Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Критическая уязвимость
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
Даный форум имеет критическую узявимость из-за которой любой пользователь может лишится своего акаунта навсегда. На поиск меня побудил ответ администратора RomAndry на мою прозьбу подумать над сменой движка, вот небольшая цитата
Цитата:
Да и не вижу смысла - легкий и надежный движек без наворотов
Оказывается ни на столько то он и надёжный
Пишу сюда что бы все видели, и возможно кто-то захочет присоеденится к молодёжному движения "за смену движка на php.su". RomAndry если вам это вобще интересно, отпишитесь в лс напишу детали уязвимости. хотя зачем оно мне надо, если вам на нас наплевать
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
KingStar
Отправлено: 25 Февраля, 2013 - 13:15:59
Участник
Покинул форум
Сообщений всего: 1889
Дата рег-ции: Авг. 2011 Откуда: Беларусь
Помог: 69 раз(а)
исправить никак нельзя чтоль??? мне не плевать
----- То что программа работает, не означает что она написана правильно!
DeepVarvar
Отправлено: 25 Февраля, 2013 - 17:15:35
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
я в ужасе (Добавление)
OrmaJever пишет:
присоеденится к молодёжному движения "за смену движка на php.su".
это же не хилый такой геммор, всю базу знаний переносить на новый двиг...
----- Чем больше узнаю, тем больше я не знаю.
esterio
Отправлено: 25 Февраля, 2013 - 17:30:48
Активный участник
Покинул форум
Сообщений всего: 5025
Дата рег-ции: Нояб. 2012 Откуда: Украина, Львов
Помог: 127 раз(а)
А я их готовых если чесно не вижу лучших вариантв кроме IPBforum, но он платный. Тот-же phpBB - ужас. Установил себе, так теперб 3-10 спам-ботов ломятся в день. А здесь думаю хватит залатать. Все же как сказал DelphinPRO перенос уж слишком трудоемким будет.
RomAndry
Отправлено: 25 Февраля, 2013 - 18:00:46
Частый посетитель
Покинул форум
Сообщений всего: 913
Дата рег-ции: Янв. 2008
Помог: 6 раз(а)
Я давно, все известные баги залатал, но 100% уверенности все равно нет, потому интересно все же услышать или увидеть что не так и гда дыра
OrmaJever
Отправлено: 25 Февраля, 2013 - 18:06:41
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
RomAndry отписался, я написал ему подробности, пусть решает.
DelphinPRO пишет:
это же не хилый такой геммор, всю базу знаний переносить на новый двиг...
Не совсем понял. Я имел ввиду сменить движёк форума.
Вот мне RomAndry сказал что это достаточно сложно, и вот я сижу и думаю в каком моменте тут сложно? Как я понимаю под сменой движка многие предпологают полный перенос базы на новый? Зачем?? Как по моему достаточно поставить новую цмс и перенести туда базу пользователей, да даже если и без пользователей, то мне например не сложно зарегистрироватся заного и начать всё сначал но более приятном форуме! Ну вот согласитесь, зачем переносить всю базу даных со старого форуме? А если не переносить базу что сложного сменить цмс?
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
Мелкий
Отправлено: 25 Февраля, 2013 - 18:12:35
Активный участник
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
DelphinPRO пишет:
это же не хилый такой геммор, всю базу знаний переносить на новый двиг...
С другой стороны, здесь найдутся желающие это реально сделать.
esterio пишет:
так теперб 3-10 спам-ботов ломятся в день.
В первую очередь он просто популярный. Сделать что-то банальное по сути, но нестандартное для движка - и спама не будет. Т.к. не будут спамеры затачивать робота под конкретную защиту, выгоднее обойти сотню других форумов.
----- PostgreSQL DBA
DelphinPRO
Отправлено: 25 Февраля, 2013 - 18:12:55
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
OrmaJever пишет:
Как я понимаю под сменой движка многие предпологают полный перенос базы на новый? Зачем??
т.е. взять и все выкинуть?
гугл не одобряет )
пользователи тоже
----- Чем больше узнаю, тем больше я не знаю.
vanicon
Отправлено: 25 Февраля, 2013 - 18:14:06
Частый посетитель
Покинул форум
Сообщений всего: 808
Дата рег-ции: Янв. 2010 Откуда: Самара
Помог: 17 раз(а)
OrmaJever пишет:
Ну вот согласитесь, зачем переносить всю базу даных со старого форуме?
Ну как зачем, это все же тоже накопленные знания, много тем где есть ответы на различные темы, и т.д
А с переносом сложность наверно будет в переносе базы данных форума на новую, так как если я не ошибаюсь то этот форум хранит инфу в файлах да?
----- Так было, так есть и так будет
OrmaJever
Отправлено: 25 Февраля, 2013 - 18:16:47
Активный участник
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
DelphinPRO пишет:
т.е. взять и все выкинуть?
гугл не одобряет )
пользователи тоже
Что гугл? что пользователи? Из пользователей пострадают пару человек которые пришли на форум недавно и создали тему, да их темы пропадут, но я уверен когда увидят что тут всё поменялось создадут снова и особо не обидятся, для тех кто уже зарегистрирован давно можно за неделю иди две зделать анонс смены форума.
Блин, ну а что гугл? когда-то всё начиналось с нуля и этот форум не исключение, и как-то же поднялся? Помоему главное не гугл, а удачный домен и люди которые помогают, тоесть мы. (Добавление)
vanicon пишет:
Ну как зачем, это все же тоже накопленные знания, много тем где есть ответы на различные темы, и т.д
И блин скажи мне кто этими накоплеными знаниями пользуется? Почему тогда создают по 2-3 темы с одним и тем же вопросом который уже 100 раз обсуждался на форуме.
Вернитесь в реальность, в старые темы почти не кто не заглядывает, это только 1% людей которые попадют туда с гугла ито я уверен что они там ответа не находят или не понимают и всеровно создают тему! (Добавление)
На новом форуме можно переписать/ужесточить правила, создать прикреплёные темы на самые часто обсуждаемые вопросы, пересмотреть/перенести уроки и прочее, это займёт неделю, но зато потом же жить станет легче и приятнее.
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
DelphinPRO
Отправлено: 25 Февраля, 2013 - 18:23:02
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
OrmaJever пишет:
Из пользователей пострадают пару человек
Пострадают сотни, которые будут натыкаться на 404 при переходе из гугла первое время, пока выдача старая будет. Пострадает форум, который лишиться поискового трафика. Пострадаю я, потому что скучным зимним вечером, мне некому будет ответить на вопрос В общем, это не так просто, взять и сменить двиг. И перенос данных здесь не самая сложная проблема.
Стесняюсь спросить, DeepVarvar, а чем закончилась ваша разработка движка? Допилили и не нужен, или просто забили?
----- Чем больше узнаю, тем больше я не знаю.
DeepVarvar
Отправлено: 25 Февраля, 2013 - 18:26:04
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
OrmaJever пишет:
Ну вот согласитесь, зачем переносить всю базу даных со старого форуме? А если не переносить базу что сложного сменить цмс?
Все дело в поисковиках, которые уже проиндексили все страницы. Это упадет тиц и прочая пурга.
А так да - мне тоже не в лом зарегиться заново и начать все сначала.
Правда предвижу ситуации когда петя зарегистрируется васей и вася будет кричать и доказывать что это он вася, а не тот петя который им представляется.
Покинул форум
Сообщений всего: 7540
Дата рег-ции: Янв. 2010 Откуда: Чернигов
Помог: 299 раз(а)
ну ладно, давайте тогда сидеть и радоватся полурабочему форуму. Ссылки тут неработают уже хрен пойми сколько, с недавна перестал работать тег [f ]*[/f], нету просмотра своих публикаций, нет нормального рейтинга, нет блин ajax'a в 21 веке. Давайте сидеть и боятся потерять поисковый трафик. (Добавление)
и вобще, раз RomAndry сказал что движёк безопасен значит так оно и есть. В следующий раз никогму не скажу как половина форума лешилась акаунтов!
----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.
EuGen
Отправлено: 25 Февраля, 2013 - 18:29:09
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
OrmaJever пишет:
Блин, ну а что гугл? когда-то всё начиналось с нуля и этот форум не исключение, и как-то же поднялся? Помоему главное не гугл, а удачный домен и люди которые помогают, тоесть мы.
Вот в этом Вы очень сильно заблуждаетесь. Потому что сам php.su - ничего не значит без поисковых индексов - это во-первых, а во-вторых - сам ресурс уникален только благодаря тем, кто создавал здесь такие вещи, как уроки, статьи, пользовательские функции. Не в обиду будет сказано - но как Вы можете отвечать за всех пользователей сразу? Это по меньшей мере некорректно.
Поэтому - да, я был за перенос форума хотя бы по той причине, что многие действительно нужные функции отсутствовали. Пусть они появились не все, но они - появились. Работа ведется, несправедливо говорить, что не делается ничего. В настоящий момент идет актуализация самого портала php.su, уверен, с движком вопрос тоже решится. Да, были времена, когда обратная связь отсутствовала почти полностью, но сейчас это не так
Исходя из этого, перенос возможен только вместе с сохранением всего полезного накопленного опыта и знаний. Многие старые темы туда не войдут, такие как сотня копий одного и того же вопроса, но многие уроки, например - это старые темы, потому нельзя просто не переносить все старое.
OrmaJever пишет:
В следующий раз никогму не скажу как половина форума лешилась акаунтов!
Я бы рекомендовал быть более корректным - поскольку это наводит на определенные мысли, и, если бы такое произошло, данные, безусловно, были бы восстановлены из бекапа, а действия виновных определены по логам. Конечно, баг был бы закрыт, но я не уверен, что стоит такой ценой привлекать к себе внимание.
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.