Критическая уязвимость

Даный форум имеет критическую узявимость из-за которой любой пользователь может лишится своего акаунта навсегда. На поиск меня побудил ответ администратора RomAndry на мою прозьбу подумать над сменой движка, вот небольшая цитата

Оказывается ни на столько то он и надёжный
Пишу сюда что бы все видели, и возможно кто-то захочет присоеденится к молодёжному движения "за смену движка на php.su".
RomAndry если вам это вобще интересно, отпишитесь в лс напишу детали уязвимости. хотя зачем оно мне надо, если вам на нас наплевать

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

исправить никак нельзя чтоль??? мне не плевать

-----
То что программа работает, не означает что она написана правильно!

ап! ап! полундрррра!

-----
Шта? Репозиторий?

я в ужасе
(Добавление)
это же не хилый такой геммор, всю базу знаний переносить на новый двиг...

-----
Чем больше узнаю, тем больше я не знаю.

А я их готовых если чесно не вижу лучших вариантв кроме IPBforum, но он платный. Тот-же phpBB - ужас. Установил себе, так теперб 3-10 спам-ботов ломятся в день. А здесь думаю хватит залатать. Все же как сказал DelphinPRO перенос уж слишком трудоемким будет.

Я давно, все известные баги залатал, но 100% уверенности все равно нет, потому интересно все же услышать или увидеть что не так и гда дыра

RomAndry отписался, я написал ему подробности, пусть решает.

Не совсем понял. Я имел ввиду сменить движёк форума.
Вот мне RomAndry сказал что это достаточно сложно, и вот я сижу и думаю в каком моменте тут сложно? Как я понимаю под сменой движка многие предпологают полный перенос базы на новый? Зачем?? Как по моему достаточно поставить новую цмс и перенести туда базу пользователей, да даже если и без пользователей, то мне например не сложно зарегистрироватся заного и начать всё сначал но более приятном форуме! Ну вот согласитесь, зачем переносить всю базу даных со старого форуме? А если не переносить базу что сложного сменить цмс?

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

С другой стороны, здесь найдутся желающие это реально сделать.


В первую очередь он просто популярный. Сделать что-то банальное по сути, но нестандартное для движка - и спама не будет. Т.к. не будут спамеры затачивать робота под конкретную защиту, выгоднее обойти сотню других форумов.

-----
PostgreSQL DBA

т.е. взять и все выкинуть?
гугл не одобряет )
пользователи тоже

-----
Чем больше узнаю, тем больше я не знаю.

Ну как зачем, это все же тоже накопленные знания, много тем где есть ответы на различные темы, и т.д
А с переносом сложность наверно будет в переносе базы данных форума на новую, так как если я не ошибаюсь то этот форум хранит инфу в файлах да?

-----
Так было, так есть и так будет

Что гугл? что пользователи? Из пользователей пострадают пару человек которые пришли на форум недавно и создали тему, да их темы пропадут, но я уверен когда увидят что тут всё поменялось создадут снова и особо не обидятся, для тех кто уже зарегистрирован давно можно за неделю иди две зделать анонс смены форума.
Блин, ну а что гугл? когда-то всё начиналось с нуля и этот форум не исключение, и как-то же поднялся? Помоему главное не гугл, а удачный домен и люди которые помогают, тоесть мы.
(Добавление)

И блин скажи мне кто этими накоплеными знаниями пользуется? Почему тогда создают по 2-3 темы с одним и тем же вопросом который уже 100 раз обсуждался на форуме.
Вернитесь в реальность, в старые темы почти не кто не заглядывает, это только 1% людей которые попадют туда с гугла ито я уверен что они там ответа не находят или не понимают и всеровно создают тему!
(Добавление)
На новом форуме можно переписать/ужесточить правила, создать прикреплёные темы на самые часто обсуждаемые вопросы, пересмотреть/перенести уроки и прочее, это займёт неделю, но зато потом же жить станет легче и приятнее.

(Отредактировано автором: 25 Февраля, 2013 - 18:21:31)

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

Пострадают сотни, которые будут натыкаться на 404 при переходе из гугла первое время, пока выдача старая будет. Пострадает форум, который лишиться поискового трафика. Пострадаю я, потому что скучным зимним вечером, мне некому будет ответить на вопрос В общем, это не так просто, взять и сменить двиг. И перенос данных здесь не самая сложная проблема.

Стесняюсь спросить, DeepVarvar, а чем закончилась ваша разработка движка? Допилили и не нужен, или просто забили?

-----
Чем больше узнаю, тем больше я не знаю.

Все дело в поисковиках, которые уже проиндексили все страницы. Это упадет тиц и прочая пурга.

А так да - мне тоже не в лом зарегиться заново и начать все сначала.
Правда предвижу ситуации когда петя зарегистрируется васей и вася будет кричать и доказывать что это он вася, а не тот петя который им представляется.

Поэтому перенос пользаков всеже нужен.

-----
Шта? Репозиторий?

ну ладно, давайте тогда сидеть и радоватся полурабочему форуму. Ссылки тут неработают уже хрен пойми сколько, с недавна перестал работать тег [f ]*[/f], нету просмотра своих публикаций, нет нормального рейтинга, нет блин ajax'a в 21 веке. Давайте сидеть и боятся потерять поисковый трафик.
(Добавление)
и вобще, раз RomAndry сказал что движёк безопасен значит так оно и есть. В следующий раз никогму не скажу как половина форума лешилась акаунтов!

(Отредактировано автором: 25 Февраля, 2013 - 18:29:17)

-----
Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

Вот в этом Вы очень сильно заблуждаетесь. Потому что сам php.su - ничего не значит без поисковых индексов - это во-первых, а во-вторых - сам ресурс уникален только благодаря тем, кто создавал здесь такие вещи, как уроки, статьи, пользовательские функции. Не в обиду будет сказано - но как Вы можете отвечать за всех пользователей сразу? Это по меньшей мере некорректно.
Поэтому - да, я был за перенос форума хотя бы по той причине, что многие действительно нужные функции отсутствовали. Пусть они появились не все, но они - появились. Работа ведется, несправедливо говорить, что не делается ничего. В настоящий момент идет актуализация самого портала php.su, уверен, с движком вопрос тоже решится. Да, были времена, когда обратная связь отсутствовала почти полностью, но сейчас это не так
Исходя из этого, перенос возможен только вместе с сохранением всего полезного накопленного опыта и знаний. Многие старые темы туда не войдут, такие как сотня копий одного и того же вопроса, но многие уроки, например - это старые темы, потому нельзя просто не переносить все старое.

Я бы рекомендовал быть более корректным - поскольку это наводит на определенные мысли, и, если бы такое произошло, данные, безусловно, были бы восстановлены из бекапа, а действия виновных определены по логам. Конечно, баг был бы закрыт, но я не уверен, что стоит такой ценой привлекать к себе внимание.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.