odporucam precitat
http://freez.security-portal.cz/index.php?page=2&article=13
od nadpisu "Autor WebZdarma exploitu",
nanestastie(pre vas) musim povedat, ze je to cele uplna PRAVDA... mohli by ste s tym nieco spravit... je sice pravda, ze ja vas hosting na moje stastie nemusim, ale aj tak je mi luto tych ludi, ktori su odkazani na reklamu, pomale a zle ftpcko a nahravanie suborov cez web, na php4, v ktorej sa NEDA programovat, atd.
co ma nohy a rozum uteka ku konkurencii...
prosim vyjadrite sa ;)
k tvemu prispevku:
nejak mi unika o ci ti jde
delat si reklamu na svy nenavstevovany stranecky? ze se ani nepodepises
pokud to neni tvoje, co takhle aby si ty vyjadril nazor?
k problemu:
a? znas snad nejakej 100% zabezpecenej system?
zrovnatak debilizmus autoru: WZ je podle nich pretizeny, proto daji uzivatelum na vedomi kod, jak toho zneuzit, kazdej si zaregistruje pokusnej ucet, a pak to takhle dopada.
a ze freezovi smazali ucet? dobre mu tak. spouste lidi unika ze navadeni k trestne cinnosti je taky trestne
mike:
k mojmu prispevku:
sory, ze som sa nepodpisal, mam uz vo zvyku vsade davat smajla ;)
ten link som hodil sem, lebo s nim 100% suhlasim
dost mi vadi, ze je tu len php4 a ze je to totalne nezabezpecene(ked sa to tak vezme, su tu primitivne chyby sposobene odflaknutym kodom, ako je napr. nepouzivanie superglobalnych premennych atd.*)
viem, ze som velmi ostro skritizoval a aj zvelicil niektore veci, ale pochop prosim ta, ze nechcem nikoho urazit, len som proste rozhorceny na NEOCHOTOU adminov to zmenit
* to sa adminom nakoniec aj vymsti a to tim, ze napr. php6 planuje odstranit direktivu register_globals
Tomi: pokud tomu pořádně nerozumíš, tak se do tohoto tématu radši nepleť.
Ano je tu jen PHP4, ale pověz mi, co je na PHP5 tak úžasného, že se na něj vyplatí okamžitě přejít. OOP? Pár nových funkcí? Nic z toho 99,9% zdejšího osazenstava (a těch pár zbylých je na tom tak dobře, že si dokáží poradit) nevyužije a tím pádem péct pár hodin procesory na serverech (jinak řečeno kompilace nového severu s novým PHP) jenom kvůli tomu, aby pár kecalů jako ty mělo radost se prostě nevyplatí. Zvlášť, když je PHP5 statisticky mnohem děravější než PHP4 a tím, že se přejde na PHP5 stejně 90% rádoby programátorů, kteří zde se zde prezentují budou dělat děravé kódy.
No a jakpak to, že se na PHP4 nedá programovat? Schválně čekám, co z tebe vypadne.
A jakpakto že je nezabezpečené? Chci nějaký příklad děravosti nastavení zde na Wz.
Ne, problém nebude ve verzi PHP, ale někde trochu jinde...
"co ma nohy a rozum uteka ku konkurencii..." tak asi nemám rozum, protože já jsem za ty prachy spokojenej a klidně si dovolím říct, že i přes značný pokles kvality služeb od začátku roku je WZ mnohem kvalitnější než některé placené hostingy, se kterými jsem měl tu čest.
A ještě reakce na FreeZ (sekurity) blog:
-Podle mě jde jen o silácký článek, ve kterém se FreeZ chlubí cizím peřím a přiživuje se na cizím neštěstí. Jediný, kdo podle mě může dělat velkého Pána je Sysel2001, protože ten narozíl od FreeZe (který akorát plácá a hovno hovno zlatá rybko) něco umí (viz. link na jeho exploit).
- řešením je prý freehosting PHP5.cz.
Celkem odvážné rčení, zvlášť když z jeho podmínek jasně vyplývá, že tato služba není primárně určena na to, aby si na ní kdejaký trouba a rádoby programátor udělali svůj freehosting, ale jen a pouze pro seznámení s PHP5 a testováním svých skriptů na něm.
a jenom pripominecka k tematu WZ (nebo IC) versus PHP5
imho je rozdil (hodne velkej) mezi webhostingem (WZ) a vyvojarskym hostingem (php5). kdyz se podivate na prumernou stranku na WZ, tak to jsou vetsinou stranky malych firmicek, blogy apod. zalozeny na nejakym hotovym redakcnim systemu. je to proto, ze spousta lidi proste nevi co to je FTP a neumi HTML aby si to udelali sami. uz vidim jak se takovyhle lidi budou pravidelne kazdy tri mesice pripojovat na FTP a delat pres to nejakou aktualizaci
tom:
A) tym chybam
napr. ked nejaky ucet neexistuje, alebo ak nastala hocaka chyba na wz, tak sa to cele davalo do $_GET['err_msg'][], alebo podobne(uz presne nepamatam ;-]) a par debilkov to vyuzivalo tvorbou rovnomenneho cookie a naplneni blbou hodnotou, takze to dost vedelo nastvat
viem sice ze takato chybycka a podobne niesu VELMI zavazne, ale taktiez musis uznat ze by sa NEMALI stat
taktiez tu tusim mali problem so session_save_path-om a taktiez aj s tym bugom, ktory objavil sysel2001
.. a neviem, kolko dalsich chyb tu je...
B) k tomu, ze sa tu neda programovat
uff, zas som pouzil silne slovo ;)
kazdopadne ja som zvyknuty na OOPcko z ostatnych jazykov a tak som ho uz pouzival v PHP4, ale v php5 je to o niecom uplne inom ;) hlavne ma potesilo predavanie premennych odkazom ;)
taktiez neviem ako ty, ale ja sa povazujem za kodera-amatera a dost mam rad jednoduche veci ;) napriklad simplexml ;)
c) k freezovi, a syselovi
viac menej suhlasim s tebou, ale ja to beriem skor tak, ze aj jeho(freeza) dost nastval stav na wztku...
ps: aj ked sa ponad vsetko povznesieme, tak vies o tom vobec, ze nemas zobrazenu reklamu na manual.wz.cz a tym porusujes ich podmienky? ;)
<HTML>2Tom@sQo: ehm, no já třeba na manual.wz.cz reklamu vidím, a to dokonce na všech stranách...</HTML>
Tom@sQo:
Reklamu u sebe na webu vidím. Je na každé stránce skoro dole ;) Jenom jestli jí náhodou neblokuješ nějakým potvorem :)
ad A: no dobře, tak se tady pro předávání chybových hlášení používá GET. A co ... maximálně pár lidí četlo Sooma a to dokáže přepsat tak, že místo "špatné heslo" se ti vypíše nějaká kravina. A to by mi mělo vadit? Obzvlášť když svůj web spravuji přes FTP a na WZ lezu jenom do diskuzních fór (v administraci jsem tak rok a půl nebyl). Nic víc na tom nevidím a za chybu to nepovažuji (maximálně tak za amatérismus).
ad B: á, tak to tě chválím, zvládáš OOP (to hodně lidem dělá problémy). Akorát že OOP je dle mého názoru něčím na způsob xHTML (tedy moderní trend, který akorát přidělává starosti). Neříkám, že OOP není dobré, ale zase není třeba jej cpát všude a ukazovat, jak že to vlastně zvládám. Přece jenom ti z nás, co do toho trošku šťourají dokáží při troše snahy z PHP4 vymáčknout i pseudo-OOP (když už teda musíme).
SimpleXML je krásná věc, ale pokud by jsi zagůglil, tak by jsi zaručeně našel desítky tříd a funkcí, které jej někdy dokáží i předčit.
Spíš než PHP5 bych tady rád viděl WebDav a použitelné knihovny (třeba kdo tady využíváte Gdbm?)
ad C: no, jde to WZ z kopce, ale jak jsem psal: pořád je na tom líp, než některé placené hostingy, se kterými jsem se setkal. No a to php5.cz taky není zrovna zádný zázrak. Teda nevím jak teď, ale tak před rokem jsem s nimi měl tu čest a nastavení serveru měnili častěji, než já si měním ponožky.
<HTML>Jsou tu 2 typy uzivatelu..
Prvni se zaregistruji, udelaji si svuj web o ktery se staraji a jsou radi ze to maji zadarmo.
A pak druzi kteri o sluzbu nestoji, registruji ucty jen aby mohli delat bordel a kdyz se jim neco podari cekaji velky obdiv.
A Sysel2001 je kdo?
Neni to nahodou to spatne vychovane dite ktery drive ci pozdeji zjisti jak se slusny a solidni clovek chova?
Obdivuju hackersky kung-fu v televizi, kde vlozi CD a za 20s se naboura do FBI. A jeste vic obdivuju lidi, co se pasou na freehostingu a freemailu.. tam je prece nejvic lam kteri vubec netusi oc jde.. na nich se proslavim a budu kral! (Jednooky kral mezi slepymi)</HTML>
priznam sa, dost ma zarazilo, jak sa k problemu staviate... miesto priznania si VLASTNYCH CHYB nad odflaknutym kodom obvinujete DRUHYCH, ktori ich nasli... miesto VDAKY ich urazate a ignorujete... keby bol wz trosku popularnejsi a rozsirenejsi, povedal by som, ze z neho vznika druhy microsoft...
<HTML>To nebyl nazor zadnyho wz ale muj osobni.
Jde o princip. Kdyz nekdo napise na mail adminovi nasel jsem chybu,diru.. tam a tam takovou a takovou tak to osobne povazuju za dobry pocin ktery je treba ocenit. Tak to ale samozrejme nikdy neni a misto toho se vsude objevuji clanky typu: "lamy, nic neumi, nic nevi, podivejte jaci jsou to idioti, maji tam chybu a nejsou schopni ji opravit" atd ... a tohle je presne to o cem mluvim.. to neni hodno obdivu, to je tak na facku</HTML>
Richard: hlasuji - toto je kvalitní názor ;)
Tom@sQo: pokusím se tě vyvést z omylu: bezpečnostní díry se neobjevují jen v odfláknutých kódech. Není v programátorových silách, aby u tak rozsáhlého systému jako třeba redakční systému ošetřil všechny díry. Richard má pravdu; pokud někdo díru objeví a oznámí jí správcům, je to dobré, ale pokud se s ní pouze vychloubá a správcům jí neoznámí ...
... i když mám takové tušení že Sysel prý WZ o díře informoval?!
Pokud jde o Freeze alias cURLy bOi, tak ten si zde s nama uz pekne vyrikal par slov. A to nemluvim o tom, ze HRUBE porusil pravidla WZ tim, ze po uzivatelich pozadoval jmena a hesla k uctum WZ. Proste jsou to typy chlapku jak rika Richard - vytahujou se, nadavaji na chyby, ale neupozornuji na nej administratorum.
>> keby bol wz trosku popularnejsi a rozsirenejsi, povedal by som, ze z neho vznika druhy microsoft...
Tak to je teda dost blby prirovnani. Microsoft je sam o sobe smejd, ktery se chlubi samima bezpecnostnima dirama.
A tak já si taky kopnu.
aaaaa3.borec.cz, brečíš pěkně, ale nad špatným hrobem. Proč to píšeš do PHP a ne do podpory? Nebo jsi to, nedej bože, napsal i tam (ještě jsem tam dneska nedošel)?
Obecně.
Chyby jsou úplně všude. Jestli najdeš nějaký systém (myšleno ve sféře počítačů a programů), který je bez chyb a bez děr, tak ti pozlatím sedínku centimetrem 24 karátového zlata. (Transport Tycoon DeLuxe se nepočítá, ten je skutečně bez chyb ;-) )
Na druhou stranu se tě (aaaaa3.borec.cz) musím zastat, že je třeba lidí, co rýpají. Kdyby jich nebylo, tak by bylo málo adrenalinu na noční opravování takovýchto systémů. Ale je třeba rýpat vyváženě a nenaštvat správce moc ;-)
Kdyby si lidi nechtěli dělat naschvály, tak by takových diskuzí nebylo. Ale na to jsme špatný živočišný druh. Dojel na to i Marx s Engelsem a Leninem.
Microsoft je firma na peníze. Netřeba čekat super soft. I když v poslední době už jim nic jiného jak dělat pořádný soft nezbývá a je to pomalu vidět. Schválně zkuste říct, co je na MS fuj, a já vám to vyvrátím. (Je to jednou gold partner mého zaměstnavatele, tak ho budu hájit, ne? No. Holt koho chleba jíš....)
OOP nebo ne OOP: Tady se zase přikloním spíš k tomu OOP. Větší věci se s ním dělají mnohem líp. U menších ani moc nezáleží jestli OOP nebo ne, ale jak je to nějaký web rozsahu red. systému, už se OOP hodně hodí. Ale je úplně jedno, jestli to je OOP ala PHP4 nebo PHP5. Jde spíš o princip jak o formu. (Pravda PHP4 si na OOP trochu hraje, nic méně základ typu propery, metoda, dědičnost tam je a stím se dá napsat naprosto všechno (opět, pokud má někdo příklad proti, vyvrátím (pravděpodobně :-) ) ))
A ještě jednu radu rýpalům. Najděte si holku (pokud jste holka tak kluka), zajděte na pivo a zjistíte, že jsou to naprosto malicherné problémy.
A takhle bych mohl moralizovat donekonečna.
richard: podla mna by bolo najvyhodnejsie vyhlasit sutaz, ze kto nakodi najlepsie a najkvalitnerjsie admiistracne rozhranie, ten si moze odstranit reklamu zo stranky :) bolo by to podla mna vyhodne pre obe strany ;)
tom: tiez mam pocit, ze sysel o tej chybe informoval, ved inak by nezverejnoval zdrojak :)
marek:
huuha, ty si toho dost napisal ;)
taaakze,
co sa dokonaleho projektu tyka, tak spomeniem napr. vsetky vyrobky googla, okrem youtubu, kde sa naslo uz par xss chyb ;)
Tycoon-y su (skoro) vsetky bez chyb ;-))
co sa OOP tyka, uznavam, ze (skoro) vsetko, co sa da naprogramovat v OOP v php5, sa da naprogramovat v php4, ale mne aj tak chybaju tie malickosti, ktore su sice nanic(napr. abstractna trieda, ...), ale zvysuju uhladnost kodu ;) taktiez mi velmi vadi, ako som uz napisal vyssie, predavanie premennych hodnotou ;) viac info v mistrovstvi v php5 :)
este niekoho/nieco som vynechal? ;)
co sa zmeny na php5 tyka, som amater v tomto smere; a mne by update na localhoste trval 3-4 minuty(cca ;-]), preto by ma zaujimalo, preco je to take tazke zmenit verziu na velkom servri, ako je napr. wz?
zaver: ako vidim, asi sa touto diskusiou vela nedosiahne, preto doodpovedajte a HOWG ;)
Tomi: "co sa zmeny na php5 tyka, som amater v tomto smere; a mne by update na localhoste trval 3-4 minuty(cca ;-]), preto by ma zaujimalo, preco je to take tazke zmenit verziu na velkom servri, ako je napr. wz?"
Proč? Protože profi server potřebuje být výkonný a k tomu nestačí pouze výkoný hardware, ale i software kompilovaný na tom hardwaru, na kterém poběží. Potom budeš mít jistotu, že z obojího budeš moci vymáčknout maximum.
No a vzhledem k tomu, že ty to dáš za tři minuty, tak to provedeš tak, že stáhneš připravený binárky a ty jenom nakopíruješ na příslušné místo. Je to sice jednoduché, ale o nějakém výkonu se tam moc mluvit nedá (zvlášť když to dupe na wokýnkách) :)
MzM: tak to já si na účet Wokýnek rejpnu (i když tě krmí):
Win Vista a jejich akcelerované grafické rozhraní. K čemu je dobrý, když jediné co umí, je pěkně vypadat? Osobně tomu říkám omalovánky, protože na rozdíl od Berylu je to k ničemu. Můžeš si tam zprůhlednit obsah okna a přepsat si do něj něco z okna pod ním? Můžeš při práci s mnoha programy jejich okna rozházet na víc ploch aby ti nepřekážely ve spodní liště?
No a co když máš rozdělanou nějakou důležitou práci a okýnka ti spadnou?
Třeba mě se ještě nikdy nestalo, abych svého Tučňáka zboural kompletně. Vždy mi spadla maximálně tak grafika, kterou jedním příkazem nastartuješ znovu a frčíš spokojeně dál (přinejhorším uložíš práci a počítač restartuješ).
Btw, nechci dělat reklamu Linuxu, ale já osobně mám rád použitelné systémy, na kterých se dá pracovat. To podle mě byly naposledy Win 2000 / XP a samozřejmě Linux.
tom: taakze jediny problem je v tom, ze by sa to dlho jednorazovo kompilovalo?
ps: bezim na ubuntu ;) a riadne som si skompiluval zdrojaky apachu a phpcka, ale aj tak su to len 3-4 minuty ;)
2Tom@sQo:
Ja taky jedu na ubuntu ;) Ale tady jde o to rozlisit domaci komp a server. Na serveru to musis nastavovat za ostreho provozu a to neni zrovna jednoducha a rychla zalezitost. Behem zmeny mas na pozadi tisice aktivnich uzivatelu a admin se musi strachovat, aby neudelal chybu a z kratkodobeho vypadku neudelal delsi vypadek. Na domacim kompu tohle nehrozi. Tam si muzes kompilovat, stourat se v nastaveni a odstavit server na jak dlouho chces a nikdo te nebude bombardovat nadavky.
A mimo to administrator by se radeji, pokud to neni vylozene nutne, jakekoli zmeny na serveru vyhnul.
tomik: uznavam, ze je to tak, ale, podla mna by (skoro)nikto adminovi nezazlieval, keby odstavil server hoc aj na tyzden(co pochybujem, ze by to tak dlho trvalo, konfiguracia apachu a ostatnych novych komponentov podla vlastnych predstav trva maximalne hodinu), anyway, raz na novu verziu softu bude musiet prejst a ako sa po cesky hovori : "cim driv, tym lip" :)
>> podla mna by (skoro)nikto adminovi nezazlieval, keby odstavil server hoc aj na tyzden
To bys videl kolik lidi by bylo stastno na tydenni vypadek. A to zvlaste zde na WZ. Staci planovany hodinovy vypadek a uz je tu 30 nasranych uzivatelu, kteri nadavaji, co se to zase deje. To, ze byli informovany, je nezajima.
>> uznavam, ze je to tak, ale, podla mna by (skoro)nikto adminovi nezazlieval,...
tady jsou i taci uzivatele kteri pri hodinovym planovanym vypadku vyhrozujou odchodem z hostingu a zalobou,... takze asi tak
>> bude musiet prejst a ako sa po cesky hovori : "cim driv, tym lip" :)
taky se rika "nespravuj, co neni rozbity"
"taky se rika "nespravuj, co neni rozbity" "
a taky se říká že co si sám nezničíš, to se samo neposere ;)