На самом деле именно так я и сделал. Чесслово :) А директа у меня вообще нет. Там биды никакущие.
Сетевые крутилки, типа адсенса идут со своим кодом. Да и многие реклы, которые имеют бюджет под мои площадки предпочитают работать через агентства, используя ихнюю же статистику. А остальное на партнёрках. Через OpenX я гнал одну партнёрку, чтобы самому статистику смотреть и ещё кое-что. Так что я ничего не потерял, кроме временного просада трафа из-за предупреждения поисковиков.
Ошибка именно в 2.8.7, так как я его ставил изначально, а не апгрейдил.
Да, подождём. Но, в любом случае, я его больше ставить не буду. Потребуется статистика - я или сам напишу или прилеплю какой-нибудь DFP
Ошибка в том, что Вам код на php написали, а Вы его в JS воткнули.
А также, существует атомная бомба и инопланетяне.
Если под "сценарием" Вы подразумеваете получение злоумышленником доступа к админским компам, а подсадка кода в openx - как результат такого сценария, то это выглядит по меньшей мере странно.
Это как залезть в хранилище банка и спереть оттуда вместо денег машинку для их пересчёта.
1. Не моё дело искать дырку.
2. Я точно знаю что она есть и мне этого достаточно, чтобы снести OpenX.
3. Комьюнити античата не есть единственное условие нахождения дырки.
4. Кто сказал, что дырка только там, где описано в античате? (я х.з, см. пункт 1)
5. Мой гусь войны не хочет, просто твой первый пост был не "comme il faut" :D
netwind, Беда в том, что у меня нет времени для исправления.
Да, я абсолютно согласен, что надо всё изучить и найти уязвимость.
Но когда у тебя 200К посетителей в сутки - и вдруг, тебе Яндекс и Гугл говорят, что Ай-яй-яй и просаживают траф на 30-40%...
Дальше надо расписывать мои эмоции?
Я тему создал, чтобы просто предупредить пользователей OpenX о существующей дырке.
Дальнейший дискасс приведёт в тупик.
Собственно, мой посыл - OpenX есть продвинутый кал.
Мораль -> Хочется продвинутой статистики ? ну её в пень : банальную крутилку пишите сами;
:D
Ещё раз повторю - вся админская часть закрыта по IP.
Значит есть =>SQL дырка.
netwind, Вы вообще, в теме, о чём речь идёт?
Или так, чисто интуитивно пургу несёте?
Даже если внимательно читать сей линк, то там явно сказано про дыру в MySQL.
Вернее, как я уже в старте сказал, уязвимость кода для инъекции.
А никак не в админской части...
netwind, Вот этот дурной вброс я не вкурил...
Причём тут админка?
У меня админка вообще закрыта по IP.
