ugrás a tartalomhoz

A Lesson In Security

Hidvégi Gábor · 2014. Nov. 10. (H), 17.02
Nyílt forrású keretrendszerek előnyei és hátrányai
 
1

Szerintem sehol sincs

MadBence · 2014. Nov. 10. (H), 21.33
Szerintem sehol sincs kihangsúlyozva, hogy a nyílt forráskódú rendszerekkel lenne a baj. Az, hogy egy framework/cms zárt forráskódú, nem igazán jelent semmilyen pluszt a biztonságra nézve. A probléma az, hogy ezeket a rendszereket többnyire olyanok üzemeltetik (ha egyáltalán lehet üzemeltetésnek nevezni), akiknek lövésük sincs az IT biztonságról.
2

Azt mondjuk nem ertem hogy az

Greg · 2014. Nov. 11. (K), 08.27
Azt mondjuk nem ertem hogy az uzemeltetonek mi koze van ahhoz hogy a programozo hagyott egy SQL Injection lukat.
3

Frissítés

Poetro · 2014. Nov. 11. (K), 08.41
Minden szoftverben van hiba, ezért mindent megfelelő időközönként frissíteni kell. Ha ezt nem teszi meg az üzemltető, az az ő hibája. (A Drupal ráadásul megfelelő időközönként értesít is róla, hogy jött ki javítás.)
4

Ez eddig rendben van, de

Greg · 2014. Nov. 11. (K), 08.46
Ez eddig rendben van, de ahogy a cikkben is irtak, az exploit publikalasa utan par oraval mar futottak botok ami kihasznaltak a serulekenyseget. Ha valaki napokig nem frissit az tenyleg vessen magara, de a par ora azert eleg komoly elvaras :). Ugyhogy en nem az uzemeltetoket okolnam ebben az esetben. Igazabol senkit nem kell okolni, mert ajandek lonak ne nezd a fogat(a drupal ugyebar ingyenes).
6

Ekkora szoftvernél nincs

Hidvégi Gábor · 2014. Nov. 11. (K), 09.19
Ekkora szoftvernél nincs biztonsági értesítő hírlevél?
7

van

Pepita · 2014. Nov. 11. (K), 10.46
Ha beállitod kapsz mailt is a frissitesről.
Nem az a baj, hanem hogy sok "üzemeltető" tojik rá, nem frissít.
8

más oka is lehet

Gixx · 2014. Nov. 11. (K), 11.21
Például az új verzió inkompatibilis a régivel. Főként amiatt, ha a régibe bele kellett nyúlni.

Például a Wordpress nekem már régóta hápog, hogy firssítsek 4.0-ra, de lokálban kipróbáltam, és egy csomó minden megint rossz, ami régen is rossz volt, de javítottam. Itt nem feltétlenül hibás működésre kell gondolni, hanem hogy nem olyan formában adta ki az outputot, mint ahogy az nekem kell, és a rendszer alap esetben nem is teszi lehetővé az általam elvárt kimenetet.

Ugyanez van a pluginek és a templatek terén is. Ha frissítem őket, akkor odalesz minden, amit beleraktam egyénileg.

Persze az az én hibám, hogy akkor nem áldoztam rá időt, hogy rendesen kiterjesszem a funkciókat (már, ahol engedi ezt a WP - nem mindenhol), és az megint az én hibám, hogy most nem áldozok rá időt, hogy a frissítés után rendesen megcsináljam.

Tehát végülis is igazad van esetemben... Az üzemeltető (én) tojik rá :)

De egy céges környezetben, ahol weboldalakat készítenek futószalagon, ez a pár órás átfutási idő nem feltétlenül megoldható, ha kismillió projekt érintett.
9

igen

Pepita · 2014. Nov. 11. (K), 12.51
Én is ezért nem szeretem a nyílt cms-eket és a nagyobb fw-öket... A kompatibilitás a régivel sokszor gond.
Persze az az én hibám, hogy akkor nem áldoztam rá időt, hogy rendesen kiterjesszem a funkciókat 

Hát igen, ez csak "indokolja" a frissítés hiányát...

Az is igaz, hogy kisebb site-ok folyamatos fejlesztését nem gyakran tudják tulajdonosaik megfizetni.

Ezzel együtt célszerű normális kiterjesztéseket / modult írni (újrafelhasználás).
10

biztos, hogy a jó útját választottad a megoldásnak?

pp · 2014. Nov. 11. (K), 16.14
Amikor kijött a 7.20-as Drupal, ami eltörte az Insert modult, a következőket tettük.

1. nap 1. óra első 5 perc
Megvizsgáltuk a változást, és lokalizáltuk a lehetséges problémákat és megfogtunk egyet.

1. nap 1. óra
Természetesen előbb megnéztük, hogy be lett-e jelentve a hiba, és van-e rá megoldás. Be volt jelentve, de nem volt rá megoldás. Beküldtünk egyet.

1. nap 2. óra
Mivel ilyen gyorsan sikerült megfixálni a problémát, ezért ezzel együtt kitettük az új verziót. (különben enélkül tettük volna ki, felhívva az ügyfelek figyelmét a problémára, kérve türelmüket)

2. nap
A hibát pontosítjuk, javítjuk, készítünk egy modult ami segít fixálni az esetleges egyéb problémákat.

3. nap
A modul gazdája kiadja az újabb verziót ami tartalmazza az általunk készített megoldást.

4. nap
Build scriptet módosítjuk, hogy most már ne a régi foltozott modult tegye be, hanem az újat.

Soha az életben nem kellet többet ezzel a problémával foglalkoznunk.

Egyszerűen nem értem, hogy miről beszéltek, csak gyanítom, hogy valamit nagyon rosszul csináltok, és fogalmatok sincs mi az az Open Source.

pp
11

Nem minden esetben

Gixx · 2014. Nov. 12. (Sze), 10.38
Nem minden esetben járható.

Például a Wordpresshez töltöttem egy ingyenes template-et. A template nem volt felkészítve a magyar ékezetes betűkre (TrueType Font), így a CSS-t máris módosítanom kellett. Valamint a fejléc kép sem volt módosítható, ezért megint módosítanom kellett a CSS-t. A templatet magát is módosítanom kellett, mert kiírt olyan információkat, amire nekem nem volt szükségem (pl szerző). Csinálhattam volna saját templatet, de nem volt kedvem. A pluginekbe is bele kellett nyúlnom, mert bár nem voltak hibásak, de nem úgy működtek, ahogy én szerettem volna. Szóval ilyen is előfordul. De épp ettől nyílt forrású, hogy belenyúlhatok, módosíthatom. Igazából az ujjlenyomatot kellene kiszednem ezekből, hogy a WP ne szóljon ha van frissítés... De jó így. Hamarosan úgyis lecserélem a WP-t a saját fejlesztésemre :)

Ugyanakkor a te konstruktív megoldásoddal én is egyetértek és volt már részem ilyesmiben. Aki használ Zend Framework 1-et, és abban használta a Host Validator-ban a deep MX ellenőrzést, na azt egy volt kollégámmal ketten írtuk. Igaz, hogy az átvett kódban a változónevek átírását követően már nem érezték szükségét a ZF programozói, hogy megemlítsék a nevünket... :)
12

Igaz, hogy az átvett kódban a

Joó Ádám · 2014. Nov. 12. (Sze), 16.31
Igaz, hogy az átvett kódban a változónevek átírását követően már nem érezték szükségét a ZF programozói, hogy megemlítsék a nevünket... :)


Ezért írod alá a contributor license agreementet. Az én nevem sem szerepel sehol :)
5

Ez eddig rendben van, de

Greg · 2014. Nov. 11. (K), 08.47
Ez eddig rendben van, de ahogy a cikkben is irtak, az exploit publikalasa utan par oraval mar futottak botok amik kihasznaltak a serulekenyseget. Ha valaki napokig nem frissit az tenyleg vessen magara, de a par ora azert eleg komoly elvaras :). Ugyhogy en nem az uzemeltetoket okolnam ebben az esetben. Igazabol senkit nem kell okolni, mert ajandek lonak ne nezd a fogat(a drupal ugyebar ingyenes).