On 31.03.2011 17:45, pwz wrote:
> W dniu 2011-03-31 16:23, b...@n...pl pisze:
> (...)
>> W marcu były opublikowane
>> informacje o dziurach w joomli, w tym Joomla 1.6 Multiple SQL Injection
>> Vulnerabilities. Żaden inny cms nie ma tylu dziur publicznie znanych.
>
> To, że J1.6 może być jeszcze niedopracowana, to akurat nie dziwi - to
> nowy produkt, tak naprawdę teraz, chociaż jest to wersja finalna, jest
> testowana. W sieci i tak dominuje 1.5, która łatana jest dosyć szybko
> (chociaż ostatnio już dłuższy czas nie było atualizacji - ostatnia to
> 1.5.22).

Jeśli od wielu lat ciągle mają problem z SQL Injection oznacza to jedno,
mają zrypane engine od podstaw. Wystarczyłaby jedna funkcja, która by
parsowała wpisy przed przekazaniem polecenia do SQL. Do tej pory nikt
tego nie zrobił i ciągle każdy sobie sam rzepkę skrobie i albo
zabezpieczy albo nie zapytania do bazy. Cała architektura tego systemu
jest od podstaw schrzaniona, i to zaczęło się od mambo. Joomle jest
niestety rozwijana, a powinna być napisana od nowa z zachowaniem
interfejsu i funkcjonalności. Jedyną zaletą joomli jest łatwość
opanowania dla początkujących.

>
>> Wysłałem na prywatny mail link, który wszystko mówi.
>
> OK, dzięki. Mówi wszystko, a zarazem niewiele. Większość exploitów jest
> przeznaczonych dla poszczególnych komponentów. Zauważyłem też chyba
> jeden czy dwa dla 1.6 (też już był, z tego co pamiętam, update). Dla
> najnowszego 1.5.22 - ani jednego. IMHO oznacza to tezę przeciwną do
> Twojej. Tzn. owszem, w końcu znajdzie się możliwość włamania/naruszenia
> systemu, bo jakiego systemu nie da się w końcu przełamać, ale
> błyskawicznie ewentualna dziurka jest łatana, m.in. dzięki temu, że na
> całym świecie siedzą nad tym ludzie i dłubią w tych dziurkach. I to jest
> IMHO przewaga niekomercyjnego CMS-a nad systemem albo w ogóle softem
> robionym komercyjnie, gdzie np. informatyk zapił i nie przyszedł w
> weekend do roboty, więc nie ma komu zająć się łatkami (patrz ciągłe
> aktualizacje Windowsów...).

Zwykle dziury w wersji wyższej oznaczają też, że ta sama dziura jest w
wersji niższej. Joomla jest na tyle popularna, że opłaca się tworzyć
automaty do włamań, lecące jak popadnie. Pamiętaj o jednym, duża część
dziur nie jest upubliczniona. Joomla naprawdę wypada tragicznie w
porównaniu z drupalem czy wordpressem nawet. A aktualizacje wcale dla
niej szybko się nie pojawiają.
Nie raz już odzyskiwałem dla klienta backupy joomli, bo ktoś się włamał.
Dla innych cms nie pamiętam takich zdarzeń. Jeszcze dość źle jest z
phpBB, ale to już nie cms. W pracy zajmuję się między innymi hostingiem
więc dokładnie widzę co się dzieje. Nie piszę na podstawie tego co
gdzieś usłyszałem, przeczytałem, tylko na podstawie praktyki.


--
wer <",,)~~
http://szumofob.eu