The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от opennews on 05-Фев-09, 15:32 
Сообщается (http://area51.phpbb.com/phpBB/viewtopic.php?f=71&t=29973) о взломе инфраструктуры проекта phpBB (http://phpbb.com/), сайт которого остается заблокированным с воскресенья. Используя брешь в безопасности модуля PHPList (http://www.phplist.com/) злоумышленникам удалось перехватить базу в 400 тысяч аккаунтов пользователей форума. Атаковавшим удалось (http://www.theregister.co.uk/2009/02/04/phpbb_breach/) восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликовали в сети, вместе адресами электронной почты и персональными данными пользователей.

Команда разработчиков сообщает, что в самом коде форума phpBB неисправленные уязвимости отсутствуют и проблема касается только приложения PHPList, используемого в проекте для работы с почтовой рассылкой.

URL: http://www.theregister.co.uk/2009/02/04/phpbb_breach/
Новость: https://www.opennet.ru/opennews/art.shtml?num=20129

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 15:44 
Мдя. Просто удивительно, что за столько лет авторы phpBB так и не научились программировать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от аноним on 05-Фев-09, 16:02 
>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>научились программировать.

да уж. и до сих пор "защищают" пароли MD5

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 05-Фев-09, 19:33 
>да уж. и до сих пор "защищают" пароли MD5

А вы так вот запросто научились из md5 пароли восстанавливать?Нет, md5-ому конечно досталось, но слом нетривиальных паролей даже зная хэш до сих пор представляет из себя некоторую проблему.Или я что-то пропустил?Про радужные таблицы - знаю, но для длинного сложного пароля их размер быстро достигает нереальных величин.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

50. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от parad (ok) on 05-Фев-09, 22:06 
дина пароля не важна - тк длина хеша фиксирована. востановить можно и не тот пароль, но подходить он будет.
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

58. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 05-Фев-09, 23:43 
>востановить можно и не тот пароль, но подходить он будет.

В теории это возможно, при том - с любым алгоритмом хэшироавния т.е. если найдется коллизия.И ежу понятно что если длина пароля более длины хэша - среди них гарантированно существует более одного пароля дающих одинаковые хэши.

На практике - а это за *разумный* срок реально вообще?Собственно у криптографов требование простое как топор в этом плане - коллизию должно быть трудно найти и для этого должен требоваться перебор сравнимый с полным перебором всех значений хэша (что конечно же нереально - даже 2^128 значений перебрать на практике по сути нереально).Есть ли для md5 алгоритмы вычисляющие подходящий пароль для данного хэша за разумное время?

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

68. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от simonvu.spb.ru on 06-Фев-09, 10:08 

>На практике - а это за *разумный* срок реально вообще?Собственно у криптографов
>требование простое как топор в этом плане - коллизию должно быть
>трудно найти и для этого должен требоваться перебор сравнимый с полным
>перебором всех значений хэша (что конечно же нереально - даже 2^128
>значений перебрать на практике по сути нереально).Есть ли для md5 алгоритмы
>вычисляющие подходящий пароль для данного хэша за разумное время?

на практике никто не вычисляет. Есть база данных в интернете с коллекцие md5 хэшей. Так что проверьте md5 хэши своих паролей на наличие в базе данных.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

94. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 07-Фев-09, 13:33 
>на практике никто не вычисляет. Есть база данных в интернете с коллекцие
>md5 хэшей.

Ну, это скорее всего просто словарная атака, помогает только против простых паролей а вот пароли типа Dv3Nc:\&5tG7cJ таким манером не восстановишь (нет такого слова).А база на 2^128 значений (все возможные md5) будет весить мягко говоря невъ...нно и ни на какой жесткий диск не уместится.

>Так что проверьте md5 хэши своих паролей на наличие в базе данных.

Вы забыли сущую фигню - пруфлинк с этой базой.Хотя собссно сгенерить по словарю дело нехитрое, но опять же - поможет только против простых паролей.Rainbow tables помогают и против более сложных, но они с ростом длины и сложности пароля тоже начинают весить невъ...нно.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

114. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от kost BebiX email on 09-Фев-09, 14:02 
>Ну, это скорее всего просто словарная атака, помогает только против простых паролей
>а вот пароли типа Dv3Nc:\&5tG7cJ таким манером не восстановишь (нет такого
>слова).А база на 2^128 значений (все возможные md5) будет весить мягко
>говоря невъ...нно и ни на какой жесткий диск не уместится.

Поэтому нормальные люди делают перед md5 примерно такое:
$pass = 'фыва' . $pass; // (а лучше чуточку посложнее выбрать фразу)

Тогда если даже базу с хэщами достанут, а код - нет, по словарю врят ли подберут хоть один пароль, а длинна каждого будет на несколько символов больше, так что перебором не покатит.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

122. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от roveek on 11-Фев-09, 11:43 
Не надо рассчитывать на то, что код не достанут :)

Просто комбинировать широкодоступные средства, например:
update users
set password=sha1(md5('password'))
where id=12345

Комбинации и длинна цепочки sha1-md5 любая, если кто-то рассчитывается, что до кода не доберутся, то это будет доп. уровень защиты.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

125. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 18-Фев-09, 17:49 
>set password=sha1(md5('password'))

Кстати вполне себе вариант.Единственное что мне не очень нравится идея раздувать 128 битный md5 до 160 (если не вру) битов sha1, но это скорее всего уже эстетство: общая сложность против брутфорса у такой конструкции будет все-таки порядка 2^128 (число всех возможных вариантов на выходе MD5) а вовсе не 2^160 (что вы там не делайте а 128 битов результата md5 до 160 ну никак не распухнут - 128-битное пространство реденько размажется отдельными точками по 160-битному).А вот хэш при хранении будет жрать уже 160 битов, что не есть эффективно (получили что надо хранить 160 битов результата а в плане перебора они будут стойки лишь как 128 битов, как я понимаю).Сам перебор ессно несколько притормозится из-за двойного хэширования + готовые таблицы хаксорам не помогут, это разумеется гут.

Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

69. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от simonvu.spb.ru on 06-Фев-09, 10:10 
а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз увеличивается
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

72. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Щекн Итрч (ok) on 06-Фев-09, 11:17 
>а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз
>увеличивается

У меня "уязвимая" версия PHPList, ниуа этот эксплойт против установки "из коробки" не действует - нечего тырить. Атака состоялась только потому, что админ PHPbb щедро разложил неисполнимые файлы с данными по директориям проекта.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

95. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 07-Фев-09, 14:15 
>а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз
>увеличивается

Хоть на кластере из cell, 2^128 значений в любом случае заколебетесь перебирать.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

38. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 19:39 
>да уж. и до сих пор "защищают" пароли MD5

Ну наверное, и ежу понятно, что не колизии MD5 были задействованны, а радужные базы, а им пофиг какой алгоритм.

Радужные базы применимы только к паролям до 8 символов, больше у вас тупо место не хватит их генерить и хранить, и времени (если конечно у вас под кроватью не прячется пентафлопавый кластер). Судя по количеству опубликованных паролей, база была символов на 6 не больше.

Ну и защитничкам PHPBB, уязвимосетей там навалом, что во второй, что в третей версии, проблема системная от убогости проектирования PHP и патчами ее не закрыть, если кажый разработчик остается один на один с SQL-injection, XSS и т.п. и фильтрует ввод своими силами, да еще и в функциях PHP используемых при фильтрации уязвимости (htmlspecialchars к примеру) --- дырки в веб-приложениях PHP неизбежность.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

66. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Kaiser (ok) on 06-Фев-09, 06:37 
>Ну и защитничкам PHPBB, уязвимосетей там навалом, что во второй, что в
>третей версии, проблема системная от убогости проектирования PHP и патчами ее
>не закрыть, если кажый разработчик остается один на один с SQL-injection,
>XSS и т.п. и фильтрует ввод своими силами, да еще и
>в функциях PHP используемых при фильтрации уязвимости (htmlspecialchars к примеру) ---
>дырки в веб-приложениях PHP неизбежность.

PHP - не лучший язык, но не все так плохо. Для взаимодействия с базами данных используется PDO, который сам экранирует символы и защищает от SQL-injection, к примеру.

А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же базу данных пользователей не уводят.

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

100. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 07-Фев-09, 20:44 
>А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же базу данных пользователей не уводят.

А слабо по гуглю сделать запрос "mediawiki уязвимость" ?

Если вы про википедию, то прокси к веб-серверу типа mod_security конечно пока ее еще спасает, но это ведь не прибавляет достоинств php.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

104. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 08-Фев-09, 17:52 
>[оверквотинг удален]
>>XSS и т.п. и фильтрует ввод своими силами, да еще и
>>в функциях PHP используемых при фильтрации уязвимости (htmlspecialchars к примеру) ---
>>дырки в веб-приложениях PHP неизбежность.
>
>PHP - не лучший язык, но не все так плохо. Для взаимодействия
>с базами данных используется PDO, который сам экранирует символы и защищает
>от SQL-injection, к примеру.
>
>А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же
>базу данных пользователей не уводят.

Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков вбухано в этот сайт).
И вы по прежнему считаете PHP досточно безопасным для использования? А сайт общественной палаты по вашему писали быдлокодеры

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

105. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Kaiser (ok) on 08-Фев-09, 18:27 
> Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков
> вбухано в этот сайт).

В случае гос заказа (так же во многих других случаях) я не считаю бабло показателем качества.

> И вы по прежнему считаете PHP досточно безопасным для использования?

Я вообще считаю PHP достаточно безопасным для использования. Хотя предпочитаю java и python. Просто использование PHP может быть экономически более оправданным.

С PHP у меня было много плохого опыта. Но тем не менее, некоторые проекты на python по качеству были гораздо хуже некоторых проектов на PHP.

> А сайт общественной палаты по вашему писали быдлокодеры.

Я вообще верю в нашу партию и правительство. И обсуждать подобные вещи не желаю.


Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

106. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 08-Фев-09, 20:17 
>Просто использование PHP может быть экономически более оправданным.

А вот это уже интересно, покажите как оно дешевле, в смысле дешевых пхп-кодеров больше или что-то иное?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

108. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Kaiser (ok) on 08-Фев-09, 20:37 
>>Просто использование PHP может быть экономически более оправданным.
>А вот это уже интересно, покажите как оно дешевле, в смысле дешевых
>пхп-кодеров больше или что-то иное?

Скорее не дешевые, а проще найти. Уже есть наработки на php (как свои, так и сторонние). При других условиях то же самое может относиться и к python.


Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

107. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Я (??) on 08-Фев-09, 20:29 
>С PHP у меня было много плохого опыта. Но тем не менее,
>некоторые проекты на python по качеству были гораздо хуже некоторых проектов
>на PHP.

Чой-то не верится  про "некоторые проекты", да и не говорят так веб-проект на python, обычно на джанге, вебпи и т.п.


>> А сайт общественной палаты по вашему писали быдлокодеры.
>
>Я вообще верю в нашу партию и правительство. И обсуждать подобные вещи
>не желаю.

Вы тоже из Хайфы?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

109. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Kaiser (ok) on 08-Фев-09, 20:38 
> Чой-то не верится  про "некоторые проекты", да и не говорят так
> веб-проект на python, обычно на джанге, вебпи и т.п.

А почему не говорят? Тем более, что не вебом единым.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

115. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 09-Фев-09, 22:17 
>А почему не говорят?

Ну не cgi же вы использовали, а фреймворки уж больно разные, чтобы выделять язык поэтому и не говорят.

>Тем более, что не вебом единым.

Ну мы за веб говорим какбэ.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

111. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от ntimmy email(??) on 09-Фев-09, 09:45 
>[оверквотинг удален]
>>с базами данных используется PDO, который сам экранирует символы и защищает
>>от SQL-injection, к примеру.
>>
>>А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же
>>базу данных пользователей не уводят.
>
>Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков вбухано в
>этот сайт).
>И вы по прежнему считаете PHP досточно безопасным для использования? А сайт
>общественной палаты по вашему писали быдлокодеры

Предположу по сайту писали студенты за степендию и зачет. А бабки списали на контору которая якобы писала этот сайт. Потом поделили чтобы никому не было обидно. Известная схема.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

123. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 18-Фев-09, 16:54 
>Ну и защитничкам PHPBB, уязвимосетей там навалом, что во второй, что в
>третей версии,

Пруфлинк для третьей версии не затруднит?На что-нибудь свежее и злое.А то сколько ни смотрю на phpbb3 - ну не вижу я чтоб именно сам этот bb ломали.Не вижу серьезных дыр.Где?Пруф будет?

>проблема системная от убогости проектирования PHP

Да-да, все пи...сы, а вот анонимный трус наверное как всегда - Д`Артаньян.Старая песня.Боян!Кстати почему-то ломают все и на любых языках.

>и патчами ее не закрыть,

Да, каждая швабра и быдлокодер метят в архитекты.Проблема только в том что такие как вы ничего лучше наархитектить не способны.И более того - неужто так трудно понять что идиотов НИКАКОЙ язык программирования не спасет?На выбор: или тупо ничего нельзя (как в JavaScript например) или идиоты стреляют себе в пятки потому что это - можно.

>если кажый разработчик остается один на один с SQL-injection,

Вопрос: как это относится к PHP?Или на других языках SQL-injection запрещен законодательно?

>XSS и т.п.

А оно как от PHP зависит или от phpbb?Оный тип уязвимости вообще к php - никаким боком.Это весьма общий тип уязвимости веб-сайтов и там в принципе пофиг на чем сайт сделан - атака на браузер направлена а не на server-side.

>и фильтрует ввод своими силами,

Прикиньте, а доверять вводу юзера или надеяться что за вас его отфильтруют умные дяди - порочная практика.

>дырки в веб-приложениях PHP неизбежность.

Более того, дырки в *любых* *других* приложениях написанных на *чем* *угодно* - тоже неизбежность.Потому что идиотов много и к тому же людям свойственно ошибаться.И далеко не факт что PHP в этом плане хучший.Вот когда (и если) что-то еще будут юзать настолько же широко - мы посмотрим как у оного будет с дырками и сравним.Просто, правда?

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

9. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от RageLT (??) on 05-Фев-09, 16:10 
>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>научились программировать.

Причём тут авторы phpBB? Написано же phplist.
Да были времена когда phpbb была сплошной дырой, но это прошлый век. сейчас же это достойный продукт, среди опенсорса.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

13. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 16:28 
Michiel Dethmers, автор PHPlist по совместительству является разработчиком PHPbb.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

59. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (ok) on 05-Фев-09, 23:49 
>>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>>научились программировать.
>
>Причём тут авторы phpBB? Написано же phplist.
>Да были времена когда phpbb была сплошной дырой, но это прошлый век.
>сейчас же это достойный продукт, среди опенсорса.

Хахаха, умные разработчики пхпбб без всякой проверки используют любой софт, который им подсунут. Даже если он написан прямо в GET-запросе. =)))

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 05-Фев-09, 17:29 
>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>научились программировать.

А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то и не видно.Похоже они неплохо учатся на своих ошибках и не только (phpbb2 и правда был дырявый).

А когда у вас будет 400 000 аккаунтов при том не дутиков а реально живых и нтересных - посмотрим как вы справитесь с защитой от хакеров.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

39. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 19:46 
>А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то и не видно.Похоже они неплохо учатся на своих ошибках и не только (phpbb2 и правда был дырявый).

А можно я за него отвечу.

Из избраного:

http://milw0rm.com/exploits/7386

Из вчерашнего:

http://milw0rm.com/exploits/7980

На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

92. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Oles email on 07-Фев-09, 12:57 
>На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра.

У тебя "PHP" == "PHPBB" приравнивается в true, а вот это не просто дыра, а диагноз куда покруче.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

98. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 07-Фев-09, 19:57 
>У тебя "PHP" == "PHPBB" приравнивается в true, а вот это не просто дыра, а диагноз куда покруче.

А какая разница пэхапэбиби это или джумла или еще что-нибудь на пэхапэ, дырявые они все, понимаешь? Нет в пэхапэ защиты никакой, и каждый разработчик один на один с граблей, на которую обязательно наступит да не по разу.

А нести бредоносные речи, что мол все зависит от программиста, его отпыта и интелекта --- да херня все это.

Одних только классифицируемых разновидностей уязвимостей для веба насчитывается более двух тысяч --- все предусмотреть невозможно.

Это как по миному полю бегать, добежал --- удача, навернулся --- закономерность.

А не видеть это и отстаивать очевидную глупость, это действительно диагноз.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

126. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 18-Фев-09, 18:18 
> А какая разница пэхапэбиби это или джумла

Вот для этих двух пруфлинки на чтонить серьезное плиз.И не надо на левые сторонние моды, модули, аддоны, хреноны и прочая.Пруфлинки давайте.На дырки в самих этих проектах, в стоковом варианте.Чтобы вот из коробки поставили жумлу или пыхбб и тут фигакс - и сплойт на это дело.Ну хоть sql-инжекшн.Лучше пхп-инжекшн (это правда уже совсем мечты).Лажа типа XSS менее интересна.

>или еще что-нибудь на пэхапэ, дырявые они все, понимаешь?

Не понимаю.Пруфлинки где?Анонимнй лох выложил вон "пруфлинки".Как оказалось - на какой-то левак - один сплойт на какой-то мод а второй на какой-то бук для пыхбб.Да, каким-то боком оно относится к пхпбб но это не собственно стоковый пхпбб.Позорники, бэть.

>Нет в пэхапэ защиты никакой,

Ну вообще-то пыхбб3 аудитили код у конторы занимающейся этим.И им это явно помогло - заметьте, дыр в собственно *пыхбб 3* что-то не видно.Особенно злых и страшных.Я помню что было в пыхбб 2.А в пыхбб 3 такого почему-то нет.Видимо, они умеют учиться на ошибках?

>и каждый разработчик один на один с граблей, на которую обязательно наступит
>да не по разу.

Как ни странно это будет случаться со всеми и на любом языке программирования.

> А нести бредоносные речи, что мол все зависит от программиста, его
>отпыта и интелекта --- да херня все это.

Хаха, а вы надеетесь что язык программирования будет думать за программиста и не даст ему выстрелить в пятку?Так не бывает.Бывает или так что нифига нельзя как в жаваскрипте или уж извините идиоты всегда найдут где лохануться.Какой бы там язык ни был а дурак всегда легко и не специально изобретет конструкцию обходящую все проверки от дураков и стреляющую себе в пятку как-то по тупому.

>--- все предусмотреть невозможно.

Жить вообще страшно, от этого умирают...

> Это как по миному полю бегать, добежал --- удача, навернулся ---
>закономерность.

Зависит от густоты расположения мин.А то если на двух гектарах три мины зарыто - это конечно минное поле.Но формулировка будет иная: добежал - закономерность.Навернулся?Неудача!

> А не видеть это и отстаивать очевидную глупость, это действительно диагноз.

Да, столь категоричные заявы и правда диагноз.Скажите, а почему юзеры например легко и довольно часто ломают провайдерские и операторские биллинги и подобные системы?Чисто на логических ошибках в их работе и при этом обычно юзеры вообще не знают на чем оно там написано?Это не отменяет влета обладателя биллинга после обнаружения бага на круглую сумму когда баг "идет по рукам" и легионы юзерья мило кидают своего провайдера\оператора.При том обычно пострадавший влетает куда сильнее чем при любом sql-инжекшне.И что характерно - тупые баги были, есть и дальше будут даже у очень крупных контор :)

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

124. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 18-Фев-09, 17:31 
>Из избраного:
>http://milw0rm.com/exploits/7386

Это чо, оно требует какой-то левый мод пыхпббы?В сад.Или даже в зад.Вы стоковый пыхпыхбыбы сломайте а не какую-то левую хрень.Вот это будет круто и злобно.А так - в сад.

>Из вчерашнего:
>http://milw0rm.com/exploits/7980

Вы, простите, читать умеете?Там написано: App   => PHPbbBook 1.3
Это похоже на сам phpbb?Нет?Тогда, похоже на то что перед нами очередной анонимный тупень.

>На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра.

Для дебилов повторяю: дырку в *стоковом* *phpbb* а не левых модах и аддонах покажите плиз?Мне не интересны дыры в каком-то левом говне как-то боком относящимся к пыхбб.Мне интересно про дыры в самом пыхбб.Третьем.Я его участь мониторю и пока что-то не углядел там каких-то крутых и злобных дыр.В самом пыхбб версии 3.

Кстати еще раз повторяюсь: любой достаточно фичастый язык программирования при тупняке програмеров - дыра!Единственный метод запретить идиотам палить себе в пятки - отобрать у них пистолет.То есть, функционал языка.Получится жаваскрипт.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

60. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (ok) on 05-Фев-09, 23:51 
> Похоже они неплохо учатся на своих ошибках

Для начала обычно умные люди учатся на чужих ошибках: читают маны и факи по безопасности, уж тем более ПХП, про который столько всего понаписано и про SQL-injection, и про include любого файла...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

70. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Щекн Итрч (ok) on 06-Фев-09, 11:04 
>>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>>научились программировать.
>
>А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который
>они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то
>и не видно.

"Зеродей" - ведомо вам такое понятие? :)
У меня есть мой личный зеродей против одного недруга :)
Но вы о нем ничего не услышите :) Пока он не выстрелит :)
Если только не купите, конечно :) Сумма сделки и вас тоже заставит помалкивать :)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

80. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от AntiDot on 06-Фев-09, 16:06 
>[оверквотинг удален]
>>А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который
>>они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то
>>и не видно.
>
>"Зеродей" - ведомо вам такое понятие? :)
>У меня есть мой личный зеродей против одного недруга :)
>Но вы о нем ничего не услышите :) Пока он не выстрелит
>:)
>Если только не купите, конечно :) Сумма сделки и вас тоже заставит
>помалкивать :)

"У нас есть такие приборы, но мы вам про них не раскажем!" (С) Манго-Манго
Как говорят в инете - кол-во смайликов обратно пропорционально возрасту писавшего.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

91. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Oles email on 07-Фев-09, 12:54 
>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
>научились программировать.

Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую простую вещь как эту новость на пару параграфов. Ты, кулхакер, хоть понял о чём тут вообще говорится?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

96. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 07-Фев-09, 19:31 
>Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую простую вещь как эту новость на пару параграфов. Ты, кулхакер, хоть понял о чём тут вообще говорится?

Тут говорится, что PHP это сплошная дырка в безопасности.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

97. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Oles email on 07-Фев-09, 19:41 
>Тут говорится, что PHP это сплошная дырка в безопасности.

Молодца! Так скоро индуские программеры превысят по IQ местных. В этой новости даже слово "php" ни разу небыло употреблено.


Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

99. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 07-Фев-09, 20:26 
>Молодца! Так скоро индуские программеры превысят по IQ местных. В этой новости даже слово "php" ни разу небыло употреблено.

Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только мы с тобой об этом знаем, ты никому не рассказывай.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

101. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Oles email on 07-Фев-09, 21:12 
>Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только
>мы с тобой об этом знаем, ты никому не рассказывай.

И? Я могу сделать говно на любом языке, было бы желание.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

11. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 16:19 
Надеюсь тех уродов найдут и посадят
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от wertik (ok) on 05-Фев-09, 16:27 
>Надеюсь тех уродов найдут и посадят

ЭЭ а вот этого не надо , благодаря этим уродам как вы говорите, они показывают слабые стороны того или иного программного продукта.
Не все можно выведать при покупке...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 16:31 
Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не так ли?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от wertik (ok) on 05-Фев-09, 16:34 
>Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не
>так ли?

Кто на что горазд.

Не вижу разницы.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 05-Фев-09, 19:09 
>Не вижу разницы.

Зато я вижу.Порядочный хакер найдя дыру вообще-то сообщает админу и только потом, когда ее починят - ALLу. И делает это из интереса к устройству системы, изучая слабые места. А не для того чтобы базу на 400k юзеров умыкнуть. Сракеры всякие по которым тюрьма плачет - ровно наоборот: тырят все что можно и разводят срач, никому ничего не сообщая. Вот таких сажать явно не лишне. Геморрой 400 000 пиплов - хороший повод упечь в кутузку. Минимум годков на 5, чтобы было время подумать над поведением. А при рецидиве такой деструктивной и общественно опасной деятельности вообще лет 20 нафиг впаивать, без права юзать даже калькулятор.Чтобы реально так пронимало.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

47. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от ы 0 on 05-Фев-09, 21:15 
Ага, даём вам 30 секунд - мы благородные пираты.

ИМХО так - даже хуже.
Пока пользователи не поймут, ПОЧЕМУ им важны некие эфемерные инклюдинги, хэш-алгоритмы, и прочие умно-шаманские слова, они будут оставаться в неведении.
Ложное чувство безопасности опаснее похищенного пароля от форума.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от cray (??) on 05-Фев-09, 22:04 
>Минимум годков на 5

)) к примеру, найду тебя или того кто тебе дорого, и совершу "убийство без отягчающих обстоятельствах".. Отсижу 8 лет, а паренёк этот столько же.. Это справедливо?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

57. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (??) on 05-Фев-09, 23:35 
Может вообще сажать разработчиков за то, что не умеют программить и оставляют дыры?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

30. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от spamtrap (ok) on 05-Фев-09, 18:36 
>Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не
>так ли?

а скольким пользователям ихнего сайта это доставило страдания? поделитесь информацией?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

53. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от cray (??) on 05-Фев-09, 22:38 
и какой тяжести еще.. плюс пригласить психолога чтоб провел психоанализ со всеми 400 000 душ.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

15. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Aleksey (??) on 05-Фев-09, 16:33 
А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к. вам показали все недостатки вашей двери.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

17. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от wertik (ok) on 05-Фев-09, 16:38 
>А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
>вам показали все недостатки вашей двери.

Вы не путайте, а то еще про солонку щас баян припомню.

IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными пользователями

на том ресурсе ,на добровольной основе. А не на коммерческой основе.


Дальше мысль развивать я думаю не стоит?)))

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Sem email(ok) on 05-Фев-09, 16:54 
Какая разница?

Если вам так угодно, пусть это будет не квартира, а ваш домик, построенный из срубленного вами дерева. Это повод его взламывать? Даже если у вас нет опыта в строительстве и домик получился кривоватым, это не оправдание грабителям.

Аналогия вполне достойная. Вор должен сидеть.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от wertik (ok) on 05-Фев-09, 17:02 
>Какая разница?
>
>Если вам так угодно, пусть это будет не квартира, а ваш домик,
>построенный из срубленного вами дерева. Это повод его взламывать? Даже если
>у вас нет опыта в строительстве и домик получился кривоватым, это
>не оправдание грабителям.
>
>Аналогия вполне достойная. Вор должен сидеть.

В таком случае начинайте с низа.
Ответственность с производителей жестких дисков выбивайте о нормальной сохранности данных.
Так же с windows.
Так же с linux.
Так же с производителей иного ПО.
Нет тут никакой аналогии.
если на данных уровнях ответственности нет, то почему воры ?
Где аналогия?
ЖКХ и иное сюда не приписывайте.

p.s не было бы воров, не было бы и соответствующих структур.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от Аноним (??) on 05-Фев-09, 18:38 
Аналогия неуместна, все эти производители предупреждают пользователя заранее в лицензии.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

81. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от none (??) on 06-Фев-09, 17:25 
>Аналогия неуместна, все эти производители предупреждают пользователя заранее в лицензии.

а когда ты дверь покупал себе в квартиру там тоже был такой пунктик?: "вы используете эту железную дверь (далее просто изделие) на свой страх и риск, фирма производитель ответственности за качество данного изделия ответственности не несет"

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

113. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от Abstractioneer on 09-Фев-09, 12:33 
>>Аналогия неуместна, все эти производители предупреждают пользователя заранее в лицензии.
>
>а когда ты дверь покупал себе в квартиру там тоже был такой
>пунктик?: "вы используете эту железную дверь (далее просто изделие) на свой
>страх и риск, фирма производитель ответственности за качество данного изделия ответственности
>не несет"

То есть, если дверь взломали - садить не воров, а тех, кто дверь сделал? ;)

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

56. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Вася (??) on 05-Фев-09, 23:20 
>Какая разница?
>
>Если вам так угодно, пусть это будет не квартира, а ваш домик,
>построенный из срубленного вами дерева. Это повод его взламывать? Даже если
>у вас нет опыта в строительстве и домик получился кривоватым, это
>не оправдание грабителям.
>
>Аналогия вполне достойная. Вор должен сидеть.

А если он в домик залез, посмотрел ТВ, полистал журналы, скопировал из свежего плейбоя мисс январь на фотик в сотовом и ушел. Его тоже надо посадить?
Ну украли какие-то аккаунты и что? Надо смотреть был ли ущерб, был ли злой умысел, а потом уже пыхтеть и доказывать что вор должен сидеть в тюрьме. Если такой правильный, то к любому так можно дое**ться и посадить.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

73. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 12:37 
Разумеется. Нарушена неприкосновенность жилища.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

88. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от GoSha on 07-Фев-09, 11:02 
Не надо лезть своими грязными руками другому в штаны, даже если он забыл застегнуть шириньку. Вы немного путаете мораль с детской игрой "казаки-разбойники".
Чужое не трож!!! Даже если оно лежит на пороге дома владельца совсем без какого либо присмотра. А то по вашему, я на рынке отвернулся, а добрый хацкер сумел в это время залезть ко мне в сумку и вытащить кошелёк. Хацкеру премию за проворливость.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

36. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от User294 (??) on 05-Фев-09, 19:13 
>IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными
>пользователями

Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки у меня говно - я и не подумаю заявлять в милицию, даже вознаграждение дам за рассказ чего-то того чего я сам не знал.А вот если кто простите вломится в квартиру и пошарится там сперев чего-то - пусть пеняет на себя.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

89. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от GoSha on 07-Фев-09, 11:05 
>>IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными
>>пользователями
>
>Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки
>у меня говно - я и не подумаю заявлять в милицию,
>даже вознаграждение дам за рассказ чего-то того чего я сам не
>знал.А вот если кто простите вломится в квартиру и пошарится там
>сперев чего-то - пусть пеняет на себя.

Правильная мысль, особенно если учесть тот факт, что для профи любой замок открыть не проблема. Так что юноши, умерьте свой задор и научитесь жить не залазив в форточку когда хозяина дома нет.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

110. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 08-Фев-09, 21:57 
>А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
>вам показали все недостатки вашей двери.

))))))

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

112. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от wertik (ok) on 09-Фев-09, 11:50 
>А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
>вам показали все недостатки вашей двери.

А можно не путать , реальную жизнь и виртуальную. ?

Тем более имея такой бардак относительно IT вообще в законодательстве.

Ну подумаешь быдло сайтик поломали какой то.

Сохранность данных насколько я понимаю , никто не гарантировал им при регистрации.

Вы еще в столовую жалобу напишите . То что солонка у них уязвимость содержит и в неё можно

йад насыпать. С просьбой пофиксить.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

93. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Oles email on 07-Фев-09, 12:59 
Правильно, для того, чтоб показать что нож - оружие, нужно перерезать не менее 10000 красноглазиков. А то вдруг одного не хватит?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Guest (??) on 05-Фев-09, 16:58 
>Надеюсь тех уродов найдут и посадят

А зачем их искать? Помоему список разработчиков phpBB известен.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от geekkoo (ok) on 05-Фев-09, 17:04 
У них у всех израильское гражданство ;) А там своих не выдают ...
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от i (??) on 05-Фев-09, 17:27 
>Надеюсь тех уродов найдут и посадят

надеюсь что не найдут, вы наверно хотите чтоб все были белые и пушистые и пусть про дырки в ПО никто не знает

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

27. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от Aleksey (??) on 05-Фев-09, 18:27 
Сообщить о баге - это не одно и тоже с тем, чтобы его использовать. Если для вас сообщение об урагане и сам ураган - одно и тоже, то я вас расстрою - в жизни обычно это разные понятия.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

54. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от darkk email on 05-Фев-09, 22:49 
Я не знаю, насколько авторы phpBB адекватны, но иногда подобный способ — единственный доступный вариант привлечения внимания авторов к исправлению уязвимости.
Не надо далеко ходить — в соседнем топике писали про "war-driving" для RFID-паспортов.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Unknown (??) on 05-Фев-09, 20:55 
>Надеюсь тех уродов найдут и посадят

Мне кажется, мистер, из-за таких как вы уже практикуется фильтрация трафика по контенту у некоторых провайдеров. Вы надеюсь конфиденциальные данные не пересылаете через бесплатные почтовые сервисы, типа mail.ru etc.?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

76. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Touch (ok) on 06-Фев-09, 14:14 
>Надеюсь тех уродов найдут и посадят

Думаю слишком сурово, а вот штраф на пару десятков косых в самый раз =)

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

18. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 16:48 
Зачем там вообще регистрация?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Теперь при регистрации"  +/
Сообщение от Андрей К. email on 05-Фев-09, 18:05 
Теперь при регистрации под открытыми/бесплатными движками помимо заверения о содержании личных данных в тайне, появятся слова, что инфа может быть спёрта, и никто за это отвечать не будет.

* * *
Только после такого осознаешь обратную сторону GPL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Теперь при регистрации"  +/
Сообщение от WhiteWind (ok) on 05-Фев-09, 18:27 
А при чём здесь GPL?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

33. "Теперь при регистрации"  +/
Сообщение от bsdaemon (??) on 05-Фев-09, 18:57 
>Теперь при регистрации под открытыми/бесплатными движками помимо заверения о содержании личных данных
>в тайне, появятся слова, что инфа может быть спёрта, и никто
>за это отвечать не будет.
>
>* * *
>Только после такого осознаешь обратную сторону GPL.

при чем тут GPL?! Кража данных она везде кража, включая банковские счета (т.е. реальные деньги, можно считать имущество) будь то GPL, LGPL, EULA, etc. Разве что только к BSD лицензии это не относится - так как они добровольно отдают. Об уязвимости можно и нужно сообщать создателям/владельцам сайта, программы и т.д. но не воруя ничего. Создатель/владелец захочет и (или)сможет отблагодарит, если нет - спасибо тоже неплохо.
В этом имхо и состоит разница между хакерами (разбирают ради любопытства и прогресса) и крэкерами (разбирают ради наживы и/или денег)

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Теперь при регистрации"  +/
Сообщение от Unknown (??) on 05-Фев-09, 21:09 

>* * *
>Только после такого осознаешь обратную сторону GPL.

вы лучше eula от Microsoft почитайте. Или у других разработчиков закрытого ПО.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

63. "Теперь при регистрации"  +/
Сообщение от vitek (??) on 06-Фев-09, 01:20 
только после того как родишься осознаешь, что мир - дерьмо.

а при чем здесь gpl?... или даже eula?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

26. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от srgaz on 05-Фев-09, 18:22 
>Только после такого осознаешь обратную сторону GPL.

Вообще если у вас сопрут с ISS то вам скажут-- что, вы сами виноваты.  

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от spamtrap (ok) on 05-Фев-09, 18:38 
>>Только после такого осознаешь обратную сторону GPL.
>
>Вообще если у вас сопрут с ISS то вам скажут-- что, вы
>сами виноваты.

идиоты, которые скажут, что сами виноваты, всегда найдутся, в не зависимости от GPL/неGPL

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от VyacheslavS email on 05-Фев-09, 18:32 
Есть такая хорошая поговорка:
"За одного битого - двух небитых дают"
И я уверен, что phpBB через несколько дней станет еще лучше и надёжнее!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от anonymous (??) on 05-Фев-09, 18:57 
>Есть такая хорошая поговорка:
>"За одного битого - двух небитых дают"
>И я уверен, что phpBB через несколько дней станет еще лучше и
>надёжнее!

куда уж лучше-то?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

61. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (ok) on 05-Фев-09, 23:56 
и в инете появится еще пара сотен тыщ статей о SQL-injection и include(anyfile), в дополнение к уже существующим парам сотен миллиардов.
Я бы на месте "разработчиков" прочитал бы хоть одну из них, прежде чем браться за разработку.

> За одного битого - двух небитых дают

битым можно по-разному быть. За одного один раз битого (и больше не битого) может и дадут двух небитых, а вот за битого каждый месяц и всё продолжающего быть битым - я бы и яйца выеденного не дал. Это уже мазохизм =)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от VyacheslavS email on 05-Фев-09, 20:30 
>куда уж лучше-то?

C каждым релизом работает шустрее, исправляют баги и тп, вводят новые фишки - вот должен релиз АвтоМод-а выйти.
Очень хороший продукт в разряде GPL.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 21:07 
>PHP-проект не может быть хорошим, по определению

Он доступен многим, понятен, прост в использовании и он GPL.
Попробуйте доказать свою категоричность в отношении этого форума, а не ставить
клеймо в стиле "совка". И покажите альтернативу.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 05-Фев-09, 21:33 
>>PHP-проект не может быть хорошим, по определению
>
>Он доступен многим, понятен, прост в использовании и он GPL.

Ну доступных и более понятных языков вагон и маленькая тележка.

>Попробуйте доказать свою категоричность в отношении этого форума,

А що opennet написан на php?

> а не ставить
>клеймо в стиле "совка". И покажите альтернативу.

PHP --- есть зло, большинство всех уязвимостей веб из-за него, остальное на javascript и flash.

Альтернатив, на которых кстати на порядок быстрее пишуться проекты и которые не страдают всякими детскими болезнями масса. Django например, или ROR.


MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже включена в фреймворк, ну чего вам еще надо набрали модель баз данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.), подключили через fastcgi к веб-серверу --- все проект готов --- быстро, и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться (или их делает дизайнер (включенного кода в html там нет)) за пол-часа максимум.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

62. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (ok) on 06-Фев-09, 00:12 
>PHP --- есть зло, большинство всех уязвимостей веб из-за него, остальное на
>javascript и flash.

PHP конечно зло :) но главное зло - это РНР-программисты. Можно и на пыхе написать нормальный неломаемый проект, но просто уровень пыхопрограммеров в 99.9999% соответсвует уровню самого пыха. Пых - это изначально язык для домохозяек, персонал-хоум-пэйдж. Что еще ожидать от пыхопрограммеров?
А вот насчет ЖС - я считаю, самый лучший скриптовый язык когда-либо изобретенный.
Флэш как проприетарно-неадекватная технология тут вообще ни при чем. =)

>Альтернатив, на которых кстати на порядок быстрее пишуться проекты и которые не
>страдают всякими детскими болезнями масса. Django например, или ROR.

Чем мне лично не нравятся питоны и руби - тем, что у каждого свой набор каких-то фич, которые мне как С/Жава/ЖС фанату просто отвратны (типа блоков-отступов в питоне). Каждому, конечно, своё, но питон не для меня.

>MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого
>был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже
>включена в фреймворк,

Всё хорошо. Только вот скорость этого фреймворка?

>ну чего вам еще надо набрали модель баз
>данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного
>кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.),
>подключили через fastcgi к веб-серверу --- все проект готов --- быстро,
>и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться
>(или их делает дизайнер (включенного кода в html там нет)) за
>пол-часа максимум.

Еще одна проблема - разработка проектов, выходящих за рамки шаблонов. Особенно когда фреймворк не всё делает так, как хотелось бы.

Я уж "не говорю" о массовых сайтах для массового хостинга, который даже пых 5-й и то недавно поставил, а уж про питон да руби вообще не слышал и едва ли в ближайшее время услышит.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

64. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 02:09 
>Чем мне лично не нравятся питоны и руби - тем, что у
>каждого свой набор каких-то фич, которые мне как С/Жава/ЖС фанату просто
>отвратны (типа блоков-отступов в питоне). Каждому, конечно, своё, но питон не
>для меня.

Каждый язык должен использоваться для своих задач. У меня таблица в html 300 мегов за несколько минут преобразуется в текст с разделителями (csv)весь код на питоне занимает поллистика а4 при том что приходится реплейсить кучу тегов, так как html создается через ole в ворде...

Этот парсер был написан минут за 30. С учетом добавления шаблонов вырезания всего лишего и отладкой. А сколько я бы подобное писал на C++ или даже на PHP? Питон тем хорош что он позволяет создать маленький скрипт без лишнего головняка.

Нет смысла начинать холивары и так далее. Каждому языку найдется место и круг решаемых задач. А для создания web2 или web3 приложений лучше PHP+AJAX ничего нет. Быстро, просто и кросплатформено.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

65. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (ok) on 06-Фев-09, 02:17 
>Каждый язык должен использоваться для своих задач.

Perl - для текста :)

У меня таблица в html
>300 мегов за несколько минут преобразуется в текст с разделителями (csv)весь
>код на питоне занимает поллистика а4 при том что приходится реплейсить
>кучу тегов, так как html создается через ole в ворде...

несколько минут - это очччень долго... на перле не пробовали? :) Хотя может и комп медленный.

>Этот парсер был написан минут за 30. С учетом добавления шаблонов вырезания
>всего лишего и отладкой. А сколько я бы подобное писал на
>C++ или даже на PHP? Питон тем хорош что он позволяет
>создать маленький скрипт без лишнего головняка.

Си++ явно не для этого. РНР - это ваще для текстов ну никак - только для веба.
А вообще, говорят, нет плохих ЯП, есть плохие программисты.

>Нет смысла начинать холивары и так далее.

абсолютно. Каждому - своё :)

>Каждому языку найдется место и круг решаемых задач.

+1

>А для создания web2 или web3 приложений лучше
>PHP+AJAX ничего нет. Быстро, просто и кросплатформено.

Пока - да. Только аякс тут как-то не по теме :) это все-таки не ЯП =)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

67. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 08:37 

>А вот насчет ЖС - я считаю, самый лучший скриптовый язык когда-либо
>изобретенный.
>Флэш как проприетарно-неадекватная технология тут вообще ни при чем. =)

Если не учитывать массу хаков веб-клиентов, с получением полного доступа к системе, то конечно не причем ;), но мы как бы, говорим о безопасности, а безопасность такая штука которая не различает проприентарность/свободность приложения.
Касательно javascript, с точки зрения безопасности довольна не зрелая технология, хотя бы потому, что допускает XSS.

>Чем мне лично не нравятся питоны и руби - тем, что у
>каждого свой набор каких-то фич, которые мне как С/Жава/ЖС фанату просто
>отвратны (типа блоков-отступов в питоне). Каждому, конечно, своё, но питон не
>для меня.

Когда вы напишите всего-лишь средненький проект на этих языках, вы будете их любить, не видел еще не одного человека, который бы начал писать на питоне и при этом в него не влюблялся, про отступы пишут обычно люди с питоном не знакомые: "О там форматирование пробелами это не есть гуд", но если вы знакомы с питоном в той мере, которая позволяет писать приложения сложней HelloWorld, то таких вопросов никогда не возникает, тем более что, за вас эти отступы делает любая IDE работающая с питоном. А вот читаемость кода от этого куда выше.

>>MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого
>>был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже
>>включена в фреймворк,
>
>Всё хорошо. Только вот скорость этого фреймворка?

На двухядернике теоретический предел 30`000 запросов/секунду для Django, врядли вам больше понадобится. Из наиболее известных проектов в рунете, блог Димки Медеведева.

>Еще одна проблема - разработка проектов, выходящих за рамки шаблонов. Особенно когда
>фреймворк не всё делает так, как хотелось бы.

Я не встречался не с одной задачей, кроме модулей ядра, где бы питон не был применим, довольно гибкий язык с множеством готовых библиотек, и не забывайте, что фреймворк это всего лишь каркас, а что вы на него натянете ваше дело, любой компонент фреймворка вы можете заменить/не использовать, будь-то движкок шаблонов или ORM.  

>Я уж "не говорю" о массовых сайтах для массового хостинга, который даже
>пых 5-й и то недавно поставил, а уж про питон да
>руби вообще не слышал и едва ли в ближайшее время услышит.

Пробема такая действительно есть, но ее масштаб явно преувеличен, в рунете сейчас есть десяток крупных хостеров, кто предоставляет и Django и ROR. Скорее проблема не из-за хостеров, а из-за недостатка разработчиков, как следовательно спроса на эти сервисы.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

71. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Geol on 06-Фев-09, 11:04 

>Касательно javascript, с точки зрения безопасности довольна не зрелая технология, хотя бы
>потому, что допускает XSS.

Допускает не язык а программисты. \

>Когда вы напишите всего-лишь средненький проект на этих языках, вы будете их
>любить,

Не хочу любить язык. Люблю девушек.

>Пробема такая действительно есть, но ее масштаб явно преувеличен, в рунете сейчас
>есть десяток крупных хостеров, кто предоставляет и Django и ROR. Скорее
>проблема не из-за хостеров, а из-за недостатка разработчиков, как следовательно спроса
>на эти сервисы.

Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными? Потому что все дураки а вы один умный?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

74. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 13:50 
>Допускает не язык а программисты. \

Вот уж нет, не нужно все взваливать на человека, человеку свойственно ошибаться, поэтому "защита от дурака" должна присутсвовать в любой системе и в языке программирования в особености. А то ведь по вашей логике и "черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала.

>Не хочу любить язык. Люблю девушек.

Черт, а еще люблю  свою жену и детё, свой дом, своих родителей, и даже свою машину и кошку.

>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными?

Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года, очень многих отпугивала нестабильность и отсутсвие русскоязычной документации, сегодняшние джангисты сполшь с хорошим английским, порог входа был довольно большой, да и массовое использование пошло только с версии 0.96, сейчас все приграды сняты, есть и отличная документация и стабильность, а лет ему ровно столько же сколько и Zend Framework, но еще одно отличие: Django не продвигала не одна коммерческая компания.

>Потому что все дураки а вы один умный?

Xватит нести ахинею, PHP не удовлетворяет минимальным требованиям ИТ-безопасности, результат в заголовке этой новости.

Чего вы добиваетесь такими высказываниями?  Как вы можете судить о том, что лучше, не испробывав то о чем вы говорите на практике?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

78. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (??) on 06-Фев-09, 15:07 
Опять же, не спорю, а поправляю.

>>Допускает не язык а программисты.
>
>Вот уж нет, не нужно все взваливать на человека, человеку свойственно ошибаться,
>поэтому "защита от дурака" должна присутсвовать в любой системе и в
>языке программирования в особености.

Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны. Это все равно что сделать топор без острия.

>А то ведь по вашей логике и
>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала.

Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно. Оффтоп.

>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными?
>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года

Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е. уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь.

>Django не продвигала не одна коммерческая компания.

+ опять же, для ЗФ не нужен питон на хостинге. :)

>PHP не удовлетворяет минимальным требованиям ИТ-безопасности, результат в заголовке
>этой новости.

ну тут все-таки дело не в пыхе. А опять же в программерах =)

У самого пыха баги есть, никто не отрицает. Но баги везде есть. Дело не в багах, а в концепции: на пыхе очень тяжело писать вообще, а писать безопасный код - вдвойне. Пых как технология быстрый и портабельный, в чем-то удобный, но как ЯП - это навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся. В то же время, никто не отменял обязательность чтения разных статей по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали - в лучшем случае список функций РНР.

>Чего вы добиваетесь такими высказываниями?  Как вы можете судить о том,
>что лучше, не испробывав то о чем вы говорите на практике?

+1
Вообще лучше заниматься своим делом, а не судить. =)

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

79. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Geol on 06-Фев-09, 15:39 

>Вообще лучше заниматься своим делом, а не судить. =)

Вы уж простите, но моё дело - как раз веб-разработка. С Django я действительно ошибся (правда не сильно, всяко раньше ZF), но дело не в ней. Дело в том, что провозглашать Phython и Ruby прогрессивными и перспективными, а а php убогим и глючным нет роно никаких оснований. В продуктах на php часто находят дыры?  так ведь и продуктов этих на порядки больше. Попробуйте найти дыру в серьёзном продукте написанном на Prolog! ну или на Brainfuck.

>Django не продвигала не одна коммерческая компания.

А почему? Это как раз аргумент против Django.  (ну был бы таковым, если бы это было правдой). Кстати, какая коммерческая компания продвигает ZF? Zend inc? А на чём эта компания стала такой из себя коммерческой? И что мешает так же подняться ребятам, разрабатывающим конкурентные технологии? Безкорыстность?

> Как вы можете судить о том,
>что лучше, не испробывав то о чем вы говорите на практике?

А испробовав можно? Спасибо!

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

83. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от nuclight email(ok) on 06-Фев-09, 19:28 
>Вы уж простите, но моё дело - как раз веб-разработка. С Django
>я действительно ошибся (правда не сильно, всяко раньше ZF), но дело
>не в ней. Дело в том, что провозглашать Phython и Ruby
>прогрессивными и перспективными, а а php убогим и глючным нет роно
>никаких оснований.

Есть. Постольку, поскольку дыры очень часто находят в САМОМ php, да и просто дофига багов, например, известный глюк, когда он валится в корку при банальном изменении порядка подгрузки модулей в .ini. Постоянная головная боль для админа этот ваш php.

> В продуктах на php часто находят дыры?  так
>ведь и продуктов этих на порядки больше. Попробуйте найти дыру в
>серьёзном продукте написанном на Prolog! ну или на Brainfuck.

Популярное заблуждение. Сравните количество дыр в истории Apache и MS IIS, потом сравните популярность того и другого.

>>Django не продвигала не одна коммерческая компания.
>
>А почему? Это как раз аргумент против Django.  (ну был бы
>таковым, если бы это было правдой). Кстати, какая коммерческая компания продвигает
>ZF? Zend inc? А на чём эта компания стала такой из
>себя коммерческой? И что мешает так же подняться ребятам, разрабатывающим конкурентные
>технологии? Безкорыстность?

Странная мысль, мерять исключительно по коммерческой успешности/популярности. Сколько на рынке китайских продуктов? И как, это аргумент против всех остальных? :)

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

84. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 19:30 

>Вы уж простите, но моё дело - как раз веб-разработка. С Django
>я действительно ошибся (правда не сильно, всяко раньше ZF), но дело
>не в ней. Дело в том, что провозглашать Phython и Ruby
>прогрессивными и перспективными, а а php убогим и глючным нет роно
>никаких оснований. В продуктах на php часто находят дыры?  так
>ведь и продуктов этих на порядки больше.

Проблема не в том что проектов больше, а следовательно и уязвимостей больше, проблема в том что только в проектах на php есть уязвимости, которые отсутсвуют как класс и в Django и в RoR и еще в куче фреймворках на этих языках, понимаете это?

Нет там такого класса уязвимостей, как SQL-injection, совсем нет, системой не предусмотренно, нет там уязвимостей вида веб-шелла, как класса нет --- система не позволяет, и еще кучи уязвимостей нет, возможен только XSS, но это вопрос к любимому вами javascript, который к сожалению не обрабатывается фреймворком, а выполняется на стороне клиента.

>> Как вы можете судить о том,
>>что лучше, не испробывав то о чем вы говорите на практике?
>
>А испробовав можно? Спасибо!

Испробовав, конечно можно, указав на те реальные проблемы, с которыми вы столкнулись, а не этот бред про отступы в питоне.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

82. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 19:14 
>Нельзя сделать абсолютную защиту от дурака в средствах разработки. Иначе они непригодны.
>Это все равно что сделать топор без острия.

Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная фильтарция ввода, ничего лучше, да и вообще, кроме этого ничего не придумали.  

>>А то ведь по вашей логике и
>>"черобыль" это не ошибка проектирования реактора, а ошибки обслуживающего персонала.
>
>Чернобыль - это 100% ошибка - преступление! - обслуживающего персонала. Это известно.
>Оффтоп.

Ну это вообще бред сивой кобылы, бегом учить ТАУ насчет исследования систем на устойчивость, наблюдаемость и управляемость, и смотреть отчеты повесевшегося теоретика реактора ВР-1000.

>>>Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными?
>>Django как проект, стартовал в 2005 году, версия 1.0, только осенью прошлого года
>
>Смотрю на файл у себя: ЗендФр 1.0-Рц2 - 16 июня 2007. Т.е.
>уже юзабельный. Когда стартовал - хз. Я им не особо интересуюсь.
>
>
>>Django не продвигала не одна коммерческая компания.
>
>+ опять же, для ЗФ не нужен питон на хостинге. :)

Ага, нужен php, прям-таки офигенный плюс.

>[оверквотинг удален]
>=)
>
>У самого пыха баги есть, никто не отрицает. Но баги везде есть.
>Дело не в багах, а в концепции: на пыхе очень тяжело
>писать вообще, а писать безопасный код - вдвойне. Пых как технология
>быстрый и портабельный, в чем-то удобный, но как ЯП - это
>навозная куча для (навозных) жуков (багов), которые в ней интенсивно плодятся.
>В то же время, никто не отменял обязательность чтения разных статей
>по безопасному программированию перед началом разработки. Увы, 90% "программеров-домохозяек" читали -
>в лучшем случае список функций РНР.

Тут согласен, но лишь частично, нет никакой защиты никто не мешает писать код:

<form method='get' action = ''>
<input type = 'text' name = 'input'>
<input type = 'submit'>
<pre>
<?
   if (issue($input))
   {
    $output = `whois $ input`;
    echo $output;
   }
?>  
</pre>

C выполнением запроса ;rm -fdr
Смешно? А я подобное, по долгу службы, видел не раз, и программеры вроде вполне вменяемые были.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

75. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 14:07 
А кто вам вообще сказал что Zend используют больше чем RoR? Есть статистика?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

77. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от terr0rist (??) on 06-Фев-09, 14:49 
В принципе, я не спорю. Я только уточняю.

>>А вот насчет ЖС - я считаю, самый лучший скриптовый язык когда-либо
>>изобретенный.
>>Флэш как проприетарно-неадекватная технология тут вообще ни при чем. =)
>
>мы как бы, говорим о безопасности, а безопасность такая штука которая не различает проприентарность/свободность приложения.

Можно рассматривать с точки зрения юзера - тогда да. А с точки зрения админа/разработчика, у которого есть возможность выбирать тулзы, или грамотно их использовать,- флеш не проблема ввиду его неиспользования =) а ЖС и пых - не проблемы при их достаточном знании.

>Касательно javascript, с точки зрения безопасности довольна не зрелая технология, хотя бы потому, что допускает XSS.

Как технология, которая зависит от бровзеров - да. Как язык программирования - никаких отличий от всех других ЯП. Сам по себе ЯП не решает никаких проблем безопасности. Он их только создает =)

>Когда вы напишите всего-лишь средненький проект на этих языках, вы будете их
>любить

Вряд ли в ближайшем времени. Хотя бы потому, что я слишком хорошо знаю С/Жава/ЖС синтаксис =) мне проще сменить работу, чем переучиваться на питон. =) Хотя, конечно, не исключаю.

>не видел еще не одного человека, который бы начал писать
>на питоне и при этом в него не влюблялся,

Да, меня вы пока еще не видели. Только мои посты :)

>про отступы пишут обычно люди с питоном не знакомые ... но если вы знакомы с питоном в
>той мере, которая позволяет писать приложения сложней HelloWorld

Знаком. Правда в режиме read-only =)

> А вот читаемость кода от этого куда выше.

Читаемость - проблема не языка, а программиста. На с-подобных ЯП нет никаких проблем писать высокоудобочитаемый код.

>Я не встречался не с одной задачей, кроме модулей ядра, где бы
>питон не был применим

Применимость - это тоже дело программиста. :)

>проблема не из-за хостеров, а из-за недостатка разработчиков, как следовательно спроса
>на эти сервисы.

Спрос опять же низок из-за того, что изобретена еще пара велосипедов с отличным от привычного управлением (прошу не расценивать как оскорбление в адрес этих ЯП), все же у нас учились на С/паскале/жаве.
Вообще мне совершенно непонятно, почему ЖС еще до сих пор не используется в качестве серверного ЯП. (Rhino не считать). Было бы крайне удобно использовать в вебе один ЯП как у клиента, так и на сервере.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

86. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 06-Фев-09, 19:55 
>Можно рассматривать с точки зрения юзера - тогда да. А с точки
>зрения админа/разработчика, у которого есть возможность выбирать тулзы, или грамотно их
>использовать,- флеш не проблема ввиду его неиспользования =) а ЖС и
>пых - не проблемы при их достаточном знании.

Ага, придет к вам толстый заказчик кинет денег на стол и скажет хочу баннер на флеш и все тут.

>Как технология, которая зависит от бровзеров - да. Как язык программирования -
>никаких отличий от всех других ЯП. Сам по себе ЯП не
>решает никаких проблем безопасности. Он их только создает =)

А поскольку область его применения четко очерчена, и проблем с безопасностью он не решает, его нельзя рассматривать как язык для безопасного кодинга --- ага?

>>не видел еще не одного человека, который бы начал писать
>>на питоне и при этом в него не влюблялся,
>
>Да, меня вы пока еще не видели. Только мои посты :)

...
>Знаком. Правда в режиме read-only =)

Nocomment

>
>Читаемость - проблема не языка, а программиста. На с-подобных ЯП нет никаких
>проблем писать высокоудобочитаемый код.

А в питоне это проблема языка, нечитабельный код просто не работает.

>Применимость - это тоже дело программиста. :)

Ага, жду svd разложения матрицы на мильон элементов на javascript и php, пары лет вам хватит?

И почему-то это не проблема с питоном сделать такой код за одну минуту, и при этом он почему-то будет работать на пару порядков быстрее, чем скажем в матлабе, хотя ведь интерпретируемый язык, без всяких jit и прочих новомодных фитч.

>Спрос опять же низок из-за того, что изобретена еще пара велосипедов с
>отличным от привычного управлением (прошу не расценивать как оскорбление в адрес
>этих ЯП), все же у нас учились на С/паскале/жаве.

Ну да, а еще на винде и для общения стандарт icq и документы де-факто не в odf, и бух. учет в 1С.

>Вообще мне совершенно непонятно, почему ЖС еще до сих пор не используется
>в качестве серверного ЯП. (Rhino не считать). Было бы крайне удобно
>использовать в вебе один ЯП как у клиента, так и на
>сервере.

Про javascript я уже все сказал, а то что в мире ИТ (да и не только в ИТ), почему-то с навязчивым упорством используются самые худшие из существующих технологий и возможностей, тема отдельного разговора.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

120. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от лка on 09-Фев-09, 22:47 
>[оверквотинг удален]
>
>MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого
>был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже
>включена в фреймворк, ну чего вам еще надо набрали модель баз
>данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного
>кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.),
>подключили через fastcgi к веб-серверу --- все проект готов --- быстро,
>и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться
>(или их делает дизайнер (включенного кода в html там нет)) за
>пол-часа максимум.

да? неужели?
а symfony к примеру ни осилил?
php виновно?

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

121. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от Аноним (??) on 10-Фев-09, 00:04 
>да? неужели?

а symfony к примеру ни осилил?
php виновно?

Симфония вещь она хорошая конечно, но уж больно тормозная, по сравнению с Django, ребята из Яндекса говорят что мерили и тестили получили соотношение по скорости в 30 раз.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

45. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от VyacheslavS email on 05-Фев-09, 21:13 
Нашелся и взломщик, точнее его блог:
http://hackedphpbb.blogspot.com/2009/01/place-holder.html
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол"  +/
Сообщение от GoSha on 07-Фев-09, 11:16 
1) "Всё что одним человеком сделано, завсегда другим может быть поломано"
2) А зачем это они сделали? Вообще, зачем эти прыщавые юнцы воруют аккаунты, е-майлы и прочая прочая. Ещё один из способов померяться длинной пиписьки?

Однозначно, любые противоправные действия должны быть осуждены и не говорите мне об открытой двери и плохом замке Или вы хотите что бы я открыл дверь но оставил в квартире бультырьера? или по улицам с булем ходил?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

103. "Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пол..."  +/
Сообщение от tty01 on 08-Фев-09, 13:18 
Правильно сделали, что сломали. Там ошибка - детская (?a=../../etc/password)
Головой думать надо, прежде чем ставить нубский софт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру