Fi1osof

Fi1osof

С нами с 05 мая 2014; Место в рейтинге пользователей: #29
Fi1osof
08 ноября 2016, 16:45
1
+5
wordpress весь в дырах, это не мешает им быть самой популярной CMSкой. Вы попробуйте сначала воспользоваться этими дырами.
Лично я не вижу вообще оснований все бросать и переходить на другую систему. Зачем? Чтобы там кто-то знающий пришел и рассказал, что есть дыры? Пойдете на другую платформу? Есть не мало статей написанных как обезопасить MODX. Переведите админку и коннекторы на другой поддомен, закройте его по ip и двухфакторной авторизацией. На фронте дайте одну только точку входа и фильтруйте входящие запросы. Все. Что вам еще надо? Это на серьезных проектах. Простые сайты-визитки делаете? Кому вы нужны? — поменяйте префикс и все.
Это будет касаться практически любого проекта. Я не думаю, что Женя через какое-то время обнаружит дыры и в ларавеле (если еще не нашел).
Fi1osof
08 ноября 2016, 16:39
0
P.S. Дебилизм — не дебилизм, но вроде через Tickets пока не было массовых взломов.
Я же тебе выше писал, что через тикетс запросто в системные процессоры залез.
Fi1osof
08 ноября 2016, 16:35
0
Сейчас вот modxcloud раздает информацию о первых 9 пользователях удовлетворящих запросу. Всего 21168 пользователь.
Жесть…
Fi1osof
08 ноября 2016, 16:27
0
Женя, что-то ты какую-то фигню сейчас сказал. Давай просто? Ты считаешь, что нет разницы между простыми и сложными паролями? Что же народ не пользуется одними только паролями типа 123456 и qwerty? Не потому ли, что их проще подобрать? И ты хочешь сказать, что подобрать префикс типа modx2_ и sdfWE234s_wefSDf_ — одна и та же задача? И время займет это одно и то же?
Fi1osof
08 ноября 2016, 10:50
0
Сергей, я запросы не со стороннего сервера слал, а из браузера. То есть здесь никаких кроссзапросов.
Fi1osof
08 ноября 2016, 10:30
+4
Или вы реально поверили в бред про подбор многосимвольного префикса в разных регистрах вслепую?
Судя по всему, многие поверили. У страха глаза велики.
Значит 70-100 в десятой степени у них выполняется за 300 секунд, а сайты с 1000 документов за 30 секунд не всегда выполняются. Магия какая…
Fi1osof
08 ноября 2016, 10:28
+1
Главное, проверить сессию с секретным ключом.
Если это будет контекст web, И что это даст? Личные кабинеты теперь никому не давать? А если давать, значит у пользователя будет этот ключ. Мы же здесь авторизованы.
Fi1osof
08 ноября 2016, 10:21
0
$auth = !empty($modx->user) && isset($_REQUEST['HTTP_MODAUTH']) && $_REQUEST['HTTP_MODAUTH'] == $modx->user->getUserToken('mgr');
if (!$auth) {
Сергей, то есть ты хочешь, чтобы все коннекторы обязательно были завязаны на контекст mgr и авторизацию в нем? Даже картинки, выводимые через phpThumb? Вообще все? И обновление собственного профиля в админке? Серьезно?
Не надо так делать!
Fi1osof
08 ноября 2016, 06:31
0
Так что получается, что xPDO далеко не PDO
Жень, а при чем тут это? Это же PDO выполняет запрос к базе данных, а не xPDO. Это он, по идее, должен следить за состоянием запроса и инъекции высматривать.
Fi1osof
07 ноября 2016, 07:15
0
На днях оптимизировал выгрузку одному проекту.
224 категории 13987 товаров.
Результат: joxi.ru/brRDO4pfQ54RX2
Smarty+xPDO+процессоры.
Fi1osof
07 ноября 2016, 06:56
0
Вот именно по этому я и говорил выше, что я против слишком серьезной безопасности. Сейчас xPDO даже не позволяет FIND_IN_SET() использовать, приходится тоже исхитряться (типа лишних пробелов :)). И если для обеспечения безопасности надо запретить юнионы — я категорически против. Добавить фильтрацию запросов (типа как это в modX::sanitize сделано) — это я не против. Сам xPDO гайки закручивать — против.
Fi1osof
06 ноября 2016, 20:01
0
На сколько я понимаю, друпал уже попробовали. Вроде как не очень вышло.
Fi1osof
06 ноября 2016, 19:23
+1
Тогда расходимся. Безопасность на высоте.
Шутка зачтена))
Fi1osof
06 ноября 2016, 19:15
+4
Я останусь на MODX. Мне он нравится :)
Fi1osof
06 ноября 2016, 19:13
+1
Учим матчасть на тему слепой SQL-injection
Хорошо, поверю тебе на слово, что можно в непроцедурный SQL воткнуть какую-то процедуру, чтобы весь перебор прошел на стороне сервера.

Это фишка хостера
Это фишка xPDO.
Fi1osof
06 ноября 2016, 19:05
0
Спасибо, но пусть я лучше для тебе останусь теоретиком.
Ну ОК, не поспоришь))
Fi1osof
06 ноября 2016, 19:04
+1
Есть. Ищи в phpthumb
Его я тоже смотрел. Да, он не сильно защищен в плане авторизации, но он жестко закрыт по экшену, вызывается только его процессор. А там получение только картинок. Может какая проблема есть в самом phpThumb, но я его не очень знаю.
Fi1osof
06 ноября 2016, 18:55
+3
Не понимаю, зачем делать проверку на расширения доступные к загрузке, если пользователь может переименовать файл!!! Заливаем .jpg и меняем на .php => PROFIT!
А, ну это да, есть такое дело)))