В "Simple Social Buttons", популярном плагине к системе управления web-контентом WordPress, выявлена (https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../) критическая уязвимость, позволяющая получить контроль над сайтом. Плагин Simple Social Buttons (https://wordpress.org/plugins/simple-social-buttons/) позволяет адаптивно подставлять кнопки отправки данных в социальные сети в различные части страницы в зависимости от их содержимого. Плагин насчитывает более 40 тысяч активных установок (число загрузок превышает 500 тысяч).
Уязвимость вызвана отсутствием должных проверок полномочий, что позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress, определённые в таблице wp_options. В частности, плагин производит разбор переданного в составе запроса JSON-объекта и обновляет в таблице все указанные в нём настройки, не проверяя их тип, принадлежность плагину и наличие прав доступа. Проблема проявляется начиная с версии 2.0.4 и устранена в выпуске 2.0.22.URL: https://www.webarxsecurity.com/wordpress-plugin-simple-socia.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50143
Да, выглядит именно как "уязвимость", а не бэкдор.
Полон опасностей personal-home-page-мирок.
Flat File CMS не такой!!!
Обожаю фанатов "свободного" софта. Они везде видят бэкдоры и заговоры. А ведь казалось бы, надо радоваться, что независимый анализ кода сотнями _хомячков_ энтузиастов позволяет находить баги...
В случае вордпреса и жумлы - это независимое написание кода сотнями _хомячков_. Ни о каком анализе там давно уже и речи не идёт.
Всё-таки кто-то баги по безопасности находит, информирует об этом комьюнити и даже пилит патчи. На самом деле таким товарищам респект. Но популярные CMS в плане качества кода - адЪ и скрежет зубовный...
Вот тебе и "Simple"
Вот что бывает, когда не проверяешь входные данные с клиента.
Вот что бывает когда плагины:
* Не изолированны.
* Исполняются с привилегиями основного кода.
* Имеют доступ к базам данных.
* Могут произвольно загружать внешний код.
Такая система в принципе не может быть безопасной.
В рамках какой cms на php эта проблема плагинов решена?
Где, вообще, эта проблема решена?
Зато может быть достаточно гибкой и не сильно прожорливой
>позволяет любому пользователю, включая обычных подписчиков, изменить системные настройки WordPress#гибкость #agile #runfastbreakthings
нет пулично доступной информации, что эти инвалиды используют agileно я тебе подыграю:
а как waterfall бы это предотвратил?
погоди, а нафига мне плагин - изолированный, не имеющий доступ к базе, с урезанными привиллегиям? (ну хрен с ним с внешним кодом, хотя вообще-то вон сам вротпресс ты небось тоже откуда-то загрузил, не лично побайтно набрал?)
он чего в результате делать-то сможет?См прекрасную историю гуглоулучшаек, нечаянно (или не совсем?) победивших ubo. Зато безопастно!
Кривые плагины с административными правами разрушат любую систему. Спасение от этого CMS-хаоса - минимализм. Например, WonderCMS.
> Спасение от этого CMS-хаосаWEBанутым нет покоя.
Домашнюю страницу? Обфзательно на WordPress! Даже если сайтик на 100% статический и обновляется раз в год. Не забываем установить 10 самых популярных плагинов!
Картинки для сайтика? Обрезаем обязательно в PhotoShop последней версии ПроЭлитЛимитедЭдишон
Хостимся? Обязательно в GoogleAzureAmazon cloud в контейнерах на кубеннетесе. Не менее чем в 5 инстансах сразу. Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!
> Никто не знает выдержит ли ВордПресс наплыв десяти пользователей сразу!this
а мое решение просто - нифих такие гогносайты. Их делают люди, не способные к созиданию, они не могут ни оформить свои мысли в удобный для читателя формат, ни даже позаботиться о сохрании своих же текстов в нормальнов виде, а не кривой базе вордпресса.
Интернет-форматы уродливы сами по себе. Напр. ты решил поделиться информацией о своей поездке в какую-нибудь глубинку.Свой сайт: это дорого и вряд ли у многих есть дизайнерский вкус чтобы его оформить, навыки и оборудование профессионального фотографа чтобы были красивые фотоснимки, регулярные поездки чтобы сайт постоянно обновлялся.
Вики: аналог своего сайта по сложности + отказ от авторских прав.
Форум: свалка с не очень понятной модерацией.
Выбор большинства - бездействие. И я их понимаю.
>Выбор большинства - бездействие. И я их понимаю.вы пропустили появление социальных сетей (одноклассники, фб, вк, инстаграм)?
А чем это лучше? Вот приехали вы из путешествия, были на островах или в горах. У вас туча классных фоток.Делиться в соцсетях? Это как метать бисер перед свиньями. Потонет в ??вне. И уже ощущение, что и обесценились твои фотографии. Перед кем? Для чего?
Так что да. Вариант - свой сайт. А еще вариант - старая добрая печать. Вы не представляете какое удовольствие оформить самому фотокнигу и распечатать на отличной матовой/глянцевой бумаге!
Правда вы ее не покажете всем-всем-всем. А вот кому надо - покажете. И вообще - то, что недоступно - ценно.
А соц.сети как раз и снижают ценность артефакта искусства или фото, или рассказа, или еще чего.
Так что сайт, или печать. Или печать )
Обычно приехал и сразу забыл, фотки так на фотике и остались. Максимум скнинул на комп. Накой ты ты там шарашился с фотиком вообще непоятно.
Попытка записать впечатления -самообман. ты потратил половину отпуска на это.
При наличии прямых рук, желания и хорошего настроения - я бы назвал это другим словом. Но если вы любите шарашиться - ничего не имею против )
Не пробовали вариант - не снимать в поездках совсем? Пару последних раз испытал этот метод - никакого дискомфорта - вообще без фоток! Иначе все поездки, а также разные мероприятия типа юбилеев и особенно свадеб превращаются в изготовление репортажей о самих мероприятиях.
Пробовал. События со временем забываются. Особенно это касается экскурсионных поездок. Спустя годы открываешь фотоархив и удивляешься где ты оказывается был. Смотришь, вспоминаешь - приятно.Ценность фотографий, сделанных в плохом качестве, обнулилась. А вот ценность качественных снимков пока ещё высока. Искал качественные фотографии Японии на flickr. Нашёл лишь одного (!) про-фотографа, который их отдаёт - Liwei. У него фотоаппаратура стоит ~300 тыс.руб. и он раздаёт фотографии бесплатно!!! Но он такой один и у него очень ограниченный круг интересов, напр. по Токио это всегда Hama rikyu, Kyu shiba rikyu, Koishikawa korakuen и очень редко Shinjuku gyoen. В Токио есь множество других отличных японских садов, но они остаются все его поля зрения.
Ценность качества фотографий для указанной вами цели как раз около нуля, ценны воспоминания, а для этого оптимально что-бы на фото были люди и ключевые моменты, так-же возможно, короткие видео-отрывки, которые потом можно последовательно включить на экране, когда просто делаешь что-то дома, к примеру играя с детьми, включить фотографии их n-лет назад, смотреть внимательно никто не будет, но как фон идёт.
Кому как... Обратил внимание, что посещая одни и те же места я делаю фотоснимки с одних и тех же ракурсов. А другие люди (тот же Liwei) - всегда со своих ракурсов, но тоже всегда одинаковых.Это наше личное мировосприятие, поэтому рассматривая свои снимки я могу вернуться в тот момент и вспомнить как я себя чувствовал. Смотря чужие - просто получить впечатление что я там увижу.
Фотографировать свою рожу на каждом снимке - вот это фото с нулевой ценностью. Если есть желание - делай ежедневные фото на белом фоне, можешь даже потом сделать покадровое видео "как я жил и старел".
Чет у вас проблемы какие психологические. Но не мне судить, конечно. Сейчас зима, солнца мало. Вы это, витаминчики какие что ли )
> Делиться в соцсетях? Это как метать бисер перед свиньями.Ну так свинья и метают бисер перед другими свиньями. Вы же сами говорите про "большинство".
это те сайты, где загруженные данные тебе уже не принадлежат и компании могут распоряжаться ими как хотят? о да, это намного лучше личного сайта! А еще они замечательным образом не индексируются поисковиками и в Архиве Интернета не сохраняются.
> не индексируются поисковиками и в Архиве Интернета не сохраняютсяэто хорошо. а то во-первых, жалко мощностей и так дохнущего архива, во-вторых, архив индексируется гуглем, и можно нечаянно перейти по ссылке. Представьте что будет, если он таки будет содержать всю канализацию из вконтактика-хипстаграмчика-мордокниги - вы ж это развидеть ни за какие деньги уже не сможете.
Спасение только статическая генерация и всё. Других выходов не существует.
Для статической генерации как раз предназначены простые CMS, одна из которых была упомянута. Безо всяких скриптов и с плоскими файловыми БД. Совсем неплохо.
Я помню как извращался с говносайтом одной маленькой компании - наклепал его на Drupal, а потом отзеркаливал копию wget-ом у себя на локалхосте и выкладывал полученное на хостинг (эти операции запихнул в скриптик ессно). Дёшево и сердито.Только вот причина такого странного поступка была совсем не безопасность, а то что хостинг был какой-то совсем стрёмный: то ли php не было, то ли не той версии, или поддержки СУБД не было...
Занимался такой же фигней. Давай обнимемся.
Например, статический HTML!
Сейчас уже для вордпреса есть плагины для Fediverse (децентрализованых и опенсорсных социальных сетей). Остальное - проприетарщина
>децентрализованых и опенсорсных социальных сетейА зачем мне децентрализованное и опенсорснное "ненужно"?
Просто, если в реале показывать всем свой "глубокий внутренний мир" то побьют.
На то он и внутренний, что показывать не надо ) Он уже внешним становится
А вдруг у тебя там криптомайнер?
Fediverse - это возможность держать внутрений мир внутри а внешний снаружи.
а у пользователей проприетарных соцсетей всё снаружи.
Уязвимость на самом деле называется wordpress.
В контексте PHP и комьюнити WP, да.
у меня тут есть прекрасный сайт на джанге. К сожалению, бизнес-критикал. Изготовителя замуровали в подвале еще позапрошлого офиса (так ему и надо), поэтому даже промышленная некромантия не поможет - при смене площадки необратимо рвутся астральные связи.прекрасное пихоноподелие раз в день ловит sigsegv (причем без всяких гарантий что вот прямо с завтрашнего дня не начнет его ловить раз в секунду, например - совершенно неизвестно ведь, почему).
Знаете что? Лучше бы это гуано было на php - я, вероятно, хотя бы смог бы локализовать проблему.
Не говоря уже о том, что у нас разработчиков на ем цельный отдел.
Целый отдел гуано? :scream:
понимаешь, вот они ни разу ко мне не приходили с проблемой "у нас непойми от чего в самом интерпретаторе случается sigsegv". Более того, на одной из прошлых работ, где было гораздо страшнее - четыре несовместимых версии php и прорва очень стремных модулей собранных методом pecl дай-г.на под хайлоадом - тоже не случалось (не приходить не могли, там я точно был бы в курсе)ну так и спрашивается, какая среда большее гуано - страшный и отвратительный пехепе, или прекрасный модный пихон с жангой?
Да причем тут пыхп, если с полпинка и в продакшен штампуют сайты. Я изза этого не иду в отрасль вебдева, что клиенту еще нужно донести, почему качественное предложение по цене и срокам больше чем у большинства.
В корпорейт-секторе все понятнее. Вот лопата, вот навоз. Берешь и копаешь. Пусть и веб, зато зарплата хорошая.
с навозом все нормально - липнет и воняет. Но лопату выдали не совковую, и даже не снегоуборочную, а детскую для песочницы. В результате ты в навозе, все в навозе, вонь страшенная, а таск так и не продвинулся к закрытию.зарплата, кстати, может включать kpi, который окажется недовыполненным, поскольку измеряется в тоннах перекопанного навоза.
типикал корпорейт сектор, нонеча.
Критерий качества кто определяет? Независимый аудит? Или "мамой клянус!"?
Хотя бы наличие тестеров, не говоря действительно уж об аудите. И не штамповка мышкой из готовых чужих компонентов. А это все повышает цену и сроки
да нормально всё, какие проблемы? социализация же: вот пусть социум сайтами и рулит.
Потому что сосальные кнопки - это плохо и не нужно.
Никогда такого не было, и вот опять.
В пустыне внезапно обнаружен песок! - Вот это поворот!
--
Давно известно что качество дополнений ниже плинтуса...