Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Сообщения - Neon

Страницы: [1] 2 3 ... 45
1
Smolenkov_BN, сожалею, но вы так и не назвали конкретные примеры.
Читать одно и тоже сообщение, семилетней давности, об одной уязвимости в DN, которая давно закрыта, у меня нет ни времени ни желания.

А Вы чем занимаетесь за пределами этого форума, если не секрет?
Живу, с вашего позволения.
И, по мере сил (на старости лет) пытаюсь поддерживать открытый проект, который мы когда-то начинали еще с Денисом Донским (aka Dantes).
Ни для кого не секрет, что DANNEO, это абревиатура Dantes & Neon.

Поскольку, и Danneo v.0.5.4 и v.0.5.5 я подготавливал и выкладывал в паблик сам (так получилось), я мог бы новую ветку, которую уже точно пересобирал и переосмысливал один, назвать к примеру Arisfera. И, имел бы на это, полное право. Но, в память о наших общих делах, я хочу, чтобы это была Danneo CMS.
И, еще надеюсь, что ни смотря ни на что, система будет востребована, и будет поддерживаться под этим брендом, даже когда основные разработчики уйдут совсем со сцены.

У нас, по прежнему, так мало чисто Российских (открытых) разработок в этой области, и по моему мнению, просто стыдно использовать Джумлы и Вордпрессы.
Заниматься переводом чужого ПО, и хвастаться сколько там удобных плагинов, просто противно.
Нужно создавать своё, ни смотря ни на что.

2
Smolenkov_BN, сколько воды, и мало конкретики.
Если это возможно, постарайтесь быть более кратким, и четким в высказываниях.

Несмотря на все ухищрения с разделением административной и пользовательской частей уязвимость Danneo CMS остается на уровне Opencart CMS, где все сделано примерно аналогично. Знаете, сколько раз мне приходилось восстанавливать учетную запись администратора у знакомых е-шопников? А причина одна - наличие общей БД! Происходит очередная SQL-инъекция (после обновления, инсталляции нового модуля или работы нечистоплотного пользователя), и владелец сайта начнает судорожно искать спеца, потому что изменились или исчезли учетные записи всех админов. В связи с этим на многих хостингах уже стали предлагать не одну, а сразу две БД с различающимися логинами и паролями: в первую обычно заносятся таблицы всех пользователей и всех каталогов, а во вторую - таблицы учетных записей админов, конфигурации системы и снимок первой БД. Danneo CMS пока не обладает возможностью разделения таблиц по разным БД для подобной цели. Следовательно, у меня нет пока оснований согласиться с Вами. Если бы все было хорошо, как Вы пишете, то не было бы подобных веблинков:
_http://webprovincia.com/opencart/parol-ot-paneli-administratora.html

Вы забыли (наверное) уточнить, сколько раз вам приходилось восстанавливать конкретно Danneo CMS, после взломов?

В DN, кроме обычных мер безопасности, еще есть "секретное слово".
Даже если администратор, по глупости, создал простой пароль, и его смогли подобрать, злоумышленник не сможет изменить пароль основного админа, без секретного слова. Поэтому, доступ в панель он не сможет закрыть, а значит и восстанавливать ничего не придется.
Админ всегда может войти, и сменить пароль.

Кроме этого, панель всегда можно закрыть .htaccess, как дополнительной защитой.
В предыдущих версиях были проблемы с ЧПУ, если каталоге администратора добавить файл .htaccess
В новой версии этой проблемы нет.

Что касается SQL-инъекций, также, пожалуйста, примеры в студию.

Danneo CMS, это открытая и свободно распространяемая система. Если есть уязвимости, рассказывайте, будем устранять.
Мы можем пропустить или проигнорировать предложения относительно общего функционала, но только не сообщения об "дырах" в системе.
И, здесь, мы рассчитываем на помощь сообщества.

На конкретную помощь, а не на голословные рассуждения, - мол возможно, может быть, и пр.
Абстрактные разговоры только отвлекают, и мешают сосредоточиться на главном.

3
Smolenkov_BN, спасибо за выявление ошибок, и подробный разбор.
Разумеется все баги будем исправлять.

Вот только с некоторыми вашими выводами, позволю не согласиться.
Особенно относительно высказывания "...как это сделано во всех приличных CMS".
Нужно было добавить "во всех дырявых CMS", и заодно назвать имена этих "приличных" CMS. Чтобы было понятно о ком речь.

В Danneo CMS административная панель максимально отделена от публичной части системы, и это не недостаток, а как раз наоборот, преимущество.
Админка более надежно защищена.

Данное разделение было принято еще в первых версиях DN, и я не стал менять этот принцип в новой ветке.
Это, являлось поводом для бесконечных споров с пользователем Staf4.

Staf4, предлагал совместить базы пользователей и админов, а заодно и функционал.
Основная мотивировка, не улучшенное управление или безопасность, а сокращение количества файлов.
Я против такого решения.
Экономия общего веса системы в 100 кб, не может считаться хорошим поводом, когда речь идет о безопасности.

Что касается логинов администратора с нижним подчеркиванием, можно было не расписывать все пункты ваших действий.
А, просто попросить добавить возможность использования некоторых символов.
И все.

Описанные баги не влияют на нормальную работу системы.
Но, все равно, спасибо. Будем исправлять.

PS:
Для постоянных пользователей. Прошу, извинить за редкое появление.
1. Много текущей работы.
2. Надо же дать возможность и самим пользователям решать некоторые проблемы. А то, все сидят и ждут когда придет Neon, и все исправит, и разрешит все вопросы.

Так или иначе,
я все равно отслеживаю все значимые посты, и все баги будут исправлены и собраны в патчи.

4
Общие вопросы / Re: Подключение cms к сайту
« : 08 Сентября 2017, 23:42:48 »
Кривые настройки сервера. Смотрите open_basedir. Конкретно, к каким директориям к которым разрешен доступ для PHP скриптов на сервере.
Либо отключите open_basedir.

5
Общие вопросы / Re: Интеграция с phpbb 3.2
« : 08 Сентября 2017, 10:31:53 »
Точных инструкций дать не могу.
В каждом, конкретном случае нужно разбираться отдельно.
Сожалею, времени на тестирование нет.

6
Общие вопросы / Re: Интеграция с phpbb 3.2
« : 08 Сентября 2017, 10:21:54 »
Теоретически, это возможно, но такой вариант не тестировался.

Это, частный случай.
Обращение к скриптам расположенным выше корня сайта не безопасно.
Нужно соответственно настраивать директиву open_basedir, у всех папок один пользователь и пр.

7
Общие положения, особенно в части управления модами, да, схожи. Но, только общие.
Описание старой ветки: http://junk.danneo.ru/help.html

8
Сожалею.
Документации по новой ветке Danneo CMS, пока нет.
Это, не от пренебрежения к пользователям. Просто, реально не хватает времени.
При появлении окон в работе, будем создавать.

9
Ошибки / Re: Модуль тендеры
« : 07 Сентября 2017, 09:50:21 »
В файле: mod/tender/load.php
Запрос
$valid = $db->query
             (
                 "SELECT id, files, facc, fgroups FROM ".$basepref."_".WORKMOD." WHERE id = '".$id."' AND act = 'yes'
                  AND (stpublic = 0 OR stpublic < '".NEWTIME."')
                  AND (unpublic = 0 OR unpublic > '".NEWTIME."')"
             );
заменить на
$valid = $db->query("SELECT id, files, facc, fgroups FROM ".$basepref."_".WORKMOD." WHERE id = '".$id."' AND act = 'yes'");

10
Спасибо, shkip3r. Учтем пожелания.

11
Галочка снимается, и настройка работает, просто состояние чекбокса не запоминается после сохранения настроек.
Не хотелось создавать доп. настройку для запоминания. Выбор одного шаблона оформления для всех модов, это наиболее часто используемая схема.
Поэтому, галка по умолчанию активна.

Изменить можно в редакторе настроек.
* Настройки системы => Редактор настроек
* Выбрать группу настроек "options"
* Открыть на редактирование настройку "[site_temp]"
* В поле "PHP код интерфейса" изменить  код.

Строку
echo " <input name=\"set[all_temp]\" value=\"yes\" type=\"checkbox\" checked>";
заменить на
echo " <input name=\"set[all_temp]\" value=\"yes\" type=\"checkbox\">";
То есть, убрать атрибут "checked".
Сохранить.

12
Сборки, модификации / Re: Danneo CMS v.1.5.4
« : 05 Сентября 2017, 17:33:45 »
Исправлено.

13
Общие вопросы / Re: gzip
« : 05 Сентября 2017, 17:33:17 »
Исправлено, проверьте.

14
Сборки, модификации / Re: Модуль "Отзывы"
« : 18 Августа 2017, 03:31:37 »
Активируйте модуль "Пользователи" в разделе "Управление модами", в колонке "Статус" (вкл).
Либо удалите его вообще, если он не нужен.

15
Ошибки / Re: Установка с нуля v.1.5.4 (ошибка)
« : 12 Августа 2017, 00:26:07 »
На этапе 4 из 9 проверьте правильность заполнения поля "Сервер базы данных:"
На вашем хостинге может быть отличное от "localhost".

Страницы: [1] 2 3 ... 45