Последние сообщения

Страницы: [1] 2 3 ... 10
1
Данная проблема уже освещалась и ее решение есть: http://forum.danneo.ru/index.php?topic=213.0

Большое спасибо! Курил ведь форум, но этой ветки не нашел...
Благодарю.
2
Данная проблема уже освещалась и ее решение есть: http://forum.danneo.ru/index.php?topic=213.0
3
1.5.0 была бета версия и предназначалась для открытого тестирования.
Качай последнюю.
http://danneo.ru/down/stable/
и поставь на нее все патчи которые есть на данный момент.
http://danneo.ru/down/patch-danneo-cms-154/
патчи ставятся по порядку, внимательно читай readme, в некоторых патчах надо накатывать sql
4
Предложения / Re: Несколько пунктов к разработчику
« Последний ответ от Neon 15 Октября 2017, 23:42:56 »
Smolenkov_BN, сожалею, но вы так и не назвали конкретные примеры.
Читать одно и тоже сообщение, семилетней давности, об одной уязвимости в DN, которая давно закрыта, у меня нет ни времени ни желания.

А Вы чем занимаетесь за пределами этого форума, если не секрет?
Живу, с вашего позволения.
И, по мере сил (на старости лет) пытаюсь поддерживать открытый проект, который мы когда-то начинали еще с Денисом Донским (aka Dantes).
Ни для кого не секрет, что DANNEO, это абревиатура Dantes & Neon.

Поскольку, и Danneo v.0.5.4 и v.0.5.5 я подготавливал и выкладывал в паблик сам (так получилось), я мог бы новую ветку, которую уже точно пересобирал и переосмысливал один, назвать к примеру Arisfera. И, имел бы на это, полное право. Но, в память о наших общих делах, я хочу, чтобы это была Danneo CMS.
И, еще надеюсь, что ни смотря ни на что, система будет востребована, и будет поддерживаться под этим брендом, даже когда основные разработчики уйдут совсем со сцены.

У нас, по прежнему, так мало чисто Российских (открытых) разработок в этой области, и по моему мнению, просто стыдно использовать Джумлы и Вордпрессы.
Заниматься переводом чужого ПО, и хвастаться сколько там удобных плагинов, просто противно.
Нужно создавать своё, ни смотря ни на что.
5
Предложения / Re: Несколько пунктов к разработчику
« Последний ответ от Smolenkov_BN 15 Октября 2017, 13:51:46 »
> Вы забыли (наверное) уточнить, сколько раз вам приходилось восстанавливать конкретно Danneo CMS, после взломов?
- Версию 1.5.x - ни разу не восстанавливал, потому что она пока не получила такого широкого распространения как Opencart. А вот с версией 0.5.4 нам пришлось дополнительно повозиться, зато она и сегодня "пашет как трактор" в бесприбыльной и неблагодарной сфере. За это Вам огромное сердечное "спасибо"!

> В DN, кроме обычных мер безопасности, еще есть "секретное слово"...
> Кроме этого, панель всегда можно закрыть .htaccess, как дополнительной защитой...
> Что касается SQL-инъекций, также, пожалуйста, примеры в студию.
- Первая же выявленная SQL-инъекция накроет "известным органом" и "секретное слово", и ".htaccess". А примеры уязвимостей по версиям Danneo CMS Вы можете посмотреть, набрав в любом приличном поисковике всего два слова:
Danneo vulnerability

> Danneo CMS, это открытая и свободно распространяемая система. Если есть уязвимости, рассказывайте, будем устранять.
> Мы можем пропустить или проигнорировать предложения относительно общего функционала, но только не сообщения об "дырах" в системе.
> И, здесь, мы рассчитываем на помощь сообщества.
> На конкретную помощь, а не на голословные рассуждения, - мол возможно, может быть, и пр.
> Абстрактные разговоры только отвлекают, и мешают сосредоточиться на главном.
- Если Вы позволите, то я в свободное время подготовлю необходимую информацию, и мы с Вашим непосредственным участием попробуем проделать необходимые операции по исследованию CMS на уязвимость. А пока можете посмотреть этот веблинк:
https://www.ibm.com/developerworks/ru/library/os-test-websites/index.html

Я с искренним уважением отношусь к людям, которые что-либо делают бесплатно для блага других людей. Поэтому не считайте меня своим врагом. Несколько слов о себе.
Впервые мне удалось выйти в Интернет в 1992 году. Под DOS использовал Arachne в качестве графического браузера и Astra в качестве системы передачи информационных файлов. А вот последние годы моей профессиональной деятельности:
1995-2000 - заведующий отделом компьютерной обработки информации исполнительной дирекции областного отделения фонда социального страхования;
2000-2008 - главный инженер проекта (ГИП) и по совместительству начальник отдела института по проектированию систем автоматизации производства;
2008-2009 - начальник отдела автоматизации систем управления производством в коммерческой фирме;
2009-2013 - эксперт по IT товарам и технологиям "ноу-хау" представительства областной торгово-промышленной палаты и одновременно администратор информационных технологий товарной биржи (по трудовому соглашению).
2013-настоящее время - пенсионер и не торопясь занимаюсь вопросами IT в школьном образовании.
Мне пришлось курировать кучу серьезных проектов по созданию Интранет/Интернет на предприятиях металлургической отрасли как внутри страны, так и за рубежом. Через мои руки прошло более 1000 свободных и проприетарных CMS различного назначения, большая часть которых давно "канула в лету". Поэтому у меня накопился некоторый опыт по выбору железа и программ, а в сложных случаях я могу воспользоваться услугами серверов и специалистов IT-полигона проектного института.
А Вы чем занимаетесь за пределами этого форума, если не секрет?
6
Приветствую, друзья!
У меня стоит 1.5.0, дальнейшие патчи не накатывал.
Ситуация такая. В многостраничной статье система генерирует ссылки формата http://gdz-books.ru/article/test-p2-c1.html. Если идти по этой ссылке, то результат 404. А вот если из сылки убрать кончик "-с1" и оставить http://gdz-books.ru/article/test-p2.html, то ссылка рабочая и все хорошо. Вопрос: откуда берется "-с1" на конце и как от него избавиться?
Спасибо за помощь!
P.S. В разделах пагинация работает нормально и кончик "-с1" нигде не вылазит.. ))
7
Предложения / Re: Несколько пунктов к разработчику
« Последний ответ от Neon 15 Октября 2017, 12:27:19 »
Smolenkov_BN, сколько воды, и мало конкретики.
Если это возможно, постарайтесь быть более кратким, и четким в высказываниях.

Несмотря на все ухищрения с разделением административной и пользовательской частей уязвимость Danneo CMS остается на уровне Opencart CMS, где все сделано примерно аналогично. Знаете, сколько раз мне приходилось восстанавливать учетную запись администратора у знакомых е-шопников? А причина одна - наличие общей БД! Происходит очередная SQL-инъекция (после обновления, инсталляции нового модуля или работы нечистоплотного пользователя), и владелец сайта начнает судорожно искать спеца, потому что изменились или исчезли учетные записи всех админов. В связи с этим на многих хостингах уже стали предлагать не одну, а сразу две БД с различающимися логинами и паролями: в первую обычно заносятся таблицы всех пользователей и всех каталогов, а во вторую - таблицы учетных записей админов, конфигурации системы и снимок первой БД. Danneo CMS пока не обладает возможностью разделения таблиц по разным БД для подобной цели. Следовательно, у меня нет пока оснований согласиться с Вами. Если бы все было хорошо, как Вы пишете, то не было бы подобных веблинков:
_http://webprovincia.com/opencart/parol-ot-paneli-administratora.html

Вы забыли (наверное) уточнить, сколько раз вам приходилось восстанавливать конкретно Danneo CMS, после взломов?

В DN, кроме обычных мер безопасности, еще есть "секретное слово".
Даже если администратор, по глупости, создал простой пароль, и его смогли подобрать, злоумышленник не сможет изменить пароль основного админа, без секретного слова. Поэтому, доступ в панель он не сможет закрыть, а значит и восстанавливать ничего не придется.
Админ всегда может войти, и сменить пароль.

Кроме этого, панель всегда можно закрыть .htaccess, как дополнительной защитой.
В предыдущих версиях были проблемы с ЧПУ, если каталоге администратора добавить файл .htaccess
В новой версии этой проблемы нет.

Что касается SQL-инъекций, также, пожалуйста, примеры в студию.

Danneo CMS, это открытая и свободно распространяемая система. Если есть уязвимости, рассказывайте, будем устранять.
Мы можем пропустить или проигнорировать предложения относительно общего функционала, но только не сообщения об "дырах" в системе.
И, здесь, мы рассчитываем на помощь сообщества.

На конкретную помощь, а не на голословные рассуждения, - мол возможно, может быть, и пр.
Абстрактные разговоры только отвлекают, и мешают сосредоточиться на главном.
8
Предложения / Re: Несколько пунктов к разработчику
« Последний ответ от Smolenkov_BN 14 Октября 2017, 19:02:16 »
> Smolenkov_BN, спасибо за выявление ошибок, и подробный разбор.
> Разумеется все баги будем исправлять.
- Приятно читать, но неприятно вспоминать.
1. Исправить строку с копирайтом сайта
http://forum.danneo.ru/index.php?topic=318.0
Наличие лишь одного символа копирайта (C) не обеспечит положительное решение в суде по защите авторских прав. Только обязательное наличие слова "Copyright" с символом копирайта (C) или без него и обязательно с указанием периода действия авторского права в годах (например, 1992-2017) даст положительное решение суда в пользу владельца сайта. Это особенно остро проявилось в период 1992-1998 г.г., когда идеи из бывшего СССР стали появляться на сайтах в Интернет. Многие российские авторы изобретений тогда "остались с носом при своих интересах".
2. Защита адреса email от спамботов
http://forum.danneo.ru/index.php?topic=323.0
Адрес email из мода "Контакты" до сих пор "свистит" на весь Интернет, потому что доступен даже самым примитивным ботам. Например, лично я рекомендовал бы для этой цели использовать какой-нибудь известный JS преобразования текста в картинку.

> Вот только с некоторыми вашими выводами, позволю не согласиться.
> Особенно относительно высказывания "...как это сделано во всех приличных CMS".
> Нужно было добавить "во всех дырявых CMS", и заодно назвать имена этих "приличных" CMS. Чтобы было понятно о ком речь.
- Существует много приличных CMS. Первой на ум пришла Elxis CMS, где довольно грамотно сделана защита.

> В Danneo CMS административная панель максимально отделена от публичной части системы, и это не недостаток, а как раз наоборот, преимущество.
> Админка более надежно защищена.
> Данное разделение было принято еще в первых версиях DN, и я не стал менять этот принцип в новой ветке.
> Это, являлось поводом для бесконечных споров с пользователем Staf4.
> Staf4, предлагал совместить базы пользователей и админов, а заодно и функционал.
> Основная мотивировка, не улучшенное управление или безопасность, а сокращение количества файлов.
> Я против такого решения.
> Экономия общего веса системы в 100 кб, не может считаться хорошим поводом, когда речь идет о безопасности.
- Несмотря на все ухищрения с разделением административной и пользовательской частей уязвимость Danneo CMS остается на уровне Opencart CMS, где все сделано примерно аналогично. Знаете, сколько раз мне приходилось восстанавливать учетную запись администратора у знакомых е-шопников? А причина одна - наличие общей БД! Происходит очередная SQL-инъекция (после обновления, инсталляции нового модуля или работы нечистоплотного пользователя), и владелец сайта начнает судорожно искать спеца, потому что изменились или исчезли учетные записи всех админов. В связи с этим на многих хостингах уже стали предлагать не одну, а сразу две БД с различающимися логинами и паролями: в первую обычно заносятся таблицы всех пользователей и всех каталогов, а во вторую - таблицы учетных записей админов, конфигурации системы и снимок первой БД. Danneo CMS пока не обладает возможностью разделения таблиц по разным БД для подобной цели. Следовательно, у меня нет пока оснований согласиться с Вами. Если бы все было хорошо, как Вы пишете, то не было бы подобных веблинков:
http://webprovincia.com/opencart/parol-ot-paneli-administratora.html

> Что касается логинов администратора с нижним подчеркиванием, можно было не расписывать все пункты ваших действий.
> А, просто попросить добавить возможность использования некоторых символов.
> И все.
- Я просто указал несоответствие между возможным именем пользователя, созданным администратором, и его проверкой на входе.

> Описанные баги не влияют на нормальную работу системы.
- Но вызывают недовольство у админов...

> PS:
> Для постоянных пользователей. Прошу, извинить за редкое появление.
> 1. Много текущей работы.
> 2. Надо же дать возможность и самим пользователям решать некоторые проблемы. А то, все сидят и ждут когда придет Neon, и все исправит, и разрешит все вопросы.
- Не так-то просто отследить последовательность выполнения PHP в условиях действия JS. Например, формирование титульной страницы происходит с использованием целой кучи JS:
- Danneo CMS (ios.js, jquery.js, jquery.colorbox.js, jquery.liquid.slider.js, script.js, watch.js) - 6 шт.;
- форум Danneo CMS (bootstrap.min.js, highlight.pack.js, jquery.min.js, menu.js, script.js, theme.js, watch.js) - 7 шт.
Честно говоря, сам по себе язык PHP - это по сути шаблонизатор (препроцессор гипертекста) с расширенными возможностями. К чему его насыщать таким количеством JS, снижая общий уровень безопасности сайта и его гостей? Ну, разве что для мнимой экономии времени на разработку! Будет немного свободного времени - поклацайте по кнопке "Next" и посмотрите возможности HTML5/CSS3:
https://www.w3schools.com/css/
9
Предложения / Re: Несколько пунктов к разработчику
« Последний ответ от Neon 13 Октября 2017, 11:14:03 »
Smolenkov_BN, спасибо за выявление ошибок, и подробный разбор.
Разумеется все баги будем исправлять.

Вот только с некоторыми вашими выводами, позволю не согласиться.
Особенно относительно высказывания "...как это сделано во всех приличных CMS".
Нужно было добавить "во всех дырявых CMS", и заодно назвать имена этих "приличных" CMS. Чтобы было понятно о ком речь.

В Danneo CMS административная панель максимально отделена от публичной части системы, и это не недостаток, а как раз наоборот, преимущество.
Админка более надежно защищена.

Данное разделение было принято еще в первых версиях DN, и я не стал менять этот принцип в новой ветке.
Это, являлось поводом для бесконечных споров с пользователем Staf4.

Staf4, предлагал совместить базы пользователей и админов, а заодно и функционал.
Основная мотивировка, не улучшенное управление или безопасность, а сокращение количества файлов.
Я против такого решения.
Экономия общего веса системы в 100 кб, не может считаться хорошим поводом, когда речь идет о безопасности.

Что касается логинов администратора с нижним подчеркиванием, можно было не расписывать все пункты ваших действий.
А, просто попросить добавить возможность использования некоторых символов.
И все.

Описанные баги не влияют на нормальную работу системы.
Но, все равно, спасибо. Будем исправлять.

PS:
Для постоянных пользователей. Прошу, извинить за редкое появление.
1. Много текущей работы.
2. Надо же дать возможность и самим пользователям решать некоторые проблемы. А то, все сидят и ждут когда придет Neon, и все исправит, и разрешит все вопросы.

Так или иначе,
я все равно отслеживаю все значимые посты, и все баги будут исправлены и собраны в патчи.
10
Вы когда дистрибутив качали ? патчи все стоят?
Страницы: [1] 2 3 ... 10