оявление постороннего кода в новостях DLE

edka
На сайте с 17.01.2010
Offline
190
#131
Abrikosik:
Какая цель конкретная преследовалась при добавлении этого кода в посты друшлака под именем ДЛЕ ?

Любая, так как js код подгружался с внешнего сервера и взломщик его мог менять на любой по желанию.

Лично у меня на зараженном сайте в нижнем левом углу появлялся тизер, что-то похожее на новое сообщение, реклама вобщем какая-то :)

---------- Добавлено 21.09.2013 в 21:56 ----------

ProLiant:
ДЛЕ дурщлак не дуршлакее других движков. Просто он был и остается самым массовым и популярным, поэтому и отзывов по нему больше. Как положительных, так и негативных.

И это даже плюс для владельцев сайтов на DLE, заплатки быстро выходят, сразу большая огласка :)

A
На сайте с 25.03.2012
Offline
59
#132

То что код подгружался из вне это понятно, просто у меня видимых "нештяков" не было, вот у вас тизер появлялся, теперь цель более менее ясна, я бы не сказал что на dle куча сайтов, да возможно в русском сегменте их немерено, но я активно использую joomla и сделал не один клиентский сайт и не один из них не был взломан, да на жумла выходят обновления регулярно, но блин вы обновлялись на жумла хоть раз? Joomla 3.х обновляется прям из админки одним кликом мыши, обновление ДЛЕ это целый процесс, да скопировать папку engine не проблема, но потом поправить код и внедрить все плюхи, которые разработчик откладывает на будущие версии дабы быть в теме. Я думаю вряд ли кто-то юзает чистый ДЛЕ из коробки... Я конечно не говорю что ДЛЕ это полный абзац и все ребята айда на жумла, жумла старше, опытнее и богаче... Это так о наболевшем... Я к чему, разработчик мог бы отреагировать как-то живее, а не выкинуть три строчки кода, которые как выяснилось сразу же на следующий день особо не решали проблему! Это дизлайк... И вы же понимаете что дыра тянулась от версии к версии очень долго, что то же не может не насторожить =). То внедрялся код через gif аватары, теперь это, да уже все и не припомнишь, безопасность явно у ребят не стоит на первом месте, нет должного тестирования и так далее, понятно им грустно что купленных лицензий процентов так 5 от используемых на сайтах, но вы взяли обязательства перед этими же 5 процентами....

P1
На сайте с 19.09.2013
Offline
1
#133

Abrikosik, в чем-то Вы правы, но теперь подумайте над тем, что я скажу:

Сколько человек занимается Джумлой? - Целая команда.

Сколько человек занимается DLE? - Один.

Он все делает один, за исключением дизайна.

И еще успевает на своем офиц. сайте в комментариях и на форуме отвечать практически каждому пользователю. А также очень быстро отвечать в тех поддержке по почте.

Думаю, что он с компа практически не слезает.

H
На сайте с 10.09.2013
Offline
13
#134
Palad1n:
Abrikosik, в чем-то Вы правы, но теперь подумайте над тем, что я скажу:
Сколько человек занимается Джумлой? - Целая команда.
Сколько человек занимается DLE? - Один.
Он все делает один, за исключением дизайна.
И еще успевает на своем офиц. сайте в комментариях и на форуме отвечать практически каждому пользователю. А также очень быстро отвечать в тех поддержке по почте.
Думаю, что он с компа практически не слезает.

Один? Ой-ли.

Вообще, взять чужой движок, сделать на его коде свой движок и с самого начала брать за это деньги, а потом абузить "пиратов", которые юзают нулл дле - не правильно. Двойные стандарты)

Я бы на их месте заказал аудит у античатовской команды. Да, у ребят самомнение зашкаливает, но код был бы полностью проверен на предмет любых уязвиостей :)

edka
На сайте с 17.01.2010
Offline
190
#135
hMartin:

Вообще, взять чужой движок, сделать на его коде свой движок и с самого начала брать за это деньги, а потом абузить "пиратов", которые юзают нулл дле - не правильно.

Ну в DLE вообще мало что осталось от его прототипа, он скорее был взят за основу.

H
На сайте с 10.09.2013
Offline
13
#136
edka:
Ну в DLE вообще мало что осталось от его прототипа, он скорее был взят за основу.

А такая отмазка прокатит, если я удалю кучу ненужного мне кода из движка, перепилю ЧПУ, сменю иерархию папок и т.д. ? Или же мне скажут: "вы оправдываете воровство" ? :)

Берешь чужой код под GNU GPL - модифицируй и продавай сколько влезет, но "покупатель" вместе с исходным кодом модифицированным получает право распространять и модифицировать его любыми методами.

Так что законность их демо-версии вызывает сомнения, ибо ограничивает меня в правах.

ProLiant
На сайте с 07.12.2005
Offline
244
#137

Все вы хорошо говорите. Но смысл основной в том, что если есть продукт, за который берутся деньги, то надо им заниматься. И не столько внешними улучшательствами, сколько безопасностью. Без разницы, одного человека проект, или команды. И еще, приведенные доводы на прошлых страницах по поводу ПМА - опять же, только предположения, один из вариантов возможного вмешательства. А сколько еще этих вариантов как в самом двиге, так и из других мест.. :)

Выбирай оптимальный хостинг (http://cp.inferno.name/aff.php?aff=2053) для стабильного заработка на файловом трафе (https://espays.com/s.php?f=38). ;)
H
На сайте с 10.09.2013
Offline
13
#138
ProLiant:
Все вы хорошо говорите. Но смысл основной в том, что если есть продукт, за который берутся деньги, то надо им заниматься. И не столько внешними улучшательствами, сколько безопасностью. Без разницы, одного человека проект, или команды. И еще, приведенные доводы на прошлых страницах по поводу ПМА - опять же, только предположения, один из вариантов возможного вмешательства. А сколько еще этих вариантов как в самом двиге, так и из других мест.. :)

все решают руки и логи.

В чем главная проблема популярных движков? Можно анализировать код. И есть дорки для выявления сайтов на этих движках из общей массы. Есть отличный вариант - закрываешь все лишнее в robots, делаешь нестандартное чпу (без всяких index.php?do=register), админка в нестандартный путь и косишь под сайт на фреймворке. Хоть тысячу багов найдут, но ваш сайт не будет насканен.

P1
На сайте с 19.09.2013
Offline
1
#139

Соглашусь с ProLiant.

hMartin,

Один? Ой-ли.

Представьте, один. Раз так пишите, значит ничего о нем не знаете. А если не знаете, тогда не говорите.

Попробуйте сами создать свой движок и один всем заниматься, а потом посмотрим на долго ли Вас хватит и будете ли Вы всё успевать.

3H
На сайте с 14.04.2010
Offline
26
#140

Да уж, ДЛЕ как всегда радует своей дырявостью. Кучу сайтов похерил...

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий