Место для Вашей рекламы всего за 400 рублей в месяц ! email:incognito.anonimous@yandex.ru

Спонсор проекта:
Лучший вариант для анонимности купить прокси на выделенном сервере IPANN.NET.
Ads



Последние комментарии
#1
watersoda пишет: » А с другой стороны, какой смысл в МСВС 5.0, когда ... (12.11.2017)
// Обзор и попытка установки МСВС 5.0
#2
X_perienced пишет: » А какое именно оборудование там подерживается - го... (25.08.2017)
// Обзор и попытка установки МСВС 5.0
#3
Linups_Troolvalds пишет: » Хватит писать бред. МСВС (возможно) не работает на... (24.07.2017)
// Обзор и попытка установки МСВС 5.0
#4
watersoda пишет: » Да и RHEL под "Эльбрус" не помешал бы... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#5
watersoda пишет: » Небольшая поправка: ... через соответствующий паке... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#6
watersoda пишет: » Кстати, мелькала где-то информация, что Red Hat сд... (19.03.2017)
// Обзор и попытка установки МСВС 5.0
#7
watersoda пишет: »
Цитата:
... МСВС отстаёт от ДОСа по поддержке виде...
(16.03.2017)
// Обзор и попытка установки МСВС 5.0
#8
admin пишет: » watersoda, этот ноутбук выпущен в 2012 году wink
Убунт... (16.03.2017)
// Обзор и попытка установки МСВС 5.0
#9
watersoda пишет: » И вот ещё, правда речь про МСВС 3.0:
Цитата:
Устрои...
(08.03.2017)
// Обзор и попытка установки МСВС 5.0
#10
watersoda пишет: » Я где-то читал, что ВНИИНС предоставляет список об... (08.03.2017)
// Обзор и попытка установки МСВС 5.0
#11
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#12
дохтур пишет: »
Gentoo написал:
Вот мне лично нахуй не надо ни одн...
(02.02.2017)
// Письма неадекватов
#13
Gentoo пишет: » >>Autocad, Kompas, CorelDraw, SolidWorks, AD... (30.01.2017)
// Письма неадекватов
#14
watersoda пишет: » Just for fun как он есть.biggrin (15.01.2017)
// Линукса нет! Нас обманули !!!
#15
дохтур пишет: » admin, ага, ещё вот проприетарная лицензия на обще... (13.01.2017)
// Письма неадекватов
Quotes
var, log, etc, bin и sbin, dev, usr, X11, lib, opt, mnt - это любимые линуксячьи названия

Массовый взлом сайтов, работающих под управлением WordPress | автор: Luca | 12 мая 2010 |

Категория: Open Source


Буквально неделю назад меня снова упрекали в том что выбрал не правильную CMS для сайта. Два дня назад кто-то увидел php.exe exception вместо главной сайта и объявил Винду кривой. Но вот подоспели новости с фронтов и они как всегда доставляют.

"В сети отмечается всплеск взломов сайтов, построенных на базе движка Wordpress. Разработчикам пока не удалось выяснить причину взлома, так как взлому подверглись не только устаревшие версии, но и сайты на базе последней версии Wordpress.

После взлома в код footer.php интегрируется специально подготовленная php-вставка, выводящая JavaScript-блок, нацеленный на установку вредоносного ПО на машину пользователя при открытии сайта в необновленных версиях web-браузеров Internet Explorer и Firefox."


и тут же в догонку:

"Многочисленные уязвимости в различных реализациях функций PHP, разной степень опасности от инициирования краха и перехвата скрытой информации (preg_quote(), zend_sr opcode, zend_bw_xor opcode, html_entity_decode(), chunk_split(), addcslashes(), hash_update_file()), до организации выполнения кода (qlite_array_query(), sqlite_single_query()) и организации записи в произвольную область памяти интерпретатора (shm_put_var()). Корректирующий релиз PHP с исправлением представленных проблем еще не выпущен."



А теперь пару комментов:

xxx:Часть из этих ошибок — причина порочной практики программирования, которая связанна с использованием непоследовательного и непродуманного языка PHP: построение SQL-запросов путем конкатенации, смешивание html-кода и программной логики, скрипты и файлы с данными вперемешку, изначальное отсутствие пространств имен, "magic quotes hell" (убрали, но каким местом раньше думали), register_globals (понятно, что обычно выключено, но как вообще можно было в здравом уме до такого додуматься).
yyy: это верно... причём код на PHP можно писать довольно надёжно, но выглядеть такой код будет ГРАМОЗДКО и НЕВЫНОСИМО...

вот например такой пример:

<?php

$name_arg = stripslashes($_GET['name']);

echo
'<а href="'.htmlspecialchars(
$_SERVER['SCRIPT_NAME'].'?profile='.urlencode($name_arg)
).'">'.
htmlspecialchars('Перейти к профилю: '.$name_arg).
'</а>';
если бы каждый начинающщий программист изначально знал бы что для того чтобы вывести всеголишь одну HTML-ссылку -- нужно так много PHP-кода (и такие длинные названия функций. конешно ведь не было пространств имён) , то онбы не стал и начинать изучать PHP...

...становиться понятным что новичку в web (кто только изучает web и PHP) -- кажется что чтобы вывести ссылку нужно всеголишь написать:
<?php

echo
'<а href="'.$_SERVER['SCRIPT_NAME'].'?profile='.$_GET['name'].'">'.
'Перейти к профилю: '.$_GET['name'].
'</а>';

Вот вам и технологии не решающие проблемы, а создающие новые трудности.

источник
источник2


Комментарии посетителей
[1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

#1. MOP3E, 12.05.2010 - 23:52

Вот она - безопасность "сообщества". Найденную уязвимость преспокойно эксплуатируют, не сообщая никуда о том, что же именно и в каком месте найдено. ИЧСХ, ни одна собака окромя злоумышленника ещё не нашла эту уязвимость, несмотря на открытый исходный код.

#2. Linux_must_die!, 12.05.2010 - 23:58

NG CMS тоже надёжностью не отличается. biggrin

#3. Dimitriо, 13.05.2010 - 00:01

А какое отношение новость имеет к Линуксу?
Luca, новость не отменяет того факта, что в вашей CMS дыр больше, чем в Wordpress.

Цитата:
Вот вам и технологии не решающие проблемы, а создающие новые трудности.

Укажите на достойную альтернативу.

Отныне СЛОР закапывает и php. Пожелаем работникам лопаты уп#рности в их безнадёжом деле.

#4. Luca, 13.05.2010 - 00:22

Dimitriо написал:
А какое отношение новость имеет к Линуксу?

Такое же какое топики про Microsoft к Linux на ЛОРе.

Dimitriо написал:
Luca, новость не отменяет того факта, что в вашей CMS дыр больше, чем в Wordpress.

Статистика пока говорит об обратном. Но это еще раз подтверждает тот факт, что в малопопулярном продукте (читай Linux) находят мало уязвимостей (хотя Linux тут пожалуй исключение - дыр находят уйму не смотря на его ничтожную долю).

Dimitriо написал:
Укажите на достойную альтернативу.

ASP.NET, Python

Dimitriо написал:
Отныне СЛОР закапывает и php

Мы даем понять, что ОпенСорс не пенацея и проблем у него зачастую вагон и маленькая тележка.

#5. Бродяга, 13.05.2010 - 00:29

Dimitriо написал:
А какое отношение новость имеет к Линуксу?
Luca, новость не отменяет того факта, что в вашей CMS дыр больше, чем в Wordpress.

Здорово, Димитрио, есть какие-нибудь свежие сказки? Ну типа о самопроизвольном заражении вирусами, или еще о чем. А то ж я в не в курсе, какие сейчас мифы среди луноходов в ходу biggrin biggrin biggrin

А отношение она имеет самое прямое - к старому, как г№вно мамонта тезису о том, что в открытом коде при большом количестве глаз все ошибки лежат на поверхности. Так нате, пожалста - код открыт, копайся не хочу. И что? Он стал от этого надежней?! Безопасней?! Да х.й там. Дырявый как решето. Интересно - дойдет ли до луноходов когда-нибудь простой факт, что от доступа тысяч и сотен тысяч школьников к исходному коду ничего не изменится?! Что ошибки ищутся не просмотром исходников, а тщательным и многократным тестированием?! А если кто в коде и копается, то это сами разработчики и есть. Поскольку остальным он в х.й не уперся. Потому что специалистам, способным читать чужой код, как правило есть чем заняться. Ну и я, конечно, исключаю случаи, когда этот код скачивает 15-летний Вася с целью "похакать". И все "хаканье" ограничивается просмотром заголовков с уважительным мычанием "уууу", "аааа", "круто", "риально вещь". Это уже клиника, к айти не имеющая никакого отношения.

#6. petrun, 13.05.2010 - 01:30

Этак вы ребята надорветесь.Больно много закапывать взялись.

#7. pavel2403, 13.05.2010 - 07:28

pavel2403
petrun написал:
Этак вы ребята надорветесь.Больно много закапывать взялись.
Не ссы, мы экскаватор пригоним и закопаем и тебя в том числе. Я вобще за то, что бы всех лунохов кастрировать, что бы не плодились больше такие зомби-утырки, заявляющие что приложения написанные с использованием .Net не запустяться на "голой винде"(притом, что что такое эта самая голая винда никто так и не смог обьяснить), что экзешник такого приложения, состоящего из формы с баттоном будет весить over 10Mb и хавать памяти как corel draw ... ну и дальше по списку вчерашних лулзов.biggrin

#8. null666, 13.05.2010 - 07:39

pavel2403 написал:
Не ссы, мы экскаватор пригоним и закопаем и тебя в том числе.

Денег на лмцензионные отчисления не хватит. ;)

pavel2403 написал:
притом, что что такое эта самая голая винда никто так и не смог обьяснить

Давайте сойдёмся на том, что это Windows 3.1, установленная с параметрами по умолчанию (окромя имени и серийника, конечно)
Несите своё приложение "с использованием .NET" - проверим, как оно запустится biggrin

#9. Тролл Лейбус, 13.05.2010 - 07:46

pavel2403 написал:
Не ссы, мы экскаватор пригоним и закопаем и тебя в том числе.


Держи, Пашок, подарок от линуксоидов: http://img215.imageshack.us/img215/1741/ekskavatorigruhkaotjohn.jpg
Тебе как раз впору будет. И по размеру, и по интеллекту.

По сабжу: Luca решил отмазаться за прошлую серию взломов? biggrin biggrin biggrin

#10. Linups_Troolvalds, 13.05.2010 - 07:49

Найдена уязвимость в движке Wordpress. А уязвимости в проприетарных движках уже не находят?

В ходе конкурса по поиску уязвимостей PHP найдено их аж целых 20, подумать только...

И не надо лепетать что-то там про новичков в PHP. Программист, который не понимает, как работает его программа - это не проблемы языка или системы.

#11. pavel2403, 13.05.2010 - 08:00

pavel2403
null666 написал:
Давайте сойдёмся на том, что это Windows 3.1, установленная с параметрами по умолчанию (окромя имени и серийника, конечно)
Несите своё приложение "с использованием .NET" - проверим, как оно запустится

3.1 это еще не винда еси чо. Моя апликуха будет работать начиная с win2kbiggrin но таких наверное уже и не осталось, за исключением серверов.thinking

#12. pavel2403, 13.05.2010 - 08:04

pavel2403
Тролл Лейбус, Оля привет! Как протекает твоя беременность? Когда родишь, что-то ты долго носишь, слона что-ли? Или это будет богатырь-луноход, который сделает вендекапец(так гласит пророчество)biggrin

#13. pavel2403, 13.05.2010 - 08:06

pavel2403
Да, вчерашний баттх№рт луноходов дает о себе знать. Что болезные, пл.хо вам? Столько г№вна уже выбросили на вентилятор.biggrin

#14. pavel2403, 13.05.2010 - 08:08

pavel2403
Linups_Troolvalds написал:
Программист, который не понимает, как работает его программа - это не проблемы языка или системы.
А что бывают такие программисты??? Ну разве что из луноходов, судя по юзабилити и надежности всех поголовно г№вноподелок линуха.

#15. Manve, 13.05.2010 - 08:11

Manve
pavel2403 написал:
ну и дальше по списку вчерашних лулзов


О да - то, что поведали нам вчера достойно быть высеченным в мраморе:

1) Autocad - это, оказывается, рисовалка.
2) При подключении второй Primary partition винда перестает видеть первую.

Меня до сих пор пробивает на смех.biggrin biggrin biggrin

#16. null666, 13.05.2010 - 08:17

pavel2403 написал:
3.1 это еще не винда еси чо.

"Many longtime PC users trace the Microsoft Windows® operating system to the 1990 release of Windows 3.0, the first widely popular version of Windows and the first version of Windows many PC users ever tried."
http://www.microsoft.com/windows/winhistorydesktop.mspx
Так что 3.1 - это винда. Хотите спорить - пишите письма Биллу Гейтсу. Авось, он к Вам прислушается. biggrin

#17. kenzzzooo, 13.05.2010 - 08:23

kenzzzooo
null666 написал:
Давайте сойдёмся на том, что это Windows 3.1, установленная с параметрами по умолчанию (окромя имени и серийника, конечно)
Несите своё приложение "с использованием .NET" - проверим, как оно запустится


null666 написал:
Так что 3.1 - это винда. Хотите спорить - пишите письма Биллу Гейтсу. Авось, он к Вам прислушается.


может заодно протестируем kde 4.4 на linux 0.01? хуле уже linux как-никак....

#18. Skynet2015, 13.05.2010 - 08:25

Manve,
Смех пробивает по акаду? Ну молодца. Родной мой, автокад - это можно сказать эволюция кульмана и ничего больше. А если тебе нуден нормальный САПР родной, то попробуй EPLAN, и почувствуй разницу. И кста, ты много работал с САПРами?

#19. pavel2403, 13.05.2010 - 08:29

pavel2403
Manve написал:
При подключении второй Primary partition винда перестает видеть первую
Да, меня это тоже доставило. Это опять Акуна Матата доставил. Он уже большой вклад сделал, "секретные протоколы МС", "форма и диалог это одно и то же". Ничто так не глючит и не ломается, как винда в руках лунохода(Ц)biggrin

#20. ont, 13.05.2010 - 08:32

Luca написал:
Мы даем понять, что ОпенСорс не пенацея и проблем у него зачастую вагон и маленькая тележка.

python -- open source, хотя вы его предложили как альтернативу...

----------
Debian Linux user

#21. Manve, 13.05.2010 - 08:36

Manve
Skynet2015 написал:
Родной мой, автокад - это можно сказать эволюция кульмана и ничего больше


Угу, а 1С - всего лишь счеты. Да что там - все суперкомпьютеры, на которые так молятся линуксоиды, - это счетные ракушки первобытного человека. Считать могут? Значит - ракушки.

#22. ont, 13.05.2010 - 08:38

Цитата:
Два дня назад кто-то увидел php.exe exception вместо главной сайта и объявил Винду кривой.

С первого дня знакомства с сайтом вижу и практически каждый день.

----------
Debian Linux user

#23. pavel2403, 13.05.2010 - 08:39

pavel2403
Manve написал:
Да что там - все суперкомпьютеры, на которые так молятся линуксоиды, - это счетные ракушки первобытного человека. Считать могут? Значит - ракушки.
biggrin biggrin biggrin Стопудово!up up up

#24. Skynet2015, 13.05.2010 - 08:44

Manve,
Уважаемый, вы в полемику вдаетесь. Еще раз спаршиваю ВЫ лично работали с САПРом, не? Например с SolidWorks, Electrical, EPLAN?
pavel2403,
Пашок! Про "голую винду", сейчас у меня дома как раз такой ящичек, сейчас качает обновления. Если фреймворки не закачала то просто покажу, что так называемая голая винда. И можешь мне спокойно скинуть свою прогу, я ее точно никому не дам и не дезасемблирую ибо нех.й. Даже скрины выложу запустится она или нет.

#25. Manve, 13.05.2010 - 08:49

Manve
Skynet2015 написал:
Еще раз спаршиваю ВЫ лично работали с САПРом, не?


Нет, не работал. И что? Autocad стал от этого просто "рисовалкой"?

ЗЫ: никакой полемики нет - я просто утрирую вашу логику упрощения, доводя ее до абсурда.

#26. pavel2403, 13.05.2010 - 08:50

pavel2403
Skynet2015 написал:
Про "голую винду", сейчас у меня дома как раз такой ящичек, сейчас качает обновления. Если фреймворки не закачала то просто покажу, что так называемая голая винда. И можешь мне спокойно скинуть свою прогу, я ее точно никому не дам и не дезасемблирую ибо нех.й. Даже скрины выложу запустится она или нет.

Не дам, я даже ректору её не дал, а он более адекватен чем тыbiggrin

#27. Skynet2015, 13.05.2010 - 08:54

Manve,
Будем доводить посты друг друга до абсурда да?
Хорошо, не рисовалкой, а чертилкой, так будет проще.
Да, для справки почему акад стал чертилкой - из-за его распостраненности.
САПР - узкоспециализированная система, мой EPLAN будет не особо полезен линуксмастдаю, а его SolidWorks мне тоже практически не нужен. Улавливаете, или на пальцах?

#28. Skynet2015, 13.05.2010 - 08:56

pavel2403,
По моему ты никуя не написал, а просто п№здишь.

#29. ikkunan salvataja, 13.05.2010 - 08:58

Manve написал:
2) При подключении второй Primary partition винда перестает видеть первую.

Не надо врать, разговор был о другом. В редакциях винды с включённым автомонтированием при подключении второго диска с Primary partition она вклинивается между Primary и logical первого винта.
Например у нас есть битый на два раздела диск, соответственно они видятся как C: и D:.
Подключаем второй, и то, что у нас было D: стало E:, а D: это primary partition второго винта, соответственно все линки, которые шли на D: идут лесом.

#30. kenzzzooo, 13.05.2010 - 08:59

kenzzzooo
pavel2403, сбрось, плиз, мне екзешник.... кое-что хочу глянуть... если не жалко, конечно...

кидай сюда

продублирую из соседней темы smile

#31. owl, 13.05.2010 - 09:01

Skynet2015, а для никсов есть более менее вменяемые САПРы?

#32. Skynet2015, 13.05.2010 - 09:04

owl,
По моей теме к сожалению нет((( А мне не так много надо.

#33. ikkunan salvataja, 13.05.2010 - 09:07

owl написал:
а для никсов есть более менее вменяемые САПРы?

Как я слышал есть, и весьма вменяемые, но они денег невменяемых стоят.

#34. kenzzzooo, 13.05.2010 - 09:10

kenzzzooo
ikkunan salvataja написал:
Как я слышал есть, и весьма вменяемые, но они денег невменяемых стоят.


и там и тут капуста нужна biggrin biggrin biggrin biggrin

#35. owl, 13.05.2010 - 09:10

ikkunan salvataja написал:
Как я слышал есть, и весьма вменяемые, но они денег невменяемых стоят.

Если человек на этом зарабатывает непл.хо, то ему не о чем переживать.

#36. pavel2403, 13.05.2010 - 09:11

pavel2403
Skynet2015 написал:
По моему ты никуя не написал, а просто п№здишь.
Да-да-да, не написал, точно, а скриншоты поддельные, ага, я их в автокаде нарисовал, очевидно же!http//www.imageup.ru/img152/dolf_ru_067344730.gif Блять... ты еще больший клоун, чем я думал. Хочешь переплюнуть по уровню неадеквата нашего клоуна линфана? Смотри, он может обидеться на тебя.http//www.imageup.ru/img152/dolf_ru_459344732.gif

#37. Skynet2015, 13.05.2010 - 09:14

owl,
САПРы нужны для крупных организаций, и кста начинались САПРы с никсов. А так вот тебе ссылка:
http://www.linuxrsp.ru/artic/kon/LinuxandCAD.html

#38. Skynet2015, 13.05.2010 - 09:20

pavel2403,
Ой пашик, какие кульные смайлики твой школьный друг вырь тебе скинул?
Вопрос ко всем присутствующим:
http://kstudio.net/ib.html- проверьте что за птица, и сравните с тем, что пашок на скриншотах постил, не оно ли это?

#39. pavel2403, 13.05.2010 - 09:21

pavel2403
kenzzzooo написал:
pavel2403, сбрось, плиз, мне екзешник.... кое-что хочу глянуть... если не жалко, конечно...
Не вопрос, но только вечерком, хорошо? На работу побежал!!!

#40. kenzzzooo, 13.05.2010 - 09:22

kenzzzooo
pavel2403 написал:
Не вопрос, но только вечерком, хорошо? На работу побежал!!!


ок, буду ждать...
[1] 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

Просмотров: 4965