karib Δημοσ. 21 Μαΐου 2004 Μέλος Δημοσ. 21 Μαΐου 2004 Αυτό συμβαίνει επειδή ο ερασιτέχνης έχει το μεράκι και την διάθεση να ασχοληθεί με το θέμα κυρίως για τον εαυτό του και για κανέναν άλλο . Παιδια συμφωνω απολυτα. Το μεράκι ειναι μεγάλη κουβέντα. Με αρκετή γνώση, διάθεση, ψάξιμο και προσπάθεια, αλλά κυρίως Αγάπη γι'αυτο που κάνεις -στην περίπτωσή μας portal- δεν νομίζω οτι μπορεί να αποτυπωθει σε οποιαδήποτε προσπάθεια 'ετοιματζίδικη'. Δεν νομίζω οτι ειμαι ρομαντικός. Απλά έχω δει δουλειες υποτιθεται επαγγελματικές που ήταν άχρωμες και ανούσιες σε σχέση με υποτιθέμενες 'ερασιτεχνικές'. Αυτο ο κόσμος νομίζω το καταλαβαινει.
karib Δημοσ. 21 Μαΐου 2004 Μέλος Δημοσ. 21 Μαΐου 2004 http://www.greenwebfans.com/home.asp Πολυ καλό και σίγουρα οχι τυποποιημένο!
paidi_thayma Δημοσ. 21 Μαΐου 2004 Δημοσ. 21 Μαΐου 2004 Εγώ να θέσω το θέμα λίγο διαφορετικά...Συχνά ακούμε για vulnerabilities στα μεγάλα portals.Τελευταία άκουσα οτι χτύπησαν (του άλλαξαν τα φώτα) στο http://www.tux.gr που βασίζεται στο php nuke.Το php nuke , όλοι λένε είναι χάλια απο θέμα ασφάλειας, αν δώσεις τα κατάλληλα urls μπορείς να βγείς απο forum admin μέχρι sysadmin.Το phpBB του insomnia, είναι αρκετά ασφαλές αλλά χιλιοφορεμένο ( κακό αυτό ) , υπάρχουν και καλές λύσεις όπως το e-xoops που είναι όμορφο και ασφαλές.Η ερώτηση μου είναι η εξής, μήπως το θέμα έτοιμο portal είναι κάτι παραπάνω απο μια λύση για να μη γράφουμε εμεις τον κώδικα ; οι ομάδες που αναπτύσουν τα portals , έχουν να αντιμετωπίσουν *κυρίως* το θέμα της ασφάλειας ! Δεν είναι θέμα αισθητικής του forum, μακάρι να ήταν τόσο απλό, είναι θέμα ποιοτικού κώδικα που να μην έχει "τρύπες" . Όταν έχουμε μια απλή ερασιτεχνική σελίδα, φυσικά και θα είναι καλύτερο να γράψουμε εμείς τον κώδικα κυρίως για να μάθουμε, αυτό έκανα κι εγώ στη σελίδα μου και αυτό θεωρώ σωστό.Αυτό όμως δε σημαίνει οτι ο κώδικας που γράφουμε είναι και ο καλύτερος απο αυτόν που αναπτύσει μια ομάδα ενός portal με γνώσεις και εμπειρία στο θέμα ! Και δε μιλάω για απο html, μιλάω για δυναμικές σελίδες με php και myql.Αν μια αδυναμία επιτρέπει σε κάποιο χρήστη να εκτελέσει κώδικα, τότε έχουμε χάσει το παιχνίδι.Αυτό είναι το σημείο που διαφοροποιεί ένα καλό απο ένα κακό portal ! Κάποιος λοιπόν που ενδιαφέρεται να σηκώσει ένα σοβαρό forum με μεγάλη κίνηση, είναι σχεδόν υποχρεωτικό να στραφεί σε έτοιμες λύσεις, απλά και μόνο γιατί είναι δοκιμασμένες, και έχουν όσο το δυνατόν λιγότερα bugs !
karib Δημοσ. 21 Μαΐου 2004 Μέλος Δημοσ. 21 Μαΐου 2004 Ναι αλλα οταν ενα portal ετοιμο ειναι τόσο μεγάλο και πολυπλοκο ειναι και αρκετα πιο πιθανο να εχει bugs? Ενω ενα απλούστερο ίσως να μην έχει. Πολλές φορές τα απλά δεν είναι καλύτερα? Εκτός αυτού, ενα bug στο php nuke, επηρεάζει όλους οσους το χρησιμοποιουν. Αυτο δε σημαινει (διορθωστε με αν κανω λαθος) οτι αν καποιος κακοβουλος βγαλει στη φορα ενα bug του ετοιμου portal, ευκολ πας και σε ενα αλλο Portal που επίσης στηριζεται στο ιδιο template και εισβάλεις κανονικοτατα? Ενω ενα εξαρχης φτιαγμενο site, αντε να βρεις που εχει την τρύπα-κενο ασφαλειας! Βεβαια, ολα ειναι πιθανα!
androu Δημοσ. 21 Μαΐου 2004 Δημοσ. 21 Μαΐου 2004 Πάντως εγώ που ανέβασα έτοιμο Nuke έχω να πώ ότι μου έχει αλλάξει τα φώτα με τα bugs toy
paidi_thayma Δημοσ. 21 Μαΐου 2004 Δημοσ. 21 Μαΐου 2004 karib: έχεις εν μέρει δίκιο.Όταν κάτι γίνεται πολύ γνωστό, είναι πολύ πιο πιθανό να γίνει και στόχος.Είναι η ίδια ιστορία με τα worms, τους ιούς και τα windows ενώ στο linux που είναι λιγότερο χρησιμοποιημένο, δεν παίζουν τόσοι ιοί. Αν φτιάξεις κάτι custom και το χρησιμοποιήσεις στη σελίδα σου, είναι λιγότερο πιθανό να γίνεις στόχος.Αυτό συμβαίνει γιατί οι περισσότεροι χρησιμοποιούν έτοιμα exploits και απλά τα εκτελούν , δεν τα φτιάχνουν μόνοι τους.Άρα πολύ απλά δεν θα υπάρχει exploit για τη σελίδα σου.Αν όμως κάποιος που έχει τις γνώσεις θελήσει να ασχοληθεί με τον κώδικα της σελίδας σου , ίσως να είναι πολύ εύκολο να βρει κάποιες αδυναμίες, που η ομάδα του portal θα τις είχε πιθανώς προβλέψει και εξαλέιψει ! Έτσι για μικρές σελίδες, ερασιτεχνικές, είναι σχετικα αδιάφοροκατα πόσο θα είναι ευάλωτος ο κώδικας.Για εταιρείες όμως, ή για μεγάλα sites που ένα deface μπορεί να σημαίνει πολλά για το image της εταιρείας, δε γίνεται να αφεθούν όλα στην τύχη...Κακά τα ψέμματα, απόλυτη ασφάλεια δεν υπάρχει, απο τη στιγμή που μέσω mysql και php μπορείς να γράψεις στο σκληρό του μηχανήματος, μπαίνουν στη μέση θέματα ασφάλειας.Κι εγώ είμαι οπαδός του do it yourself αλλά αυτό δε σημαίνει οτι πρέπει να μηδενίζουμε τις ώρες δουλειάς που έχουν αφιερώσει κάποιοι developers για να φτιάξουν υψηλού επιπέδου κώδικα και ...ΔΩΡΕΑΝ... χαρακτηρίζοντας τα "ετοιματζίδικα".'Αλλωστε τα portals, είναι αρκετά παραμετροποιήσιμα, μπορείς να προσθέσεις δικά σου scipts, κρατώντας την engine του portal και να δώσεις το look που θέλεις
karib Δημοσ. 21 Μαΐου 2004 Μέλος Δημοσ. 21 Μαΐου 2004 ok... Τελικα τιποτε δεν ειναι απολυτο, ασπρο ή μαύρο μονο. Μια ενδιαμεση κατασταση. Καθε ενα εχει θετικα και αρνητικα. Απολυτη ασφαλεια δεν θα υπαρξει ποτε και σε τιποτε...
mkst Δημοσ. 22 Μαΐου 2004 Δημοσ. 22 Μαΐου 2004 Πάντως εγώ που ανέβασα έτοιμο Nuke έχω να πώ ότι μου έχει αλλάξει τα φώτα με τα bugs toy Egw apo thn allh den exw paratirisei bugs se auto ka8eauto to nuke...alla exw paratirisei oti iparxoun polles asimbatotites metaksi tou php nuke kai twn addon modules tou....px ena module douleieuei gia thn sigkekrimenh ekdosh phpnuke alla gia thn amesws epomenh tha exei kapoio problhma...me apotelesma na prepei na epembeis ston kwdika. Alla auto me thn seira tou pi8anon na dimiourgisei problima se kapoio allo module 'h na ksanaexeis problima otan 8eleis na kanei upgrade to version tou nuke.....polla problimata genika... Oson afora thn asfaleia tou phpnuke einai ali8ia oti exei problimata. Einai epieikws a8lio. Diabaza sto net oti iparxoun atoma pou mporoun mesa se merika lepta na apoktisoun prosbash 'h admin rights se opoiodipote version tou phpnuke :!: To postnuke einai asfalestero. Autoi pou kseroun lene oti to nuke den ftiaxtike me thn asfaleia kata nou. :evil: Kapoioi alloi ipostirizoun oti ta problimata bgainounj sthnepifaneia epeidi o kwdikas einai prosbasimos apo ka8ena pou 8elei na ton psaksei kai na brei ta vulnerabilities tou. Auto kata thn gnwmh mou exei kapoia bash, alla den apotelei dikaiologia...
karib Δημοσ. 22 Μαΐου 2004 Μέλος Δημοσ. 22 Μαΐου 2004 ok, ας μην μιλάμε μονο για την ασφάλεια. η συγκριση μπορει να γινει σε πολλους τομεις.
Lyman_Zerga Δημοσ. 22 Μαΐου 2004 Δημοσ. 22 Μαΐου 2004 Oson afora thn asfaleia tou phpnuke einai ali8ia oti exei problimata. Einai epieikws a8lio. Πραγματικά! Kapoioi alloi ipostirizoun oti ta problimata bgainounj sthnepifaneia epeidi o kwdikas einai prosbasimos apo ka8ena pou 8elei na ton psaksei kai na brei ta vulnerabilities tou. Auto kata thn gnwmh mou exei kapoia bash' date=' alla den apotelei dikaiologia...[/quote'] Τα windows είναι closed source, αλλά πόσα exploits έχουν βγεί; ;) Το βασικό πρόβλημα είναι τα έτοιμα exploits. Η τεράστεια πλειοψηφία των κακόβουλων χρηστών, απλά δεν γνωρίζει πώς να εκμεταλευτεί τις τρύπες των web εφαρμογών και επαφίεται σε mass rooters. Είμαι στην διαχειριστική ομάδα ενός μεσαίου μεγέθους community site και τρέχω ένα από τα γνωστά portal/forums. Έχω αφήσει επίτηδες μια λιγάκι πιο παλιά version για την οποία έχει κυκλοφορήσει advisory για σοβαρό πρόβλημα ασφαλείας αλλά όχι έτοιμο exploit. Ακόμα περιμένω να με hackέψουν
karib Δημοσ. 22 Μαΐου 2004 Μέλος Δημοσ. 22 Μαΐου 2004 Τι αλλο θα μπορούσατε να πειτε για τη σύγκριση έτοιμων και μη portal, σε θέματα πέραν της ασφάλειας?
HaPagan Δημοσ. 23 Μαΐου 2004 Δημοσ. 23 Μαΐου 2004 Βασικά απορία μου είναι τι πρέπει να κάνεις για να ελέγξεις την ασφάλεια στο site σου που έχεις φτιάξει μόνος σου . :?:
mkst Δημοσ. 23 Μαΐου 2004 Δημοσ. 23 Μαΐου 2004 Βασικά απορία μου είναι τι πρέπει να κάνεις για να ελέγξεις την ασφάλεια στο site σου που έχεις φτιάξει μόνος σου . :?: Συγχαριτηρια για την σελιδα σου ειναι πολυ καλή... Δεν είμαι κανένας security expert, αλλα σου στέλνω ένα λινκ προς την σελίδα σου οπου φορτώνω όποια εικόνα θέλω. Δεν μπορώ να σου κάνω κακό αλλά μπορώ να σε δυσφημίσω εάν το διαδίδω με μια τσόντα για παράδειγμα Επισης με τον ιδιο τρόπο μπορεί κάποιος να φορτώσει ένα javascript sthn σελίδα με ότι αυτό συνεπάγετε... Το ελάχιστο που μπορείς να κάνεις είναι να μην δώσεις full priviledges στο χρήστη που κάνει τα queries στην βάση (παρα μονο select, insert) Eτσι, ακομα και εαν εχει καποιο security bug h σελίδα σου δεν θα μπορει κανεις να κανει drop database. Ριξε και μια ματια στο νετ δείχνει πως καποιος πολυ ευκολα μπορει να κανει drop database σε καποιο insecure script.
Lyman_Zerga Δημοσ. 23 Μαΐου 2004 Δημοσ. 23 Μαΐου 2004 Εκτός από XSS έχει και sql injection Κατάφερα να κάνω login σαν HaPagan. Πρέπει να φύγω, αλλά θα στείλω λεπτομέρειες σε pm το βράδυ.
karib Δημοσ. 23 Μαΐου 2004 Μέλος Δημοσ. 23 Μαΐου 2004 Κατάφερα να κάνω login σαν HaPagan. Δεν είμαι κανένας security expert, αλλα σου στέλνω ένα λινκ προς την σελίδα σου οπου φορτώνω όποια εικόνα θέλω. Δεν μπορώ να σου κάνω κακό αλλά μπορώ να σε δυσφημίσω εάν το διαδίδω με μια τσόντα για παράδειγμα Παιδια πως το κανετε αυτο? Χονδρικα εννοω. Αυτο το καταφερνετε οταν μπορει ο χρηστης να γραψει με καποιο τροπο στη βαση δεδομενων? Πχ με σχόλιο, ή με κάποιο forum?
Προτεινόμενες αναρτήσεις
Αρχειοθετημένο
Αυτό το θέμα έχει αρχειοθετηθεί και είναι κλειστό για περαιτέρω απαντήσεις.