена или не будет, занесли ее в багзилу или нет, вот просто сказал, как в трубу аукнул, и тишина. Кстати, дарю вам очередную багу, ага :) Да и вообще меня поддержка поражает, пишешь о какой-то баге или предложение по улучшению, дежурная смена отправляет вопрос в старые, далее диалог:

-какого хрена мой вопрос отправили в старые без ответа?

-дежурная смена не может решать подобные проблемы. (или: у меня нет прав на решение подобных проблем)

-а я вас лично или дежурную смену прошу решить вопрос? передайте вопрос туда, куда нужно.

и это не единичный случай и так делают разные люди в вашей поддержке. Причем если явно не пнуть, что бы исправили баг (что я не сделал с бекапами вдсмгр-а, а просто сообщил подробно описав, как вам здесь), то он так и уйдет в историю. В принципе этого и стоит ожидать, если людям платить за кол-во закрытых тикетов, оно же и дураку понятно, что начнут пытаться всяко-разно мухлевать. Или теперь по каждому такому тикету искать лично Игоря (вас, да) и сообщать ему?

Я обезличел себя здесь, поэтому как частное лицо, а вы тут как руководитель компании, как не крути :)

Ага, только уже после того, как вам писали, что необходимо обновится, и после того, как вас самих, извиняюсь, поимели.

А теперь внимание вопрос: да я вижу новые темплейты здесь:

http://ru.download.ispsystem.com/FreeBSD-6.0/i386/VDSmanager/DiskTemplate/Soft2006/

http://ru.download.ispsystem.com/FreeBSD-6.0/i386/VDSmanager/DiskTemplate/ISPmanager/

но я ничего не вижу о них здесь:

http://ispsystem.com/rss-templates/ISPmanager.rss

http://ispsystem.com/rss-templates/Soft2006.rss

о новых темплейтах вы когда намерены сообщить народу?

Давайте решать проблемы конечно, я разве против? Именно за этим я здесь. Я не прошу тотального апгрейда, я прошу простое закрытие дыр, и НЕ ПОСЛЕ того, как вас поимеют, как и всех ваших клиентов, а ДО этого. Например phpMyAdmin-2.11.9.2, о котором речь шла здесь:

http://forum.ispsystem.com/ru/showthread.php?t=11215

подвержен этой баге:

http://www.gnucitizen.org/static/blog/2009/06/phpmyadminrcesh.txt

это я лично проверял. Да, по умолчанию она не работает и юзер сам должен создать диру config, но после этого эксплойта, появились модификации, например этот:

http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/

и ему уже все равно есть или нет дира config. А еще есть модификации, которые не пошли в народ, но можно купить за денюжку.

Я не знаю почему у вас лично такое вот отношение: ни кого не поломали - значит багов нет. Не поломали - до поры, до времени, если эксплойт не в открытом доступе, и его не юзает каждый первый дебил, то это не значит, что можно закрывать глаза на дыры. Еще раз: если разработчки сообщили о дыре, выпустили исправление, то обновляться нужно, СРАЗУ, а не ждать, когда кого-то взломают и не просить статистику взломов и доказательства, что дыра, о которой сообщили разработчики, действительно есть и является дырой.

Вы сейчас можете точно так же закрыть глаза на ту уязвимость которая у меня лежит в загашнике, ни кого же еще не поломали, значит ничего страшного нет, а вот когда найдется клиент которого обули на пару-тройку миллионов, тогда и можно думать о уязвимости...

И в заключении этого опуса большая ИМХО и еще один пинок :):

В ISPmanager-е всякого разного функционала навернули уже до чертиков, причем постоянно его накручиваете, не заботясь особо о безопасности. Пора уже остановить развитие на полгода-год и подумать, наконец о безопасности, исправить баги, подчистить багзилу, меньше покупать панельку за это время не станут. У нас уже полгода со всех серверов, с раздела /tmp снят флаг nosymfollow, и полгода назад вы обещали в течении месяца исправить и выпустить релиз без симлинков в /tmp, и вот все ждем (обещенного 3-и года ждут, ага?).

даже если в топике столько страниц недовольства и батталий, всё равно все кто юзал продукты ispsystem будут их юзать дальше.

Единицы начнут писать своё аналогичное ПО, но основная масса будет возмущаться, давиться и пользоваться продуктами ispsystem просто из-за того, что очень удобные условия маркетинга.

Понимая это ispsystem не сильно суетиться решать проблемы.

+100000000000000000000

QFT

Ключевая фраза :D

Уважаемые посетители форума,

Я устал отбиваться от ваших нападок и отвечать на них, доказывая что я не верблюд.

Разумеется у нас имеются проблемы (в том числе и организационного характера), мы их не отрицаем и постепенно решаем.

Время все расставит на свои места.

Парней, дающих умные советы мы всегда с радостью возьмем себе на работу, разумеется если они могут не только давать советы, но и знают как их воплощать в жизнь.

Я давал советы, как минимум одним из них вы воспользовались, но на работу пока никто не взял 🍿

ну да, как пошла конструктивная критика, а не "меня забанили на форуме", так сразу: "я устал"... терновник не колется?

Уязвимость я Игорю сообщил, эксплойт предоставил.

Igoron, а Вы что хотели? После того как Вы начали выдавать штрафы и в дальнейшем баны аккаунтов народ начал искать где спросить/критиковать и т д.

Не дописал версию программы к примеру штраф и так далее.

Человек признал, что у них есть проблемы. Что еще то надо? Этого же и добивались. Заканчивайте травлю уже.

Да он просто ангел ?

Раскаявшийся грешник вдвое угодней господу, чем толпа праведников...

Хорошо, когда человек признает наличие проблем.

Плохо, когда он не осознает их наличие.