south_park 9 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 (изменено) Простите, жутко пригорает пукан, но КАКОГО фига данная уязвимость https://dle-news.ru/bags/v112/1715-nedostatochnaya-filtraciya-dannyh.html Не устранена в старых дистрибутивах? Не знаю как в других, но в 10.5 не устранена. Недавно решил вычистить сайт от модулей, поставил чистый дистрибутив, и сегодня второй админ словил эту хреноту. Несколько часов ползал искал источник взлома, отлично, оказывается второй админ создал еще юзера, тот нагадил и сам себя удалил. Неужели блин сложно залить патч безопасности в старые версии движка? Или укажите у ссылок на загрузку, большими буквами ФИКСИТЕ КОСЯКИ ЧИТАЯ НАЙДЕННЫЕ УЯЗВИМОСТИ. Или если у человека нет доступа к новым версиям движка дак он уже не клиент и нафиг не сдался? Жутко бомбит. Изменено 21 ноября 2017 пользователем south_park Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 Данная уязвимость устранена только в версии 11.3 и выше. После установки старых версий всегда нужно заходить сюда https://dle-news.ru/bags/ и ставить все фиксы. При обнаружении уязвимости делается рассылка, плюс тема на форуме, плюс можно подписаться на rss. Ну и при проверке обновлений через админку, появляются подобные сообщения Цитата 11 августа 2017 выпущен патч, устраняющий проблемы безопасности https://dle-news.ru/bags/1726-nedostatochnaya-filtraciya-dannyh.html Цитата Ссылка на сообщение Поделиться на других сайтах
south_park 9 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 (изменено) Автор 29 минут назад, germanydletest сказал: Данная уязвимость устранена только в версии 11.3 и выше. После установки старых версий всегда нужно заходить сюда https://dle-news.ru/bags/ и ставить все фиксы. При обнаружении уязвимости делается рассылка, плюс тема на форуме, плюс можно подписаться на rss. Ну и при проверке обновлений через админку, появляются подобные сообщения Да, все верно, но как видите данных мер не достаточно, так как: 1) О уязвимости я знал, и давно пофиксил. (обновлял все файлы из дистрибутива, скачанного специально) 2) О том, что при нажатии на обновление есть информация не знал, но от моей ситуации это и не поможет, так как: 2.1) Я думал, что при нахождении проблемы фиксят все дистрибутивы. 2.2) Зачем мне жать на кнопку если я знаю, что установил и знаю что лицензия у меня на версию до 11. 3) Опять же никакой информации на странице с фиксом нет, т.е там нет записи - только последний дистрибутив обновлен, все остальные нет. Сделайте тогда при установке сообщение, что вы устанавливаете старую версию - читайте данный раздел, так как старые дистрибутивы не обновляются. Как видите на моем примере, клиенты попадают в неприятности и тратят несколько часов на решение этих проблем, и ладно часов, нервов на выяснение причин взлома. А значит принятые меры не эффективны, лучшим способом будет - накатить на дистрибутивы все фиксы, их не так много и дистрибутивов тоже. PS и добавлю конечно еще одну неприятность. Я все понимаю, разработчикам необходимо кушать и продавать новые лицензии, продление лицензий. Но на версии 11 сдохла авторизация через фейсбук, причиной тому была смена апи у последнего. Требовать фикс конечно не красиво, так как разработчик тут не причем, но ИМХО, нет никакого желания обновлять версию до актуальной только ради подобных мелочей, притом даже лицензия есть, но на сайте куча правок и модулей, исправление этого фейсбука затребует уймы времени и сил. Не хотите бесплатно делать фикс, продайте, за доллар, за пять. Как итог, вроде есть лицензия, вроде в новых версиях дле все работает, а вроде ты в пролете, двиг не отрабатывает свой фукнционал. ПС2 и да, в новых версиях новый функционал и все такое, но для себя не нашел ничего сильно интересного, чтоб обновлять сайт, перепрыгну через несколько версий Изменено 21 ноября 2017 пользователем south_park Цитата Ссылка на сообщение Поделиться на других сайтах
germanydletest 457 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 49 минут назад, south_park сказал: но на сайте куча правок и модулей, исправление этого фейсбука затребует уймы времени и сил. Не хотите бесплатно делать фикс, продайте, за доллар, за пять. Не получится, так как авторизация фейсбука не работает на версии DLE ниже 11.3, а в версии 11.2 был полностью переработан парсер кода (/engine/classes/parse.class.php), поэтому если у Вас версия DLE ниже 11.2, то у вас 2 пути, обновляться или смериться с тем что авторизация не работает. На версии 11.2 авторизация чинится за 2 минуты Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 3 часа назад, south_park сказал: Я думал, что при нахождении проблемы фиксят все дистрибутивы. На основании чего вы так думали? Подобного не делает никто и никогда, ни один производитель ПО. При обнаружении уязвимости, исправляются только актуальные на момент обнаружения уязвимости версии, и конечно же более новые уже содержат патчи. И это делается именно так не только нами, но и всеми производителями (по крайней мере мне известными). Поэтому мне собственно непонятно, на основе чего вы так думали. Достаточно было просто спросить у нас в момент когда вы так подумали, и мы вам ответили, что патчи ставить нужно. 3 часа назад, south_park сказал: Сделайте тогда при установке сообщение, что вы устанавливаете старую версию - читайте данный раздел, так как старые дистрибутивы не обновляются. Дистрибутив какой бы версии бы вы не ставили, не считает себя старым дистрибутивом. Потому как когда он вышел, он был актуальным. После этого все, его код написан, он опубликован. И код его остается таким навсегда. Он дистрибутив такой то версии. Когда бы вы его не ставили, в день выхода или через пять лет, это неизменный опубликованный дистрибутив. 3 часа назад, south_park сказал: Зачем мне жать на кнопку если я знаю, что установил и знаю что лицензия у меня на версию до 11. Затем, что она уведомляет не только о новых версиях, но и о патчах безопасности. И например если завтра выйдет патч безопасности к версии 10.0 вы об этом узнаете через нее, независимо от того до какой версии у вас лицензия. Эта кнопка к лицензии и ее срокам никак не привязана и не зависит. Цитата Ссылка на сообщение Поделиться на других сайтах
south_park 9 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 (изменено) Автор 9 часов назад, germanydletest сказал: Не получится, так как авторизация фейсбука не работает на версии DLE ниже 11.3, а в версии 11.2 был полностью переработан парсер кода (/engine/classes/parse.class.php), поэтому если у Вас версия DLE ниже 11.2, то у вас 2 пути, обновляться или смериться с тем что авторизация не работает. На версии 11.2 авторизация чинится за 2 минуты Почему то сторонний программист предлагает мне фикс фейсбука за 500 рублей, а официальный разработчик нет? 6 часов назад, celsoft сказал: На основании чего вы так думали? Бесспорно недальновидно, но честно говоря, на основании того, что фикс уязвимости состоит из 3 строчек или файла, за последний год 3 уязвимости, а до этого и вообще нет новостей с 13 года, опять же с 13 года всего 12-14 дистрибутивов, и их обновление не займет много времени. Впрочем это на ваше усмотрение, у меня пригорело (отчасти по моей невнимательности никто и не спорит), но все же раз у меня пригорело пригорит и у других, доработайте сообщение о надобности фикса старых дистрибутивов. (как минимум на сайте вы это легко сделаете.) Добавить всплывающее сообщение при нажатии на скачать дистрибутив - это старый дистрибутив, проверь найденные уязвимости - ок скачать.? 6 часов назад, celsoft сказал: Дистрибутив какой бы версии бы вы не ставили, не считает себя старым дистрибутивом. Т.е старый дистрибутив при нажатии на кнопку "проверить обновления" - может понять, что он старый и вывести информацию о новых версиях и фиксах, а этот же дистрибутив при начале или конце установки нет, почему бы этот же скрипт проверки обновления не запустить? Может стоит реализовать тогда новый шаг установки? - принудительное нажатие на "проверить обновления?" и там уже написать, что ДИСТРИБУТИВ СТАРЫЙ, есть дыры иди латай. Суть то не в том, что я дурак не нашел или не узнал о проблеме, я был в курсе, после получения письма я исправил их, проблема в том, что я не увидел, до меня не донесли то, что старые дистрибутивы никак не обновляются вообще, а я тормоз не стал проверять. Опять же, будь в новости скачивания дистрибутива - предупреждение - данной проблемы бы не было, я бы не слил пару часов жизни, я бы не отвлекал своим нытьем вас. Надеюсь вы поймете меня и сделаете выводы для улучшения своего продукта. Спасибо. Изменено 21 ноября 2017 пользователем south_park Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 094 Опубликовано: 21 ноября 2017 Рассказать Опубликовано: 21 ноября 2017 40 минут назад, south_park сказал: Почему то сторонний программист предлагает мне фикс фейсбука за 500 рублей, а официальный разработчик нет? Все очень просто, потому что мы не делаем персональных фиксов за 500 рублей. Вы вообще к нам обращались за стоимостью персонального фикса? Нет не обращались, поэтому рассуждать почему мы не делаем за 500 рублей, совершенно бессмысленно. Не нужно путать, что есть люди которые просто прирабатывают по вечерам условно говоря к "пиву", и им в данном случае достаточно 500 рублей, за небольшое переписывание кода, с тем что компаниям нужно держать для этого специальных людей в штате и платить им зарплату, которая уж никак не 500 рублей, и которую нужно платить всегда, а не когда вам понадобился фикс, за который вы можете заплатить не больше 500 рублей. Я например не вижу чтобы подали нам резюме с желанием получать по 300 рублей в месяц и то не всегда, а когда закажут фикс за 500. Удивительный парадокс: Нет людей которые готовы работать на полную ставку за 500 рублей, нет людей которые готовые платить больше 500 рублей, но есть люди которые спрашивают, а почему вы не делаете за 500 рублей Поэтому мы не держим в штате таких людей, потому что людей, готовых нормально и полноценно оплачивать их работу нет, а нет их, потому что всегда есть люди, которые сделают это в свободное время за очень небольшие деньги, те же условные 500 рублей. Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.