Доверяете ли вы защищённости оных?
Что по вашему мнению безопаснее - платные или бесплатные движки?
Или всё же лучше пользоваться уникальными проектами, специально написанными с нуля (или почти с нуля), исходных кодов которых в сети не имеется?
По моему мнению, самый безопасный вариант - закрытая уникальная разработка. Исходников в сети не найти, анализировать её защищённость можно лишь внешне. Наличия уязвимостей это не отменяет, но шансы их найти в разы ниже. Особенно если перед "выходом в свет" коды приложения были проверены на наличие в них уязвимостей.
Между платными и бесплатными движками я бы выбрал второе. На это есть несколько причин основанных лишь на личном опыте.
Однажды, работая на фирму купившую дорогую CMS (цена порядка 30 т.р.), я обнаружил в её коде очень опасную недоработку. Суть её сводилась к возможности загрузки php-скриптов не сервер. После того как я сообщил об этом производителю, мне был дан ответ "Спасибо. Через месяц у нас плановое обновление, тогда и заплатка выйдет". То есть огромное количество сайтов всё это время должны были работать имея в себе серьёзную уязвимость.
Второй случай связан с форумом IPB. Не так давно была опубликована информация об устранении XSS-уязвимости, которой к моменту закрытия несколько месяцев натикало.
Кому интересно, можете почитать об этом здесь - http://habrahabr.ru/blogs/infosecurity/86698/
Куда смотрел производитель - не известно.
Это лишь пара случаев из собственной практики.
Почему-то с бесплатными движками я подобных ситуаций не встречал. Всегда при появлении информации о дыре сразу же выходило срочное обновление её устроняющее.
Ну и наконец, код бесплатных систем имеет больше шансов попастся на глаза взломщикам и получить быстрое устранение своих уязвимостей, тогда как в код платных систем которые не просто достать, мало кто "ради интереса" смотреть будет.
Я конечно могу ошибаться, но на данный момент у меня именно такое мнение. А как считаете вы?
Спустя 10 минут, 56 секунд (28.05.2010 - 13:24) DedMorozzz написал(а):
Не вижу причины особо бояться пользоваться известными ЦМСками(в плане безопасности). Ибо их тестило достаточно большое количество людей, дырки которые были найдены - устранены(ну обычный пример ОпенСоурса), а если какой-то злобный кулц хакер, найдёт и в оной таковую брешь, то "Он же" сможет хакнуть и не так отлично оттестированую, самописную систему. Ибо не бывает идеальной защиты.
Спустя 44 минуты, 35 секунд (28.05.2010 - 14:08) jetistyum написал(а):
не забывайте, например что большинство серверов работают на OpenSource операционных системах.... и вполне надёжно.
Спустя 6 минут, 4 секунды (28.05.2010 - 14:14) Rand написал(а):
Доверяю, но проверяю. Платность и бесплатность не имеет значения - хороший платный скрипт рано или поздно появится в "бесплатном" варианте. По мне так лучше своя уникальная разработка - нет лишнего функционала, всё заточено под конкретный проект. Главное чтобы руки из нужного места росли =) Но выбор CMS обычно зависит от средств, времени и целей, здесь я думаю всё индивидуально. У меня, например, был сайт на своём движке (новости,статьи,галерея,гостевая), но в один прекрасный день мне понадобился каталог файлов, система регистрации пользователей и возможность комментировать материалы. У меня не было времени дописывать нужный функционал, а готовые движки, которые я ставил на хостинг - работали из рук вон плохо. И что бы вы думали? Я выбрал Ucoz - дешево, безопасно, сурово 
.
. Спустя 3 минуты, 11 секунд (28.05.2010 - 14:18) jetistyum написал(а):
ага, я не доверяю автопрому, зачем ездить на машинах, выпущеных универсальными, поэтому я делаю свой автомобиль сам, с нуля 
очень редко такой подход оправдан ..
очень редко такой подход оправдан ..
Спустя 7 минут, 32 секунды (28.05.2010 - 14:25) Kuzya написал(а):
| Цитата |
| не забывайте, например что большинство серверов работают на OpenSource операционных системах.... и вполне надёжно. |
Помоему свободные OpenSource-разработки всегда будут более надёжнее дургих аналогов, именно из-за своей открытости.
Спустя 18 минут, 30 секунд (28.05.2010 - 14:44) jetistyum написал(а):
ну вот ты и ответил на свой вопрос
Спустя 6 минут, 5 секунд (28.05.2010 - 14:50) Rand написал(а):
| Цитата (jetistyum @ 28.05.2010 - 11:18) |
| ага, я не доверяю автопрому, зачем ездить на машинах, выпущеных универсальными, поэтому я делаю свой автомобиль сам, с нуля очень редко такой подход оправдан .. |
Я же написал - всё зависит от целей. Но согласитесь, всегда приятнее видеть результат своих собственных трудов. Даже отношение к проекту совсем другое. И я ведь не зря привел пример с юкоз - это случай, когда свой движок был не оправдан.
Спустя 17 минут, 9 секунд (28.05.2010 - 15:07) Basili4 написал(а):
На мой взгляд проблем с безапасностью СMS больше чем у рукописных проектов предположим найдена уязвимомть в какойто определенной CMS. об этой уязвимости пишут во всем инете кулц хакеры пишут експлоит использующий эту уязвимость. и любой школьник может скачать его вот тут начинается самое интересное ума этому школьнику может от природы не было дано. Самооценка занижена вот и начнет он тыкать свой эксплоит куда как говорят сабака нос не совала а вдруг какойнибудь сайт не установил заплатку. и думать не надо. А самописный проект надо изучить иследовать так его на крепость попррбывать и так. Вообщем поработать надо подумать. Даже если и найдется уязвимость и найдет её какой нибудь вандал пострадает один сайт. А не все на этом движке. Я блин не умею речи толкать. Ежели что извеняйте. Я лично против ЦМС на любого рода проектах.
Спустя 2 минуты, 34 секунды (28.05.2010 - 15:09) vasa_c написал(а):
Kuzya, доверять в нашем мире нельзя никому.
| Цитата |
| Помоему свободные OpenSource-разработки всегда будут более надёжнее дургих аналогов, именно из-за своей открытости. |
Надежность зависит от квалификации и желания программистов. Открытость-закрытость тут далеко не на первом месте.
Спустя 38 минут, 47 секунд (28.05.2010 - 15:48) Kuzya написал(а):
Basili4, описанная вами ситуация очень редкая. Это самый "идеальный" случай. Как правило эксплоит выходит уже после того как вышел патч. А в остальном вы правы.
| Цитата |
| Надежность зависит от квалификации и желания программистов. Открытость-закрытость тут далеко не на первом месте. |
Да, но это не самый последний фактор.
Спустя 9 минут, 28 секунд (28.05.2010 - 15:58) Basili4 написал(а):
В криптографии существует правило Керкхоффа (стойкость шифра должна
определяться только секретностью ключа). Тем самым говорится о том что отркрытые системы более устойчивы к атакам.
определяться только секретностью ключа). Тем самым говорится о том что отркрытые системы более устойчивы к атакам.
Спустя 2 часа, 21 минута, 46 секунд (28.05.2010 - 18:19) twin написал(а):
| Цитата |
| Надежность зависит от квалификации и желания программистов. Открытость-закрытость тут далеко не на первом месте. |
Аплодирую стоя. Дыры есть и будут в любых приложениях, самописных или автопромовских.
Другое дело, как к этому отнесется программист. Слепо доверится, полагаясь на мнение толпы, или проверит и сам что то
| Цитата |
| ага, я не доверяю автопрому, зачем ездить на машинах, выпущеных универсальными, поэтому я делаю свой автомобиль сам, с нуля очень редко такой подход оправдан .. |
Автопром дело хорошее, однако болиды формулы один собирают руками.
Спустя 26 минут, 19 секунд (28.05.2010 - 18:46) jetistyum написал(а):
Толко эти боллиды собирают не новички, и всёже их собирают 1 на миллион, а не каждый сам себе
Спустя 7 минут, 55 секунд (28.05.2010 - 18:54) twin написал(а):
Вот вот.
Если рассуждать так, что я серая масса, вполне довольствующаяся ладой-калиной, то да, нет вопросов.
А рассуждать нужно именно так - это я себе делаю, не ширпотреб какой-нибудь.
Если рассуждать так, что я серая масса, вполне довольствующаяся ладой-калиной, то да, нет вопросов.
А рассуждать нужно именно так - это я себе делаю, не ширпотреб какой-нибудь.
Спустя 1 час, 7 минут, 22 секунды (28.05.2010 - 20:01) jetistyum написал(а):
в итоге имеем кучу выкидышей, ведь не каждый способен сделать болид а ездить на калине - каждый .
У тебя, Твин какое Авто? а Комп? а замок для двери ? все сам делаешь? или используешь готовое?
а ездить на калине - каждый .У тебя, Твин какое Авто? а Комп? а замок для двери ? все сам делаешь? или используешь готовое?
Спустя 7 минут, 10 секунд (28.05.2010 - 20:08) Rand написал(а):
jetistyum, а ты какие овощи предпочитаешь, магазинные или домашние? А чебуреки?
Спустя 1 час, 21 минута, 47 секунд (28.05.2010 - 21:30) twin написал(а):
Rand
Вы не совсем правы. Иногда хочется перекусить, и чебуреки от махмуда очнь способствуют уталению голода.
Но если хочется праздника, вряд ли кто побежит в чебуречную. Домашняя еда рулит.)
Вы не совсем правы. Иногда хочется перекусить, и чебуреки от махмуда очнь способствуют уталению голода.
Но если хочется праздника, вряд ли кто побежит в чебуречную. Домашняя еда рулит.)
Спустя 8 минут, 44 секунды (28.05.2010 - 21:39) Rand написал(а):
Безусловно . Я написал с учетом того, если у человека есть выбор =)
Домашний чебурек всегда вкуснее, но если у тебя его нет (а кушать сильно хочется), то легче купить у Махмуда.
Также я отношусь и к скриптам. Всегда приятней пользоваться своей CMS, но если у тебя её нет (а сайт тебе нужен завтра), то легче использовать готовое.
. Я написал с учетом того, если у человека есть выбор =)Домашний чебурек всегда вкуснее, но если у тебя его нет (а кушать сильно хочется), то легче купить у Махмуда.
Также я отношусь и к скриптам. Всегда приятней пользоваться своей CMS, но если у тебя её нет (а сайт тебе нужен завтра), то легче использовать готовое.
Спустя 1 час, 42 минуты, 8 секунд (28.05.2010 - 23:21) jetistyum написал(а):
только не нужно про махмуда, я не предлагаю тебе использовать мою цмс, в данном случае чебуреки предполагают быть некачественные, сделанные непонятно из чего... непонятной свежести, что касается опенсурсных движков, то качество там как правило превосходит коммерческие проекты. так что сравнение не верно
Спустя 1 минута, 6 секунд (28.05.2010 - 23:22) jetistyum написал(а):
возьми к примеру википедию, крупнейший опенсурс проект, что-то я не слышал чтобы какой-то восьмиклассник взломал ее
Спустя 2 минуты, 27 секунд (28.05.2010 - 23:24) jetistyum написал(а):
Действительно крутые движки пишутся под продукт, но таких движков реально нужны еденицы, когда нагрузка на проект - тысячи и тысячи ежеминутных запросов... я так понимаю у вас врядли есть такие проекты... (но я искренне их вам желаю ) для всех остальных есть мастеркард готовые движки, на которых очень быстро сетапятся проекты, которые вылизаны за десятки лет вдоль и поперек, к которым написана гора плагинов.
) для всех остальных есть Спустя 31 минута, 24 секунды (28.05.2010 - 23:56) Rand написал(а):
Когда мне надоест писать код, возможно я буду думать как ты. Пока что мне нравится изобретать велосипед заново, что тут поделаешь К тому же это отличный способ совершенствовать свои навыки. Думаю, мы просто находимся на разных уровнях - я себя ощущаю где-то в начале пути, а ты, скорее-всего, ощущаешь себя уже состоявшимся программистом.
К тому же это отличный способ совершенствовать свои навыки. Думаю, мы просто находимся на разных уровнях - я себя ощущаю где-то в начале пути, а ты, скорее-всего, ощущаешь себя уже состоявшимся программистом. Спустя 10 часов, 6 минут, 44 секунды (29.05.2010 - 10:02) twin написал(а):
| Цитата |
| возьми к примеру википедию, крупнейший опенсурс проект, что-то я не слышал чтобы какой-то восьмиклассник взломал ее |
О! Супер пример. У неё кстати открытый код и недавно пришлось ковыряться. Кой чего нужно было доделать - аватарки заказчику захотелось и что то не помню уже. Так вот, такого монструозно-идиотского движка давно видеть не приходилось. Я вообще удивляюсь, как она работает с такой посещаемостью. Или там стпицот серверов у них (скорее всего), или там не тот двиг.
Такое дерьмо я никогда бы себе не поставил. Не рылся в безопасности - мне этого не надо было, но одно то, что там языковой файл весит почти 300 kb а класс базы данных занимает 2850 строк, уже говорит очень о многом. Да, попытались ребята сделать все, что бы была, как говорят, "защита от дурака". Но какой ценой!!! Ты мерял этот двиг? Да он на шареде и сотни посетителей не сдюжит наверно, просто ацкий караул. Зато надежно.
Спустя 1 час, 23 минуты, 59 секунд (29.05.2010 - 11:26) DedMorozzz написал(а):
Ты сейчес о движке "Медиа Вики"(MediaWiki)?
Спустя 28 минут, 25 секунд (29.05.2010 - 11:55) Kuzya написал(а):
| Цитата |
| Супер пример. У неё кстати открытый код и недавно пришлось ковыряться. Кой чего нужно было доделать - аватарки заказчику захотелось и что то не помню уже. Так вот, такого монструозно-идиотского движка давно видеть не приходилось. Я вообще удивляюсь, как она работает с такой посещаемостью. Или там стпицот серверов у них (скорее всего), или там не тот двиг. |
В таких случаях базовый движок сильно модифицируют, иногда и до неузнаваемости. Если код ужасный, то врятли кто-то его станет использовать вчистую на таких проектах
Причём это встречается почти везде. Если даже производитель какой-нибудь CMS держит крупный проект под её управлением, то она всегда сильно модифицируется.
Спустя 1 час, 18 минут, 26 секунд (29.05.2010 - 13:13) twin написал(а):
DedMorozzz
| Цитата |
| Ты сейчес о движке "Медиа Вики"(MediaWiki)? |
Угумс.
Kuzya
Вот и я про что. Просто я не по наслышке про него говорю, видел и ковырял.
Конечно, если заказчику нужен такой функционал, только с аватарками, я не идиот писать все с нуля. Прикрутил туда, да и все. Но если мне поступает заказ с конкретным ТЗ, я никогда не буду юзать чужих кодов. Благо своих дофига.
И только попробуйте сказать, что они хуже.
Я самый крутой программист в мире. Именно так должен думать каждый, тогда будет все по взрослому, а не детский конструктор "лего".
Спустя 5 минут (29.05.2010 - 13:18) Unlikely написал(а):
twin
Можно ещё мантру написать. И читать в свободное время
Можно ещё мантру написать. И читать в свободное время