Массовый взлом сайтов на Shop Script Lego

[SaVD]

Я не писал о том, что md5 придумали школьники, а о том, что ваше условие для входа в админку может использовать любой школьник. Вы введите в любом поисковике md5 и вы получите массу ссылок для дешифрования хэша md5. Вы эту сорочку не 5 лет назад вписали, а  пару лет назад. В это время сайты для дешифровки md5 уже существовали. И у 95% CMS такие явные условия для входа в админку вменяемые программисты не оставляют. Скачал сборку, скопировал строку из очевидного файла, вставил в поле на сайте для дешифровки md5 и получил вход в админку для всех сайтов на legosp. Думайте о том что делаете, многие люди связывают с вашим движком свой бизнес и своих клиентов.

[Heisenberg]

Согласен с Вами на все 100%. Этому есть место. Но:

... может воспользоваться любой школьник имеющий базовые знания в программировании

для этого, как минимум нужно разбираться в данном скрипте.
Я не пытаюсь и не пробую защитить создателей данного продукта, но если были где проблемы, всегда вопрос был решаем.
Нет смысла "громогласить" о проблеме, как о "резонансной сингулярности", её надо устранять. И лучше по тихому.

[SaVD]

Поймите я не пытаюсь унизить разработчика. Я пытаюсь объяснить ему, что нужно думать о том, что много людей зависит от его разработок. И если у разработчика еще осталась совесть, то во все трубы надо звонить о том, что он накосячил и исправлять свою ошибку.

[Heisenberg]

Ну, думаю и надеюсь, этим и займутся.
зы// отождествлять, наводить панику, это лишнее. сознательные, примут.

[SaVD]

для этого, как минимум нужно разбираться в данном скрипте.

Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"

[Heisenberg]

Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"

ну и у каждого есть возможность изначально его переименовать

[SaVD]

ну и у каждого есть возможность изначально его переименовать
[/quote]
 

[SaVD]

кто будет совершать какие-нибудь действия, когда все уверены, что все в порядке

[Heisenberg]

Осторожные и предусмотрительные - да. Другие, надеюсь, иногда посещают этот форум и воспользуются рекомендациями.
А есть альтернативы для всеобщего-массового манту?

[SaVD]

А есть альтернативы для всеобщего-массового манту?

Ну хотя-бы на оф.сайте выложить ахтунг со всеми разъяснениями. Честно говоря, мне вообще непонятна политика разработчиков. Безопасности уделяется очень мало внимания. Уже давно пора перенести админку в отдельную папку с рандомным именем, задаваемым при установке. Про префиксы к базе данных я вообще молчу, они как 10 лет назад были SS, так и остались.

[Heisenberg]

Ничего не скажу за оф.сайт, за политику и поведение создателей, но если не ошибаюсь, то вроде КАГБЫ файлы доступа к админке есть возможность переименовывать при инсталяции.., но и там пока есть косяки(как понял с самим администрированием).

[kossdp]

там пока есть косяки(как понял с самим администрированием).

к сожалению есть...