> Smolenkov_BN, спасибо за выявление ошибок, и подробный разбор.
> Разумеется все баги будем исправлять.
- Приятно читать, но неприятно вспоминать.
1. Исправить строку с копирайтом сайта
http://forum.danneo.ru/index.php?topic=318.0Наличие лишь одного символа копирайта (C) не обеспечит положительное решение в суде по защите авторских прав. Только
обязательное наличие слова "Copyright" с символом копирайта (C) или без него и обязательно с указанием периода действия авторского права в годах (например, 1992-2017) даст положительное решение суда в пользу владельца сайта. Это особенно остро проявилось в период 1992-1998 г.г., когда идеи из бывшего СССР стали появляться на сайтах в Интернет. Многие российские авторы изобретений тогда "остались с носом при своих интересах".
2. Защита адреса email от спамботов
http://forum.danneo.ru/index.php?topic=323.0Адрес email из мода "Контакты" до сих пор "свистит" на весь Интернет, потому что доступен даже самым примитивным ботам. Например, лично я рекомендовал бы для этой цели использовать какой-нибудь известный JS преобразования текста в картинку.
> Вот только с некоторыми вашими выводами, позволю не согласиться.
> Особенно относительно высказывания "...как это сделано во всех приличных CMS".
> Нужно было добавить "во всех дырявых CMS", и заодно назвать имена этих "приличных" CMS. Чтобы было понятно о ком речь.
- Существует много приличных CMS. Первой на ум пришла Elxis CMS, где довольно грамотно сделана защита.
> В Danneo CMS административная панель максимально отделена от публичной части системы, и это не недостаток, а как раз наоборот, преимущество.
> Админка более надежно защищена.
> Данное разделение было принято еще в первых версиях DN, и я не стал менять этот принцип в новой ветке.
> Это, являлось поводом для бесконечных споров с пользователем Staf4.
> Staf4, предлагал совместить базы пользователей и админов, а заодно и функционал.
> Основная мотивировка, не улучшенное управление или безопасность, а сокращение количества файлов.
> Я против такого решения.
> Экономия общего веса системы в 100 кб, не может считаться хорошим поводом, когда речь идет о безопасности.
- Несмотря на все ухищрения с разделением административной и пользовательской частей уязвимость Danneo CMS остается на уровне Opencart CMS, где все сделано примерно аналогично. Знаете, сколько раз мне приходилось восстанавливать учетную запись администратора у знакомых е-шопников? А
причина одна - наличие общей БД! Происходит очередная SQL-инъекция (после обновления, инсталляции нового модуля или работы нечистоплотного пользователя), и владелец сайта начнает судорожно искать спеца, потому что изменились или исчезли учетные записи всех админов. В связи с этим на многих хостингах уже стали предлагать не одну, а сразу две БД с различающимися логинами и паролями: в первую обычно заносятся таблицы всех пользователей и всех каталогов, а во вторую - таблицы учетных записей админов, конфигурации системы и снимок первой БД. Danneo CMS пока не обладает возможностью разделения таблиц по разным БД для подобной цели. Следовательно, у меня нет пока оснований согласиться с Вами. Если бы все было хорошо, как Вы пишете, то не было бы подобных веблинков:
http://webprovincia.com/opencart/parol-ot-paneli-administratora.html> Что касается логинов администратора с нижним подчеркиванием, можно было не расписывать все пункты ваших действий.
> А, просто попросить добавить возможность использования некоторых символов.
> И все.
- Я просто указал несоответствие между возможным именем пользователя, созданным администратором, и его проверкой на входе.
> Описанные баги не влияют на нормальную работу системы.
- Но вызывают недовольство у админов...
> PS:
> Для постоянных пользователей. Прошу, извинить за редкое появление.
> 1. Много текущей работы.
> 2. Надо же дать возможность и самим пользователям решать некоторые проблемы. А то, все сидят и ждут когда придет Neon, и все исправит, и разрешит все вопросы.
- Не так-то просто отследить последовательность выполнения PHP в условиях действия JS. Например, формирование титульной страницы происходит с использованием целой кучи JS:
- Danneo CMS (ios.js, jquery.js, jquery.colorbox.js, jquery.liquid.slider.js, script.js, watch.js) - 6 шт.;
- форум Danneo CMS (bootstrap.min.js, highlight.pack.js, jquery.min.js, menu.js, script.js, theme.js, watch.js) - 7 шт.
Честно говоря, сам по себе язык PHP - это по сути шаблонизатор (препроцессор гипертекста) с расширенными возможностями. К чему его насыщать таким количеством JS, снижая общий уровень безопасности сайта и его гостей? Ну, разве что для мнимой экономии времени на разработку! Будет немного свободного времени - поклацайте по кнопке "Next" и посмотрите возможности HTML5/CSS3:
https://www.w3schools.com/css/
Последние сообщения
