- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Какая цель конкретная преследовалась при добавлении этого кода в посты друшлака под именем ДЛЕ ?
Любая, так как js код подгружался с внешнего сервера и взломщик его мог менять на любой по желанию.
Лично у меня на зараженном сайте в нижнем левом углу появлялся тизер, что-то похожее на новое сообщение, реклама вобщем какая-то :)
---------- Добавлено 21.09.2013 в 21:56 ----------
ДЛЕ дурщлак не дуршлакее других движков. Просто он был и остается самым массовым и популярным, поэтому и отзывов по нему больше. Как положительных, так и негативных.
И это даже плюс для владельцев сайтов на DLE, заплатки быстро выходят, сразу большая огласка :)
То что код подгружался из вне это понятно, просто у меня видимых "нештяков" не было, вот у вас тизер появлялся, теперь цель более менее ясна, я бы не сказал что на dle куча сайтов, да возможно в русском сегменте их немерено, но я активно использую joomla и сделал не один клиентский сайт и не один из них не был взломан, да на жумла выходят обновления регулярно, но блин вы обновлялись на жумла хоть раз? Joomla 3.х обновляется прям из админки одним кликом мыши, обновление ДЛЕ это целый процесс, да скопировать папку engine не проблема, но потом поправить код и внедрить все плюхи, которые разработчик откладывает на будущие версии дабы быть в теме. Я думаю вряд ли кто-то юзает чистый ДЛЕ из коробки... Я конечно не говорю что ДЛЕ это полный абзац и все ребята айда на жумла, жумла старше, опытнее и богаче... Это так о наболевшем... Я к чему, разработчик мог бы отреагировать как-то живее, а не выкинуть три строчки кода, которые как выяснилось сразу же на следующий день особо не решали проблему! Это дизлайк... И вы же понимаете что дыра тянулась от версии к версии очень долго, что то же не может не насторожить =). То внедрялся код через gif аватары, теперь это, да уже все и не припомнишь, безопасность явно у ребят не стоит на первом месте, нет должного тестирования и так далее, понятно им грустно что купленных лицензий процентов так 5 от используемых на сайтах, но вы взяли обязательства перед этими же 5 процентами....
Abrikosik, в чем-то Вы правы, но теперь подумайте над тем, что я скажу:
Сколько человек занимается Джумлой? - Целая команда.
Сколько человек занимается DLE? - Один.
Он все делает один, за исключением дизайна.
И еще успевает на своем офиц. сайте в комментариях и на форуме отвечать практически каждому пользователю. А также очень быстро отвечать в тех поддержке по почте.
Думаю, что он с компа практически не слезает.
Abrikosik, в чем-то Вы правы, но теперь подумайте над тем, что я скажу:
Сколько человек занимается Джумлой? - Целая команда.
Сколько человек занимается DLE? - Один.
Он все делает один, за исключением дизайна.
И еще успевает на своем офиц. сайте в комментариях и на форуме отвечать практически каждому пользователю. А также очень быстро отвечать в тех поддержке по почте.
Думаю, что он с компа практически не слезает.
Один? Ой-ли.
Вообще, взять чужой движок, сделать на его коде свой движок и с самого начала брать за это деньги, а потом абузить "пиратов", которые юзают нулл дле - не правильно. Двойные стандарты)
Я бы на их месте заказал аудит у античатовской команды. Да, у ребят самомнение зашкаливает, но код был бы полностью проверен на предмет любых уязвиостей :)
Вообще, взять чужой движок, сделать на его коде свой движок и с самого начала брать за это деньги, а потом абузить "пиратов", которые юзают нулл дле - не правильно.
Ну в DLE вообще мало что осталось от его прототипа, он скорее был взят за основу.
Ну в DLE вообще мало что осталось от его прототипа, он скорее был взят за основу.
А такая отмазка прокатит, если я удалю кучу ненужного мне кода из движка, перепилю ЧПУ, сменю иерархию папок и т.д. ? Или же мне скажут: "вы оправдываете воровство" ? :)
Берешь чужой код под GNU GPL - модифицируй и продавай сколько влезет, но "покупатель" вместе с исходным кодом модифицированным получает право распространять и модифицировать его любыми методами.
Так что законность их демо-версии вызывает сомнения, ибо ограничивает меня в правах.
Все вы хорошо говорите. Но смысл основной в том, что если есть продукт, за который берутся деньги, то надо им заниматься. И не столько внешними улучшательствами, сколько безопасностью. Без разницы, одного человека проект, или команды. И еще, приведенные доводы на прошлых страницах по поводу ПМА - опять же, только предположения, один из вариантов возможного вмешательства. А сколько еще этих вариантов как в самом двиге, так и из других мест.. :)
Все вы хорошо говорите. Но смысл основной в том, что если есть продукт, за который берутся деньги, то надо им заниматься. И не столько внешними улучшательствами, сколько безопасностью. Без разницы, одного человека проект, или команды. И еще, приведенные доводы на прошлых страницах по поводу ПМА - опять же, только предположения, один из вариантов возможного вмешательства. А сколько еще этих вариантов как в самом двиге, так и из других мест.. :)
все решают руки и логи.
В чем главная проблема популярных движков? Можно анализировать код. И есть дорки для выявления сайтов на этих движках из общей массы. Есть отличный вариант - закрываешь все лишнее в robots, делаешь нестандартное чпу (без всяких index.php?do=register), админка в нестандартный путь и косишь под сайт на фреймворке. Хоть тысячу багов найдут, но ваш сайт не будет насканен.
Соглашусь с ProLiant.
hMartin,
Представьте, один. Раз так пишите, значит ничего о нем не знаете. А если не знаете, тогда не говорите.
Попробуйте сами создать свой движок и один всем заниматься, а потом посмотрим на долго ли Вас хватит и будете ли Вы всё успевать.
Да уж, ДЛЕ как всегда радует своей дырявостью. Кучу сайтов похерил...