admin 0 12 июля, 2006 Опубликовано 12 июля, 2006 · Жалоба очередные были найдены в версии 2.1.6. буду фиксить. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
GetSmart 0 1 августа, 2006 Опубликовано 1 августа, 2006 · Жалоба В тему: Поддержка форума _______________ Только надо было написать так: Нашёл дыру. Уезжаю в отпуск. Приеду - посмотрю на руины. Вместе посмеёмся. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
AndyBig 5 1 августа, 2006 Опубликовано 1 августа, 2006 · Жалоба Только надо было написать так: Нашёл дыру. Уезжаю в отпуск. Один из админов писал, что буквально 12-го числа ставили заплатки на форум. А та дыра, которой воспользовались уроды была опубликована 14-го числа :). Как раз когда udofun, как я понял, отбыл в отпуск. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
admin 0 1 августа, 2006 Опубликовано 1 августа, 2006 · Жалоба все верно, я уезжал, но заплатки были поставлены товарищем. дырку от 14ого числа проглядели.... виноват... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
GetSmart 0 1 августа, 2006 Опубликовано 1 августа, 2006 · Жалоба Да ладно. Никто не виноват, кроме тех уродов. Как говорится, shit happens. Не от всего и защитится-то можно. Вот винт скажем крякнет и кто будет виноват? ______________ А уменя такая мысля родилась. Я вообще не спец по всякому хостингу, серверам и прочей сетевой приблуде. Но можно ли сделать так, чтобы раздвоить входящий траффик на две линии и на два идентичных сервера. Чтобы только один был доступен по сети, но инфа обновлялась на них обоих и ... чё-то лажа какая-то получилась. Ладно, не знаю я нифига в этом деле. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
BSV 0 1 августа, 2006 Опубликовано 1 августа, 2006 · Жалоба Неплохо бы какую-нибудь систему обнаружения атак (аномалий) к серверу (форуму) прикрутить. Чтобы при обнаружении такого рода бяк сообщалось администраторам форума. Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
avv 0 2 августа, 2006 Опубликовано 2 августа, 2006 · Жалоба И наверно несложно убрать упоминание о версии движка форума, о чем упоминали в ветке про взлом. Мартышки из детского сада уж наверно обломятся, да? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
one_man_show 0 2 августа, 2006 Опубликовано 2 августа, 2006 · Жалоба Если говорить о версии движка и информации внизу страницы, то лучше не убирать, а написать что-то уводящее в сторону, например: - не обновлять инфо, если движок обновили - указать другой движок или что-то в этом роде Это конечно не для текущей ситуации, а на будущее Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
AndyBig 5 2 августа, 2006 Опубликовано 2 августа, 2006 · Жалоба Согласен с сокрытием/подменой информации о версии движка. Это уберет львиную долю попыток сломать его. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Sirotinin 0 4 августа, 2006 Опубликовано 4 августа, 2006 · Жалоба Я вам вполне профессионально могу сказать, что подмена версии движка не играет никакой роли.... наличие уязвимостей определяют по другим совсем факторам. Как защищаться? Вовремя закрывать дыры :) Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
sK0T 0 4 августа, 2006 Опубликовано 4 августа, 2006 · Жалоба Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты. Усложнение системы приводит к уменьшению её надёжности. А кто гарантирует, что в коде обеспечения одновременности администраторов не будет ещё худших ошибок? Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS… Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
hlebn 0 4 августа, 2006 Опубликовано 4 августа, 2006 · Жалоба Я вам вполне профессионально могу сказать, что подмена версии движка не играет никакой роли.... наличие уязвимостей определяют по другим совсем факторам. Как защищаться? Вовремя закрывать дыры :) хотябы отведет мартышек ищущих поисковиками уязвимые форумы по номеру(типу) движка Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
Doka 1 4 августа, 2006 Опубликовано 4 августа, 2006 (изменено) · Жалоба ...Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS… решение многим по вкусу, но есть несколько принципиальных НО: 1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!? 2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную.. . эти проблемы решаемы, если бы логика CVS была бы интегрирована в сам движок форума - при штатной работе писать суточный лог-файл изменений (id новых сообщений и тем), либо просто находить сообщения дата создания которых относится к последним суткам, но поскольку сам IPB - что называется Third Parity Product, это уже надо предлагать непосредственно его разработчикам ЗЫ: а насчет сброса на болванки - это лишнее. движок форума самое уязвимое место - поэтому достаточно грамотно задать права доступа к папкам: запретить скриптам форума доступ к тем папкам, в которых организовано CVS-хранилище. ЗЗЫ: диавол.. стока идей.. можно даже наскрести на диссертацию =) ..поменять чтоли направление: вместо "05.12.04 радиотехника" взять "информатика" =) Изменено 4 августа, 2006 пользователем Doka Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
sK0T 0 6 августа, 2006 Опубликовано 6 августа, 2006 · Жалоба 1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!? Делаем дамп, архивируем, высылаем его на почту на gmail-е? Что-то а-ля CVS есть в самих БД, не помню только, как называется. 2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную.. Не совсем верно. В SVN даже на дирректории и то распространяются версии. :-) Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться
muravei 3 7 августа, 2006 Опубликовано 7 августа, 2006 · Жалоба Хочу предложить свои соображения по избежанию:) Правда, я ничего в этом не соображаю.:) Надо сделать так ,чтобы фактического удаления записи человеком не было.НИ КАКИМ! Запись в базе помечалась бы как "удаленная" и не отображалась.Как в файловой системе, той лишь разницей , что фактическое удаление поисходило бы автоматически , спустя некоторое время, например через месяц. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты Поделиться