On 31.03.2011 14:13, pwz wrote:
> W dniu 2011-03-31 13:26, Lukasz Kozicki pisze:
>>> ??? Jesteś pewien, że to był właśnie ten CMS? Ile lat temu to
>>> instalowałeś?
>>
>> 4, 3 i 2 lata temu, może w międzyczasie jeszcze raz, nie jestem pewien.
>> Za każdym razem kończyło się wyp... kilka miesięcy po instalacji i w
>> końcu małą witrynę postawiłem na zrobionym przez siebie prymitywnym
>> systemie, a drugą na Drupalu. Też duży, ale mniej zasobożerny.
>
> Dziwne... Kiedy zaczynałem moją przygodę z Joomla byłem totalnym
> laikiem. A i do dzisiaj nie jestem zawodowcem. W swojej karierze mam już
> 4 różne serwisy śmigające (do dzisiaj) na Joomli. Plus dodatkowy
> stawiany na zamówienie przez firmę (nie umiałem zrobić grafiki/templatki
> takiej jak chciałem), przy czym to ostatnie to "kombajn" do wszystkiego
> (oficjalny, firmowy, więc nie mógł robić po amatorsku, tzn. przeze
> mnie). I działa bezproblemowo...
> pwz
>
> P.S. O, właśnie, miałem zrobić backup, dobrze, że mi przypomniałeś :-)
> pwz

Stawianie czegoś poważnego na joomli to jak robienie zdjęć na ślubie
Canomatikiem. Najbardziej dziurawy CMS jaki może być. W zasadzie 15
minut z google i każdy średnio zaawansowany dzieciak może przejąć joomle.


--
wer <",,)~~
http://szumofob.eu

do góry

W dniu 2011-03-31 14:18, b...@n...pl pisze:
> Stawianie czegoś poważnego na joomli to jak robienie zdjęć na ślubie
> Canomatikiem. Najbardziej dziurawy CMS jaki może być. W zasadzie 15
> minut z google i każdy średnio zaawansowany dzieciak może przejąć joomle.

O, doprawdy? Możesz podać jakiś przykład? A może po prostu jesteś
producentem komercyjnego CMS-a?
pwz

do góry

On 31.03.2011 15:24, pwz wrote:
> W dniu 2011-03-31 14:18, b...@n...pl pisze:
>> Stawianie czegoś poważnego na joomli to jak robienie zdjęć na ślubie
>> Canomatikiem. Najbardziej dziurawy CMS jaki może być. W zasadzie 15
>> minut z google i każdy średnio zaawansowany dzieciak może przejąć joomle.
>
> O, doprawdy? Możesz podać jakiś przykład? A może po prostu jesteś
> producentem komercyjnego CMS-a?

Nie jestem producentem komercyjnego cms-a. Po prostu widzę co się
dzieje. Na serwerach mam sporo tego poinstalowane i były już historie.
Błędy są od czasu mambo, a pisanie komponentów dodatkowych przez
przypadkowe osoby dodatkowo komplikuje sprawę. W marcu były opublikowane
informacje o dziurach w joomli, w tym Joomla 1.6 Multiple SQL Injection
Vulnerabilities. Żaden inny cms nie ma tylu dziur publicznie znanych. Są
nawet boty, które skanują sieć w poszukiwaniu joomli i z automatu się
włamują.

Wysłałem na prywatny mail link, który wszystko mówi.

--
wer <",,)~~
http://szumofob.eu

do góry

W dniu 2011-03-31 16:23, b...@n...pl pisze:
(...)
> W marcu były opublikowane
> informacje o dziurach w joomli, w tym Joomla 1.6 Multiple SQL Injection
> Vulnerabilities. Żaden inny cms nie ma tylu dziur publicznie znanych.

To, że J1.6 może być jeszcze niedopracowana, to akurat nie dziwi - to
nowy produkt, tak naprawdę teraz, chociaż jest to wersja finalna, jest
testowana. W sieci i tak dominuje 1.5, która łatana jest dosyć szybko
(chociaż ostatnio już dłuższy czas nie było atualizacji - ostatnia to
1.5.22).

> Wysłałem na prywatny mail link, który wszystko mówi.

OK, dzięki. Mówi wszystko, a zarazem niewiele. Większość exploitów jest
przeznaczonych dla poszczególnych komponentów. Zauważyłem też chyba
jeden czy dwa dla 1.6 (też już był, z tego co pamiętam, update). Dla
najnowszego 1.5.22 - ani jednego. IMHO oznacza to tezę przeciwną do
Twojej. Tzn. owszem, w końcu znajdzie się możliwość włamania/naruszenia
systemu, bo jakiego systemu nie da się w końcu przełamać, ale
błyskawicznie ewentualna dziurka jest łatana, m.in. dzięki temu, że na
całym świecie siedzą nad tym ludzie i dłubią w tych dziurkach. I to jest
IMHO przewaga niekomercyjnego CMS-a nad systemem albo w ogóle softem
robionym komercyjnie, gdzie np. informatyk zapił i nie przyszedł w
weekend do roboty, więc nie ma komu zająć się łatkami (patrz ciągłe
aktualizacje Windowsów...).

Pozdr
pwz

do góry

On 31.03.2011 17:45, pwz wrote:
> W dniu 2011-03-31 16:23, b...@n...pl pisze:
> (...)
>> W marcu były opublikowane
>> informacje o dziurach w joomli, w tym Joomla 1.6 Multiple SQL Injection
>> Vulnerabilities. Żaden inny cms nie ma tylu dziur publicznie znanych.
>
> To, że J1.6 może być jeszcze niedopracowana, to akurat nie dziwi - to
> nowy produkt, tak naprawdę teraz, chociaż jest to wersja finalna, jest
> testowana. W sieci i tak dominuje 1.5, która łatana jest dosyć szybko
> (chociaż ostatnio już dłuższy czas nie było atualizacji - ostatnia to
> 1.5.22).

Jeśli od wielu lat ciągle mają problem z SQL Injection oznacza to jedno,
mają zrypane engine od podstaw. Wystarczyłaby jedna funkcja, która by
parsowała wpisy przed przekazaniem polecenia do SQL. Do tej pory nikt
tego nie zrobił i ciągle każdy sobie sam rzepkę skrobie i albo
zabezpieczy albo nie zapytania do bazy. Cała architektura tego systemu
jest od podstaw schrzaniona, i to zaczęło się od mambo. Joomle jest
niestety rozwijana, a powinna być napisana od nowa z zachowaniem
interfejsu i funkcjonalności. Jedyną zaletą joomli jest łatwość
opanowania dla początkujących.

>
>> Wysłałem na prywatny mail link, który wszystko mówi.
>
> OK, dzięki. Mówi wszystko, a zarazem niewiele. Większość exploitów jest
> przeznaczonych dla poszczególnych komponentów. Zauważyłem też chyba
> jeden czy dwa dla 1.6 (też już był, z tego co pamiętam, update). Dla
> najnowszego 1.5.22 - ani jednego. IMHO oznacza to tezę przeciwną do
> Twojej. Tzn. owszem, w końcu znajdzie się możliwość włamania/naruszenia
> systemu, bo jakiego systemu nie da się w końcu przełamać, ale
> błyskawicznie ewentualna dziurka jest łatana, m.in. dzięki temu, że na
> całym świecie siedzą nad tym ludzie i dłubią w tych dziurkach. I to jest
> IMHO przewaga niekomercyjnego CMS-a nad systemem albo w ogóle softem
> robionym komercyjnie, gdzie np. informatyk zapił i nie przyszedł w
> weekend do roboty, więc nie ma komu zająć się łatkami (patrz ciągłe
> aktualizacje Windowsów...).

Zwykle dziury w wersji wyższej oznaczają też, że ta sama dziura jest w
wersji niższej. Joomla jest na tyle popularna, że opłaca się tworzyć
automaty do włamań, lecące jak popadnie. Pamiętaj o jednym, duża część
dziur nie jest upubliczniona. Joomla naprawdę wypada tragicznie w
porównaniu z drupalem czy wordpressem nawet. A aktualizacje wcale dla
niej szybko się nie pojawiają.
Nie raz już odzyskiwałem dla klienta backupy joomli, bo ktoś się włamał.
Dla innych cms nie pamiętam takich zdarzeń. Jeszcze dość źle jest z
phpBB, ale to już nie cms. W pracy zajmuję się między innymi hostingiem
więc dokładnie widzę co się dzieje. Nie piszę na podstawie tego co
gdzieś usłyszałem, przeczytałem, tylko na podstawie praktyki.


--
wer <",,)~~
http://szumofob.eu

do góry