| 1.1, vn971 (ok), 00:11, 27/02/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Спасибо за новость.
Серверов с друпалом по счастью у меня нет, поэтому посмеяться можно от души:
> Несмотря на то, что предназначенные для администратора кнопки скрываются, их можно использовать при указании в отправляемом запросе. | | |
| |
| 2.2, Disaron (??), 10:53, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
Да чего смеяться, просто популярность чуть подросла и на drupal обратили внимание. Все будет хорошо. Сейчас первая волна дыр, которые более популярные CMS уже пережили пофиксятся и все будет как у всех.
| | |
| |
| 3.3, vn971 (ok), 11:05, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Нет, ну такой подход называется халтурностью.
"Фиксить скьюрити-баги по мере обнаружения". Для "фич" да, так и надо - добавляем по мере надобности. Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом. Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.
| | |
| |
| 4.4, Disaron (??), 12:03, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>Нет, ну такой подход называется халтурностью.
В данном конкретном случае, который выражается в отсутствии контроля прав на стороне сервера - возразить нечего. Такие вещи должны делаться раньше контроля на стороне клиента (в данном случае выражающемся в тупом скрытии контролов).
А вот в остальных случаях (если пройти по ссылке) не соглашусь. Да и вообще как пофиксить проблему, если не знаешь о проблеме? А количество выявляемых уязвимостей пропорционально популярности. Ну никому не интересно копаться в движке, если его всего 5% от рынка бесплатных, а во всем остальном рынке и того меньше. Профит минимален, а то и вообще в минус - времени затратишь больше на поиск дыры, чем получишь эффекта от ее использования.
Доставило: Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)
Т.е. возможность получения полного набора полномочий это less critical?
| | |
| |
| 5.8, Aleks Revo (ok), 02:21, 29/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > как пофиксить проблему, если не знаешь о проблеме?
Моделировать варианты входных данных и исполнения алгоритма. Взломщик занимается ровно тем же самым.
| | |
| |
| 6.10, Disaron (ok), 07:46, 02/03/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Вообще, представляешь последствия этого?
1. У программ появится алгоритм
2. Код станет гораздо более простым и понятным
3. Большая часть дыр уровня детского сада просто перестанет существовать как класс
4. Резко упадет потребность в рефакторинге и временные затраты на латание косяков
5. На улице окажется МОРЕ быдлокодеров
6. Социальная неудовлетворенность последних, митинги, нападения на людей...
дальше не буду продолжать... )
| | |
|
|
| 4.7, _ (??), 17:07, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>Нет, ну такой подход называется халтурностью.
"А кто без греха, тот пусть первый кинет в меня камень!" - умный сказал чел, даже святой :)
А ещё - "Если бы строители строили дома с таким же качеством, как программисты создают программы ... первый же залетевший дятел уничтожил бы цивилизацию!" :)
>"Фиксить скьюрити-баги по мере обнаружения".
А что - уже придумали хоть какой то другой метод?
>Для "фич" да, так и надо - добавляем по мере надобности.
Довожу месячный план для группы разработки:
Пофиксить секурити-багов:
- критических: 32.5
- не критических: 100500
Самому не смешно? Впрочем ты у нас сурьёзный ребёнок, стратег будущий (у мамки).
>Но каждый секьюрити-баг я считаю хотя бы маленьким, но фак-апом.
И что?
>Тут популярность и волны ни при чём. По крайней мере, таково моё мнение.
Мнение доставило, пишы ищо :-/
| | |
| |
| 5.9, Aleks Revo (ok), 02:28, 29/02/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>Нет, ну такой подход называется халтурностью.
> "А кто без греха, тот пусть первый кинет в меня камень!" -
> умный сказал чел, даже святой :)
Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против центральной религиозной догмы и тем самым напросится на то, чтоб самого закидали камнями. У нас же всё проще, по шее надают без оглядки на догматы )))
> А ещё - "Если бы строители строили дома с таким же качеством,
> как программисты создают программы ... первый же залетевший дятел уничтожил бы
> цивилизацию!" :)
>>"Фиксить скьюрити-баги по мере обнаружения".
> А что - уже придумали хоть какой то другой метод?
Да, баги давно поклассифицированы, и по сути являются типовыми.
> Мнение доставило, пишы ищо :-/
Хотя, чего это я тут с бисером перед вечно голодным?
| | |
| |
| 6.11, Michael Shigorin (ok), 06:46, 03/05/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > Умный человек знал, что тот, кто признает себя безгрешным - пойдёт против
> центральной религиозной догмы
Почему бы тогда "Они же, услышав то [I]и будучи обличаемы совестью[/I], стали уходить один за другим, начиная от старших до последних"?
PS: прошу прощения, совсем случайно наткнулся, но промолчать не могу.
| | |
|
|
|
|
| 2.5, adnu (?), 13:51, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– |
типичное php, хотя drush up по крону не заставляет парится
| | |
| |
| 3.6, Disaron (ok), 14:00, 27/02/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Автоапдейт? В продакшене? Без тестирования своих расширений на B/C?
Не, ну если перед этим делается бекап, и ресурс не активно используется, то в редких случаях прокатит...
| | |
|
|
|
