- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
...<div>{content}</div>...
все остальное это попытка создать видимость универсальности в CMS в ущерб другим вещам.
а если там форма со 100500 полями? и надо сменить дизайн из 90ых? вас же заплюют и помидорами гнилыми обмажут.
все очень сомнительно, может быть просто надо делать "автоескейпинг" в шаблонизаторах? чтобы они сразу возвращали фильтрованные данные в места вставки? к такому выводу не приходили? хсс не прорвется, а в тех 5 разах, когда надо без флиьтрации вставить - вставляем нечто типа {:content} вместо {content} и все. волки сыты, овцы целы.
в smarty и других подобных шаблонизаторах есть escape:
http://www.smarty.net/docsv2/ru/language.modifier.escape.tpl
rtyug, Вы уже всем верстальщикам лекцию об этом прочитали? И все они поверили? Может еще и подробно объяснили ЗАЧЕМ она нужна? :)
Смысл не в том, что можно писать безопасные шаблоны. Смысл в том, что можно написать и не безопасные. Поэтому их нужно проверять. А был бы шаблонизатор на регулярках или на конечных автоматах, то без исполняемого кода, то уязвимых шаблонов просто не могло бы быть...
В принципе это из базовых концептов безопасности. В старину было два чистых подхода. Один в юникс-платформах, второй у винды. "Все что не запрещено - разрешено" и "все что не разрешено - запрещено". Сейчас все немного поменялось, но суть осталась...
В итоге вывод который я вынес за несколько лет, заключается в том что ломают только популярные движки, через известные дыры, и то в 90% случаев это делается на автомате скриптами.
В основном. Это если нет заказа на тебя.
Ломать автоматом проще. Намного.
Не надо брать халявных шаблонов и шаблоны за копейки и все будет хорошо.
Ну да, это один из подходов. Если взять дешевый китайский корпус и вставить в него нормальную материнку, то все будет работать. Если вставить китайскую дешевую мать в нормальный корпус, то все работает. Вставить китайскую мать в китайский корпус - не работает :)
Но есть и другой подход, который многие тут не рассматривают - взять нормальный корпус и нормальную мать :)
В контексте сайтостроения - некоторые извращенцы не только нормальные шаблоны берут, но и... нормальные движки :)
Потому что правильный шаблон должен выглядеть примерно так
...<div>{content}</div>...
все остальное это попытка создать видимость универсальности в CMS в ущерб другим вещам.
плюсадын.
mendel добавил 28.01.2011 в 13:33
все очень сомнительно, может быть просто надо делать "автоескейпинг" в шаблонизаторах? чтобы они сразу возвращали фильтрованные данные в места вставки? к такому выводу не приходили?
Так собственно об этом речь и идет. Попробуйте топик с начала прочитать :)
А вот что делать с опасными функциями уже существующих шаблонизаторов? Например доступ из смарти к гет/пут? Выжигать каленым железом на лбу верстальщика запрет пользоваться этими функциями? :)
А зачем вообще верстальщику эти переменные ? Он у вас еще может и пхп код меняет под себя ? Верстальщик получает массивы и переменные с данными, которые необходимо отобразить на странице.
Если у верстальщика есть доступ к темплейту, то он и так там что угодно сделать сможет.
Да и большинство взломов сейчас идет по пути троян->фтп доступ->троян для следующего.
Выжигать каленым железом на лбу верстальщика запрет пользоваться этими функциями?
стопудово.
seodude добавил 28.01.2011 в 14:24
Например доступ из смарти к гет/пут?
переписать смарти и запретить нахер это :-)
делается за 5 минут, то есть час поисков(кода там пздц и он весь ужастный) куска кода и 5 минут исправление чтобы без багов работало все продолжало.
рекомендую ТС, как ответственного и знающего своё дело человека, очень сильно помог в проекте, за что ему огромные благодарности!!!! пыщ! пыщ! ;)
рекомендую ТС, как ответственного и знающего своё дело человека, очень сильно помог в проекте, за что ему огромные благодарности!!!! пыщ! пыщ! ;)
Спасибо, рад что советы оказались полезны. Рад что не все флудят, а кто-то делает выводы :)
очень частая ошибка, даже не ошибка а лень кодера, делать всякие фильтрации в админке, в следствии чего когда некий кулхацкер находит скуль, например, но без превилегий типа file_priv, и не может залить шелл, а дергает все пароли и логины, а тут еще и админка по адресу /admin (ну не прелесть ли?) в админке видит форму загрузки (например прайсов или картинок каких-то) и о чудо тут нет никаких фильтраций. а дальше чего душа пожелает, хоть "ЙУХ" на главной, хоть ссылки на сапе продавай без палева. нельзя доверять даже админу (главному контент менеджеру на сайте, а не тому что спит в серверной :D )
Краткая суть текста:
1. в админке нет фильтрации
2. надергал паролей
3. нашел адрес админки
4. вернуться на пункт 1.
Самого ничего не смущает ? :)
Притом что Smarty.
Вообще-то я всегда думал,что задача верстальщика сверстать шаблон на основе дизайна, сделанного дизайнером, а уж как там прогер будет "пихать" данные в шаблон, с помощью Smarty или ещё каких выкрутасов, верстальщика волновать не должно. Нормальному верстальщику вообще должно быть наплевать на проблемы прогера, его задача - вёрстка, кроссбраузерная, прямая, возможно, валидная, но всё же вёрстка.
Рад что не все флудят, а кто-то делает выводы
Те кто флудят сделали их ранее. И вероятно они от Ваших отличаются.