Думать за других - всегда плохо. Не нужно мне говорить куда ходить, а куда не ходить, я вполне могу решить это сам. Если же вы желаете огородить себя или своих детей (а тут еще стоит подумать ограждать детей от "прелестей" реального мира или нет, и если "да", то до какого возраста. За мамкой с папкой не будет же ребенок постоянно, он должен столкнутся с реалиями жизни, что бы потом сам смог сидеть и рассуждать как мы сейчас: нужен ему это фильтр или нет, т.е. что бы ребенок полноценно входил в социум, он должен знать этот социум со всех сторон и с плохих и с хороших), то это должно быть опционально. И проще всего было бы договориться с браузерами, их не много, что бы блокировка шла на их уровне, как сейчас браузеры предупреждают о потенциально опасных сайтах.
ну т.е.: письмо не получил? - сам дурак.
у бумажных есть уведомление о получении, а тут?
Ну захотелось поговорить о нем, поофтопить :)
Люди верят с холиварной наивностью в непогрешимость свой любимой бубунты/фри - глаз за это цепляется. А proftpd во FreeeBSD точно так же проник, как и UnrealIRCd в Gentoo, хотя в генте паранойя, на мой взгляд, посильнее, чем во фре. И в дистры с бинарными репами могло попасть точно так же, но там и своих: "хотели как лучше" - хватает, достаточно только вспомнить openssh и exim в debian-е; маленький официальный репозиторий в редхате, который заставляет ставить всякий шит с неизвестных свалок и т.д.
Я считаю, что виноват человеческий фактор.
да елки... вы ходили, читали, разбирались?
http://www.freshports.org/ftp/proftpd/
01 Dec 2010 08:58:41 - мантейнер внес изминения в дстфайл, т.к. ему отписали, что на сервере профтпд лежит архив с другим размером и контрольной суммой: http://www.freebsd.org/cgi/cvsweb.cgi/ports/ftp/proftpd/distinfo.diff?r1=1.63;r2=1.64
01 Dec 2010 11:06:46 - немного получил по голове и вернул все назад: http://www.freebsd.org/cgi/cvsweb.cgi/ports/ftp/proftpd/distinfo.diff?r1=1.64;r2=1.65
итого из-за доверия мантейнера - два часа провисела контрольная сумма к забекдоренному архиву.
виновата не система портов, а мантейнер - раз. стремление к быстрой реакции - два. не интересно тогда было как в линуксах дело с этим обстоит, но совершенно точно так же могло попасть и туда.
Не правильно помните. Лучше не несите чушь без запаса пруфов.
ну да, как пошла конструктивная критика, а не "меня забанили на форуме", так сразу: "я устал"... терновник не колется?
Уязвимость я Игорю сообщил, эксплойт предоставил.
Т.е. это понимать так: "уязвимость сообщай, но о чем-то договариваться я с тобой не стану, а не сообщишь, ну и ладно, проживем"?
Я понимаю, зачем вы просили номер тикета, но увы. И пускай вас наводит на такие мысли, так оно проще, да, но тикет был. Вот кстати если говорить о тикетах... наверное уже пару месяцев прошло, как я отписал о очередном потенциальном баге: при включении автоподдоменов создаются симлинки с владельцем root, и если настраивать апач не абы как, то при включенной SymLinksIfOwnerMatch работать это не будет. Сейчас проверил - бага не исправлена. Мало того, у вас (у компании) нет привычки даже сообщать клиентам будет бага исправлена или не будет, занесли ее в багзилу или нет, вот просто сказал, как в трубу аукнул, и тишина. Кстати, дарю вам очередную багу, ага :) Да и вообще меня поддержка поражает, пишешь о какой-то баге или предложение по улучшению, дежурная смена отправляет вопрос в старые, далее диалог:
-какого хрена мой вопрос отправили в старые без ответа?
-дежурная смена не может решать подобные проблемы. (или: у меня нет прав на решение подобных проблем)
-а я вас лично или дежурную смену прошу решить вопрос? передайте вопрос туда, куда нужно.
и это не единичный случай и так делают разные люди в вашей поддержке. Причем если явно не пнуть, что бы исправили баг (что я не сделал с бекапами вдсмгр-а, а просто сообщил подробно описав, как вам здесь), то он так и уйдет в историю. В принципе этого и стоит ожидать, если людям платить за кол-во закрытых тикетов, оно же и дураку понятно, что начнут пытаться всяко-разно мухлевать. Или теперь по каждому такому тикету искать лично Игоря (вас, да) и сообщать ему?
Я обезличел себя здесь, поэтому как частное лицо, а вы тут как руководитель компании, как не крути :)
Ага, только уже после того, как вам писали, что необходимо обновится, и после того, как вас самих, извиняюсь, поимели.
А теперь внимание вопрос: да я вижу новые темплейты здесь:
http://ru.download.ispsystem.com/FreeBSD-6.0/i386/VDSmanager/DiskTemplate/Soft2006/
http://ru.download.ispsystem.com/FreeBSD-6.0/i386/VDSmanager/DiskTemplate/ISPmanager/
но я ничего не вижу о них здесь:
http://ispsystem.com/rss-templates/ISPmanager.rss
http://ispsystem.com/rss-templates/Soft2006.rss
о новых темплейтах вы когда намерены сообщить народу?
Давайте решать проблемы конечно, я разве против? Именно за этим я здесь. Я не прошу тотального апгрейда, я прошу простое закрытие дыр, и НЕ ПОСЛЕ того, как вас поимеют, как и всех ваших клиентов, а ДО этого. Например phpMyAdmin-2.11.9.2, о котором речь шла здесь:
http://forum.ispsystem.com/ru/showthread.php?t=11215
подвержен этой баге:
http://www.gnucitizen.org/static/blog/2009/06/phpmyadminrcesh.txt
это я лично проверял. Да, по умолчанию она не работает и юзер сам должен создать диру config, но после этого эксплойта, появились модификации, например этот:
http://snipper.ru/view/12/phpmyadmin-2119-unserialize-arbitrary-php-code-execution-exploit/
и ему уже все равно есть или нет дира config. А еще есть модификации, которые не пошли в народ, но можно купить за денюжку.
Я не знаю почему у вас лично такое вот отношение: ни кого не поломали - значит багов нет. Не поломали - до поры, до времени, если эксплойт не в открытом доступе, и его не юзает каждый первый дебил, то это не значит, что можно закрывать глаза на дыры. Еще раз: если разработчки сообщили о дыре, выпустили исправление, то обновляться нужно, СРАЗУ, а не ждать, когда кого-то взломают и не просить статистику взломов и доказательства, что дыра, о которой сообщили разработчики, действительно есть и является дырой.
Вы сейчас можете точно так же закрыть глаза на ту уязвимость которая у меня лежит в загашнике, ни кого же еще не поломали, значит ничего страшного нет, а вот когда найдется клиент которого обули на пару-тройку миллионов, тогда и можно думать о уязвимости...
И в заключении этого опуса большая ИМХО и еще один пинок :):
В ISPmanager-е всякого разного функционала навернули уже до чертиков, причем постоянно его накручиваете, не заботясь особо о безопасности. Пора уже остановить развитие на полгода-год и подумать, наконец о безопасности, исправить баги, подчистить багзилу, меньше покупать панельку за это время не станут. У нас уже полгода со всех серверов, с раздела /tmp снят флаг nosymfollow, и полгода назад вы обещали в течении месяца исправить и выпустить релиз без симлинков в /tmp, и вот все ждем (обещенного 3-и года ждут, ага?).
Вы проигнорировали: /ru/forum/comment/7820480
Я проигнорировал только один ваш вопрос: номер тикета в котором разбиралась проблема с бекапами на vdsmgr-е. Сказать номер тикета я не могу, потому что я тут нахожусь как частное лицо, а там как представитель компании, и не хочу, что бы из-за меня, частного лица, портились какие-то отношения с компанией, я там, как бы, далеко не один.
Что касается шаблонов: два раза через них был паразитный трафик, через дырявый пхпмайадмин, самому воспроизвести не удалось, к сожалению, трафик был с нескольких серверов сразу, почти со всех ВДС-ов одновременно и суммарно задирался под 1Гб.
Я свою задницу прикрыл и мне как бы все равно, хотя исправление багов в ispmgr-е в моих интересах тоже, да, но так же в моих интересах и обеспечение безопасности наработанной базы клиентов, как бы вот так...
Хе, как забавно, а чего Игорь проигнорировал мое сообщение? Уязвимости нужны только если их преподносят на блюдечке с голубой каемочкой? А в других случаях мы лучше голову в песок, как страус?
На самом деле интересно как ispsystem дорожит клиентами и их безопасностью, и в какую цену оценивает безопасность своих клиентов. Нет я не хочу что-бы ispsystem купила уязвимость (хотя мне тут предложили ее в тень продать на 1000$), денег мне не особо нужно, собственно и на те темплейты, как бы, плевать, и бизнес-плана вы мне ни какого не нарушили, мне просто интересно как ispsystem заботится о клиентах, и в очередной раз я вижу, что НИКАК, им просто плевать на клиентов.
Вот сижу и задаю себе вопрос, а такая ли большая плата за критическую уязвимость: пообновлять темплейты, скажем еще год, нарисовать таблицу жизни продуктов, оповестить клиентов, ну т.е. сделать добросовестно то дело, за которое ispsystem взялось изначально и бросило ни с того ни с сего, хотя с клиентов мзду брать продолжает.
Т.е. я же не потребовал сверхплат и не предложил же ничего сверхъестественного: выполняйте добросовестно, то что вы взяли на свои плечи и за что вам платят деньги, и благодарные клиенты, просто так, вам будут указывать на критические баги, а не прикрыв свою пятую точку продавать их в тень. Почему ispsystem в этом не заинтересовано?
