уязвимости в форуме - Форум разработчиков электроники ELECTRONIX.ru

реклама на сайте
подробности

Wiki

Photo

Forum

Reviews

Help (!)

Форум разработчиков электроники ELECTRONIX.ru > Сайт и форум > Поддержка форума

уязвимости в форуме

Опции

admin Просмотр профиля	Jul 12 2006, 11:54 Сообщение #1
Администратор форума Группа: Администраторы Сообщений: 3 118 Регистрация: 11-05-04 Пользователь №: 2	очередные были найдены в версии 2.1.6. буду фиксить.

Ответов

BSV Просмотр профиля	Aug 1 2006, 22:44 Сообщение #2
Знающий Группа: Свой Сообщений: 541 Регистрация: 11-04-05 Из: Москва Пользователь №: 4 045	Неплохо бы какую-нибудь систему обнаружения атак (аномалий) к серверу (форуму) прикрутить. Чтобы при обнаружении такого рода бяк сообщалось администраторам форума. Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты. -------------------- Дурак, занимающий высокий пост, подобен человеку на вершине горы - все ему кажется маленьким, а всем остальным кажется маленьким он сам. /Законы Мерфи/

sK0T Просмотр профиля	Aug 4 2006, 16:28 Сообщение #3
Местный Группа: Свой Сообщений: 241 Регистрация: 22-12-04 Пользователь №: 1 610	Цитата(BSV @ Aug 2 2006, 02:44) Или сделать так, чтобы для совершения критичных для целостности форума действий требовалось участие N >= 2 администраторов (модераторов). Только тут важно соблюсти баланс между юзабельностью и желаемым уровнем защиты. Усложнение системы приводит к уменьшению её надёжности. А кто гарантирует, что в коде обеспечения одновременности администраторов не будет ещё худших ошибок? Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS…

Doka Просмотр профиля	Aug 4 2006, 20:29 Сообщение #4
Electrical Engineer Группа: СуперМодераторы Сообщений: 2 163 Регистрация: 4-10-04 Пользователь №: 778	Цитата(sK0T @ Aug 4 2006, 20:28) ...Тут на мой вкус простое и понятное решение — ежедневное архивирование БД со сбросом на болванки или включение версий в БД, а-ля CVS… решение многим по вкусу, но есть несколько принципиальных НО: 1) общий объем всего форума - для поиска суточных изменений этой "а-ля CVS" потребуется определенное время - работа форума итак нагружает вычислительную мощность сервера : даже если было внесено изменение в 1 символ всеравно будет просканировано содержимое всей БД - каждого файла.. кого устроит то, что раз в сутки форум будет недоступен 30-60 минут?!? 2) новые темы - новые файлы.. в CVS-подобных системах для отслеживания изменений новые файлы надо добавлять вручную.. . эти проблемы решаемы, если бы логика CVS была бы интегрирована в сам движок форума - при штатной работе писать суточный лог-файл изменений (id новых сообщений и тем), либо просто находить сообщения дата создания которых относится к последним суткам, но поскольку сам IPB - что называется Third Parity Product, это уже надо предлагать непосредственно его разработчикам ЗЫ: а насчет сброса на болванки - это лишнее. движок форума самое уязвимое место - поэтому достаточно грамотно задать права доступа к папкам: запретить скриптам форума доступ к тем папкам, в которых организовано CVS-хранилище. ЗЗЫ: диавол.. стока идей.. можно даже наскрести на диссертацию =) ..поменять чтоли направление: вместо "05.12.04 радиотехника" взять "информатика" =) Сообщение отредактировал Doka - Aug 4 2006, 20:31 -------------------- Блог iDoka.ru CV linkedin.com/in/iDoka Sources github.com/iDoka Never stop thinking...........................

Сообщений в этой теме

udofun уязвимости в форуме Jul 12 2006, 11:54

GetSmart В тему: Поддержка форума _______________ Только ... Aug 1 2006, 18:02

AndyBig ЦитатаТолько надо было написать так: Нашёл дыру. У... Aug 1 2006, 19:06

udofun все верно, я уезжал, но заплатки были поставлены т... Aug 1 2006, 21:18

GetSmart Да ладно. Никто не виноват, кроме тех уродов. Как ... Aug 1 2006, 22:04

BSV Неплохо бы какую-нибудь систему обнаружения атак (... Aug 1 2006, 22:44

sK0T Цитата(BSV @ Aug 2 2006, 02:44) Или сдела... Aug 4 2006, 16:28

Doka Цитата(sK0T @ Aug 4 2006, 20:28) ...Тут н... Aug 4 2006, 20:29

sK0T Цитата(Doka @ Aug 5 2006, 00:29) 1) общий... Aug 6 2006, 07:17

avv И наверно несложно убрать упоминание о версии движ... Aug 2 2006, 04:25

one_man_show Если говорить о версии движка и информации внизу с... Aug 2 2006, 11:39

AndyBig Согласен с сокрытием/подменой информации о версии ... Aug 2 2006, 20:25

Sirotinin Я вам вполне профессионально могу сказать, что под... Aug 4 2006, 16:09

hlebn Цитата(Sirotinin @ Aug 4 2006, 20:09) Я в... Aug 4 2006, 20:19

muravei Хочу предложить свои соображения по избежанию Пра... Aug 7 2006, 19:59

one_man_show Движок форума не дает такой возможности Aug 7 2006, 20:14

navuho А нельзя организовать доступ админам строго по ip-... Aug 9 2006, 03:10

Doka Цитата(navuho @ Aug 9 2006, 07:10) А нель... Aug 10 2006, 09:59

one_man_show В таком случае, всем Админам нужно иметь закреплен... Aug 10 2006, 11:39

Doka Цитата(one_man_show @ Aug 10 2006, 15:39)... Aug 10 2006, 18:10

navuho Цитата(Doka @ Aug 10 2006, 20:10) это не ... Aug 10 2006, 21:46

LordN ЦитатаВезде адреса к сожалению динамическиено ведь... Aug 10 2006, 16:02

« Предыдущая тема · Поддержка форума · Следующая тема »

2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)

Пользователей: 0

Режим отображения: Переключить на: Стандартный · Переключить на: Линейный · Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

Текстовая версия

Сейчас: 22nd August 2025 - 22:18