Автор Тема: Массовый взлом сайтов на Shop Script Lego  (Прочитано 17881 раз)

Оффлайн Alex M

  • Спец
  • ***
  • Сообщений: 109
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #15 : Января 10, 2014, 10:37:31 pm »

Не напрягаться :) ;)  и следовать рекомендациям разработчиков  :)
[/quote]
Каким рекомендациям? Ну заменил я файл access_admin.php в шестой версии движка, а что делать с сайтами на пятой версии? Только не надо говорить про переходе с пятерки на шестерку. Там все уже переделано под функционал конкретных проектов и прекрасно работает. Да и шаблоны именно под пятерку сделаны.

Оффлайн Drifter-B

  • Пользователь
  • **
  • Сообщений: 25
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #16 : Января 12, 2014, 08:13:07 am »
А сюда поправленный файл для 5.0.2 прилепить можете? Ну чтобы все могли скачать, у кого старый движок. Так же проще вроде...

Оффлайн Drifter-B

  • Пользователь
  • **
  • Сообщений: 25
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #17 : Января 12, 2014, 02:57:13 pm »
Спасибо

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #18 : Января 23, 2014, 12:35:40 pm »
Взлом? ахаха, все-таки кто-то не поленился и воспользовался бэкдором разработчиков. Разработчики! Вы бы хоть на оф.сайте что-нибудь написали тиа: в версях 5.х - 6.х найдена уязвимость, срочно проделайте следующие действия.... и т.п. А то сколько пользователей ваших сборок на форуме не зарегестрированы, тем более сейчас, когда вы обязываете оставлять ваш копирайт, нати сайт на legoSP вообще не составляет труда. Лично я, однажды счкачав новую версию лего и увидев эту строчку, вашими сборками не пользуюсь.

Оффлайн Heisenberg

  • Спец
  • ***
  • Сообщений: 157
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #19 : Января 23, 2014, 07:13:49 pm »
Цитировать
Лично я, однажды счкачав новую версию лего и увидев эту строчку, вашими сборками не пользуюсь.
Ну.. зная другую скважину для "ключа", чего бы не поменять "замок", или все так печально?..

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #20 : Января 24, 2014, 07:18:44 am »
Дело не в "ключах" и "замках", а в отношении разработчика к безопасности своего продукта. Если программист не задумываясь о последствиях оставляет в коде "дверь", которой может воспользоваться любой школьник имеющий базовые знания в программировании, то какой вывод можно сделать о безопасности кода этого программиста.

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #21 : Января 24, 2014, 06:57:42 pm »
Я не писал о том, что md5 придумали школьники, а о том, что ваше условие для входа в админку может использовать любой школьник. Вы введите в любом поисковике md5 и вы получите массу ссылок для дешифрования хэша md5. Вы эту сорочку не 5 лет назад вписали, а  пару лет назад. В это время сайты для дешифровки md5 уже существовали. И у 95% CMS такие явные условия для входа в админку вменяемые программисты не оставляют. Скачал сборку, скопировал строку из очевидного файла, вставил в поле на сайте для дешифровки md5 и получил вход в админку для всех сайтов на legosp. Думайте о том что делаете, многие люди связывают с вашим движком свой бизнес и своих клиентов.
« Последнее редактирование: Января 24, 2014, 09:31:35 pm от SaVD »

Оффлайн Heisenberg

  • Спец
  • ***
  • Сообщений: 157
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #22 : Января 24, 2014, 09:29:07 pm »
Согласен с Вами на все 100%. Этому есть место. Но:
Цитировать
... может воспользоваться любой школьник имеющий базовые знания в программировании
для этого, как минимум нужно разбираться в данном скрипте.
Я не пытаюсь и не пробую защитить создателей данного продукта, но если были где проблемы, всегда вопрос был решаем.
Нет смысла "громогласить" о проблеме, как о "резонансной сингулярности", её надо устранять. И лучше по тихому. :)
« Последнее редактирование: Января 24, 2014, 09:35:05 pm от Heisenberg »

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #23 : Января 24, 2014, 09:52:36 pm »
Поймите я не пытаюсь унизить разработчика. Я пытаюсь объяснить ему, что нужно думать о том, что много людей зависит от его разработок. И если у разработчика еще осталась совесть, то во все трубы надо звонить о том, что он накосячил и исправлять свою ошибку.

Оффлайн Heisenberg

  • Спец
  • ***
  • Сообщений: 157
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #24 : Января 24, 2014, 09:57:21 pm »
Ну, думаю и надеюсь, этим и займутся.
зы// отождествлять, наводить панику, это лишнее. сознательные, примут.
« Последнее редактирование: Января 24, 2014, 10:08:51 pm от Heisenberg »

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #25 : Января 24, 2014, 10:06:21 pm »
для этого, как минимум нужно разбираться в данном скрипте.
Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"

Оффлайн Heisenberg

  • Спец
  • ***
  • Сообщений: 157
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #26 : Января 24, 2014, 10:10:32 pm »
Цитировать
Для этого не нужно разбираться в скрипте, файл - access_admin своим именем сам за себя говорит, а условие, которое в нем прописано вообще клад для всяких "мегахацкеров"
ну и у каждого есть возможность изначально его переименовать :)
« Последнее редактирование: Января 24, 2014, 10:12:05 pm от Heisenberg »

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #27 : Января 24, 2014, 10:30:35 pm »

ну и у каждого есть возможность изначально его переименовать :)
[/quote]
 :D :D :D

Оффлайн SaVD

  • Пользователь
  • **
  • Сообщений: 22
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #28 : Января 24, 2014, 10:43:08 pm »
кто будет совершать какие-нибудь действия, когда все уверены, что все в порядке

Оффлайн Heisenberg

  • Спец
  • ***
  • Сообщений: 157
    • Просмотр профиля
Re: Массовый взлом сайтов на Shop Script Lego
« Ответ #29 : Января 24, 2014, 10:47:48 pm »
Осторожные и предусмотрительные - да. Другие, надеюсь, иногда посещают этот форум и воспользуются рекомендациями.
А есть альтернативы для всеобщего-массового манту?