Мегафлуд на тему Битрикс.
- Автор темы alffcpu
- Дата начала
wp_guru
Создатель
- Регистрация
- 23 Авг 2015
- Сообщения
- 12
- Реакции
- 8
С приходом большого числа бесплатных модулей на маркетплейсе установка модулей стала не безопасна.
Особенно опасайтесь бесплатных модулей технологических партнеров и особенно очень популярных модулей.
А суть вот в чем, можно выпустить мелкое обновление, в котором каждому установившему это обновление можно:
1) Создать пользователя с админскими правами, сгенерировать логин и пароль и отправить запрос курлом или хоть по почте письмо с доступами к сайту, кто не заботится о безопасности своего сайта и ставит все подряд даже и не заметит центр управления своим сайтом, пока не посмотрит админов, а у кого и админов навалом, не разберется, пока всех не удалит
2) Можно и текущему админу сменить пароль и также отправить, но тут уже палево.
3) Ставя модуль или обновление на свой сайт можно сделать с ним все, что угодно, даже скрыть свои следы, т.к. после установки обновлений эти файлы из папки /bitrix/updates/ удалятся, но иногда и не удаляются.
Так что, будьте осторожны, злоумышленник конечно спалится, т.к. есть люди, которые все это мониторят и проверяют, но, может быть уже поздно, когда все это обнаружится, вся ваша база подписчиков, заказов, платежей и т.д. может оказаться где-нибудь в складчине, на публичных торрентах или в руках конкурентов
Особенно опасайтесь бесплатных модулей технологических партнеров и особенно очень популярных модулей.
А суть вот в чем, можно выпустить мелкое обновление, в котором каждому установившему это обновление можно:
1) Создать пользователя с админскими правами, сгенерировать логин и пароль и отправить запрос курлом или хоть по почте письмо с доступами к сайту, кто не заботится о безопасности своего сайта и ставит все подряд даже и не заметит центр управления своим сайтом, пока не посмотрит админов, а у кого и админов навалом, не разберется, пока всех не удалит
2) Можно и текущему админу сменить пароль и также отправить, но тут уже палево.
3) Ставя модуль или обновление на свой сайт можно сделать с ним все, что угодно, даже скрыть свои следы, т.к. после установки обновлений эти файлы из папки /bitrix/updates/ удалятся, но иногда и не удаляются.
Так что, будьте осторожны, злоумышленник конечно спалится, т.к. есть люди, которые все это мониторят и проверяют, но, может быть уже поздно, когда все это обнаружится, вся ваша база подписчиков, заказов, платежей и т.д. может оказаться где-нибудь в складчине, на публичных торрентах или в руках конкурентов
mrLom
♒︎
- Регистрация
- 24 Дек 2014
- Сообщения
- 938
- Реакции
- 1.941
Такие люди называются модераторы, они есть и в Битриксе, занимаются премодерацией выкладываемых решений в Маркетплейс. Просто так вы своё решение в Маркетплейс не подсуните, а если подобный код все же захотите внедрить, думаю санкции с черным списком навсегда вам будут обеспечены.Так что, будьте осторожны, злоумышленник конечно спалится, т.к. есть люди, которые все это мониторят и проверяют, но, может быть уже поздно, когда все это обнаружится, вся ваша база подписчиков, заказов, платежей и т.д. может оказаться где-нибудь в складчине, на публичных торрентах или в руках конкурентов
Фантазировать можно бесконечно на тему, что могут подсунуть. Покажите пример подобного решения? Ну а на досуге почитайте правила работы в Маркетплейс и об ответственности в случае резкой хитрожопости. А фарш, как всем известно, невозможно провернуть назад!
Да, в рамках своего решения разработчики могут вносить любой адекватный код и то что они заявляют в качестве функционала таковым и должно быть, могут вносить туда изменения, улучшения, но внесение изменений для получения незаконного доступа к админке уже уголовная статья. Так что не включайте паранойю 100лвл; в моей практике были только разработчики, которые собирают статистику, почту, телефоны, фио, установленные решения, версия БУС, но любой разработчик и так может получить подобную инфу, зная только ключи!
Те кто попадался очень любезно опубликованы в теме про дудки.
wp_guru
Создатель
- Регистрация
- 23 Авг 2015
- Сообщения
- 12
- Реакции
- 8
Это вы, молодой человек, почитайте на досуге, что такое технологический партнер и чем отличается модуль на модерации от обновлений к модулю без модерации.
Вот выпустит прогер пачку обнов, попробуйте найти потом, где и что перезаписалось 10 раз и докажите еще, что ты не сам создал пользователя, где и кому вы это собрались доказывать?
Про создания пользователя и уголовку - так весь рунет уже можно пересадить, следуя ваше логике))
- об ответственности в случае резкой хитрожопости
Вы это, телевизор хоть иногда включайте, люди на смерть идут радии идеи, а вы тут про ответственность на маркетплейесе))
Главное выполнить задание, достигнуть цели, а что потом кому будет, преступнику вообще пофиг, на что идут люди, чтобы уничтожить конкурента, вы видимо тоже не в курсе, ничего кроме форуме в руках еще не пощупали.
- любой адекватный код
Это вы вообще о чем? Про идеологию идеального кода? Да не существует такого, забудьте и другим про это даже не говорите, карма сразу беднеет.
- внесение изменений для получения незаконного доступа к админке уже уголовная статья
Посмотрите еще телевизор на досуге, что в мире творится, да хоть с вашим телефоном/айфоном и т.д., вы отстали от жизни лет на 17-25.
Попробуйте заявление написать, вот реально напишите на кого-нибудь заявление собственноручно, а потом убедитесь, что вы цитируете теорию и кажитесь умным, девочкам на дискотеке еще прокатит, и то, смотря каким))
mrLom
♒︎
- Регистрация
- 24 Дек 2014
- Сообщения
- 938
- Реакции
- 1.941
У вас голословные убеждения, у меня же жизнь основана на практике. Всё что я скачиваю, у меня сохраняется в дельтах. Любое сквозное обновление имеет строгую последовательную нумерацию, так называемый контроль версий. Всё что перезаписывается имеет последствии весьма весомый архив. Такой же архив имеется в Битриксе. Доказывать не моя задача, я могу лишь обвинить и написать заявление. Изучают дела прокуроры, а доказывают суды.
В моей практике не раз были написаны заявления на фрилансеров, где они как минимум вернули деньги и как самое мягкое наказание, получили условные сроки, а могли и реальные, прокуроры просили от 2 до 7, благо клиенты просили быть мягче. Что касается весь рунет можно пересадить, так собственно вы очень даже правы, только за набор Windows+Office+Server+Adobe уже можно пару лет впаять. А если админ пошел вечером установить подобный набор соседу, так поверьте, таких сидящих админов в особо крупном размере уже сидит великое множество!
В остальном попрошу без личных оценок моей любви или не любви к телевизору. Моя частная жизнь вас совершенно не должна касаться. И попрошу более уважительно относиться ко всем участникам форума
С точки зрения переноса нескольких тредов во флуд, добавлю:
Мне кажется тут напержено.
Я всегда оцениваю ситуацию только по коду, вы же только нафлудили много много букв, но ни одного примера подобного решение не привели, она теория невероятности!
Для начала попробуйте скинуть набор дельт из подозреваемых вами таких решений!
Последнее редактирование:
wp_guru
Создатель
- Регистрация
- 23 Авг 2015
- Сообщения
- 12
- Реакции
- 8
1) Так что там в папке /bitrix/updates/?
Ответа нет!
2) что такое технологический партнер?
Ответа нет!
3) чем отличается модуль на модерации от обновлений к модулю без модерации?
Ответа нет!
Откройте глаза, ваша практика хромает и оставляет желать лучшего!
По информатике видимо у вас была двойка, а по уголовному праву твердая пятерка!)
Вот так взял, написал заяву на разработчика модуля, а закрыли менеджера магазина))
Вообще, сейчас стало модно "говорить то, чего не знаешь", на какой форум не зайди, обязательно найдется супергерой! в жизни кстати тоже самое..
mrLom
♒︎
- Регистрация
- 24 Дек 2014
- Сообщения
- 938
- Реакции
- 1.941
Опять вы на личности переходите, еще один раз что-то лично мне или кому-то напишите о способностях, я вам тупо бан влеплю!
Уже говорил, что ничего вам доказывать и тратить время — не собираюсь.
Да вы писали, что в решениях есть прочие опасности, но ни разу так и не написали кого вы подозреваете в написании такого опасного решения. Вы бы обвинили уже кого-нибудь, что бы предметно разбираться! Но нет, вы только трепаться можете и отвлекать людей от работы!
А между тем, если я что-то скачиваю, то скачиваю поверсионные gz архивы со сквозной нумерацией — никаких опасностей в жизни там не видел. Все версии решений храняться в репозиториях Битрикса, а любые изменения отражаются в контроле версий. Если вам чего-то не видно, это не значит, что не видно админам.
PS. Между тем, абсолютно любой участник темы Битрикс, а так же любой из моих коллег модераторов, в том числе администрация форума подтвертит мою чрезмерную лояльность как новичкам, так и незадачливым случайным нарушителям — обхожусь только устными предупреждениями, но я вам уже сказал, еще раз перейдете на личностные оценки меня или кого либо еще, уйдете в долгий бан!