https://opennet.me/openforum/vsluhforumID3/113225.html В выпускаемых компанией Western Digital сетевых хранилищах My Cloud (https://www.wdc.com/products/network-attached-storage.html) обнаружены опасная уязвимость и бэкдор, позволяющие (http://gulftech.org/advisories/WDMyCloud%20Multiple%20Vulnerabilities/125) получить привилегированный доступ к устройству. Уязвимость даёт возможность выполнить код с правами root через отправку удалённого запроса без выполнения штатной процедуры аутентификации. Бэкдор проявляется в наличии скрытой учётной записи администратора с предопределённым паролем, который невозможно изменить. Проблемы присутствуют в прошивках до версии 2.30.165 включительно (кроме ветки MyCloud 04.X) и устранены в обновлении 2.30.174.<br><br><br>Уязвимость присутствует в скрипте multi_uploadify.php и связана с некорректной обработкой параметров. Сервер для аутентификации в скрипте определялся путём использования имени хоста, переданного в HTTP-заголовке Host, который может быть изменён пользователем. В сочетании с отсутствием кода для обработки ошибок при вызове https://opennet.me/openforum/vsluhforumID3/113225.html#144 Wed, 10 Jan 2018 20:49:35 GMT &gt; самое удивительное в этой хреновине - что она вообще-то, как правило, работает. <br><br>Это объяснимо циклом разработки: сделали новую фичу, реализовали в ней самый базовый функционал, несколькими обновлениями залатали дыры - и модуль превращается в священную корову, которую боятся лишний раз тронуть. Развитие - только в самом крайнем случае. В результате глючит оно не у Битрикса, а у тех страдальцев, кто берется допиливать эту базу до юзабельности. Сами виноваты и все такое...<br> https://opennet.me/openforum/vsluhforumID3/113225.html#143 Wed, 10 Jan 2018 20:25:28 GMT ну да, ну да. Но в общем-то понятно, почему оно так - когда этот коран писали, до контроллеров еще не додумались, а потом уже поздно было переделывать.<br><br>самое удивительное в этой хреновине - что она вообще-то, как правило, работает. Причем в условиях, когда уже, вроде, давно пора плыть кверху брюхом.<br><br> https://opennet.me/openforum/vsluhforumID3/113225.html#142 Wed, 10 Jan 2018 18:23:47 GMT Например, типичный битриксовский template.php - это один входящий $arResult с диким количеством никем и никогда не документированных полей, который произвольно разбрасывается по страничке.<br>Единственная возможность что-то с этим осмысленно сделать - это найти, где для этого темплейта готовились эти данные и - в лучшем случае - какая функция их вернула (они еще кое-как документированы). В худшем - их собирает простыня условий длиной в строчку и циклов по тому, что оказалось массивом. Без единого комментария, не считая закомментированных кусков кода, оставшихся из позапрошлой версии. Причем часть этой логики реализована в том, что с определенной натяжкой можно было бы назвать контроллером (хотя оно круто замешано с моделью), а остальное запахано в сам шаблон.<br> https://opennet.me/openforum/vsluhforumID3/113225.html#141 Wed, 10 Jan 2018 18:05:51 GMT &gt; нет говядины, так купи и сдай.<br><br>Еще были "гениальные" агрономные решения и эксперименты, типа выращивания риса на Ставрополье. <br>Особенно там, где с мая по сентябрь если будет с пяток дождей и пару недель плевок не будет испаряться на лету, то лето будет считается дождливым и холодным. <br>Естественно, в том что рис, несмотря на обильнейшую ирригацию, поднявшую уровень грунтовых вод до подмывания кладбищ, подвалов и "удобств во дворе", виноват был не климат, а происки врагов!<br> https://opennet.me/openforum/vsluhforumID3/113225.html#140 Wed, 10 Jan 2018 17:52:29 GMT &gt; А потом к власти пришла голь. Кулаков раскулачили. С каким энтузиазмом шло <br>&gt; хозяйство в колхозах - всем понятно. <br><br>С большущим! Даже платить не надо было &#8211; с песнями и за черточки трудодней в деревнях еще несколько лет после ВоВ работали. И оброк продуктами с хозяйства тоже платили. Яйки, млеко, хрюша, коровка, независимо от климата и конкретных возможностей на месте - нет говядины, так купи и сдай.<br>Правда, почему-то колхозникам еще и паспорта долго после войны не выдавали, видимо сильный дефицит скрепок был.<br> https://opennet.me/openforum/vsluhforumID3/113225.html#139 Wed, 10 Jan 2018 17:51:25 GMT &gt; Таки да, вебмакаки в темпе вальса делают дешево и круто в темпе васльса.<br><br>сайт из одной страницы (сейчас так модно), жрущий 500 мег на каждое обращение. Ага, делают.<br>Заказчик доволен, а через пол-года нет уже ни макаки, ни заказчика, ни его конторы. Поэтому разбираться ни с шедеврами дизигна, ни с мутным кодом на неведомом "фреймворке" никому не требуется.<br>Удаляя мусор с сервера, интереса ради заглядываем в лог...ну да, понятно - стопиццот заходов гугляндекса и прочих роботов-е..тов, за "seo-услуги"-то тот заказчик тоже заплатил, так принято, человеков - ровно ноль, поскольку делать на том сайте человекам совершенно нечего. rm -r, аминь.<br><br>А то с чем ковыряюсь я - существует в самоподдерживающемся режиме года этак с 99го, а если учесть полу-существование на чьем-то левом ресурсе еще до появления собственного домена, то и постарше опеннета будет. Для сайта сугубо не-айтишной тематики - неплохое в общем-то достижение. Жаль что в конце-концов все же сдохло, но для необслуживаемого сервера с горе-админами и https://opennet.me/openforum/vsluhforumID3/113225.html#138 Wed, 10 Jan 2018 17:26:01 GMT &gt; Вот только самое важное состоит в том, что расстреливали в большинстве случаев <br>&gt; за дело, а семейные предания имеют замечательное свойство замалчивать, что входило <br>&gt; в то самое "ни за что". Ведь не рассказывать же внукам, <br>&gt; что дедушка спекулировал, воровал, разбойничал, а может даже зверски пытал и убивал.<br><br>Ты еще про кулаков забыл. Оказывается, жить не как бомж - это было что-то плохое. А уж нанять кого-то для выполнения работ в большом хозяйстве... <br><br>А потом к власти пришла голь. Кулаков раскулачили. С каким энтузиазмом шло хозяйство в колхозах - всем понятно. Внезапно наступил голод. Потом кой-как соганали пинками и угрозами расстрелов как бы совсем и не рабов в колхозы. Но в целом это работало хреномо, россияне до сих пор от этого не очухались. У амеров 3% фермеров кормят полпланеты и это крутая высокооплачиваемая работа. А у россиян до сих пор наследие этого. С разваливающимися коровниками (ибо нафиг нормально содержать "чей-то" коровник), нытьем про неурожаи, хреновый климат и просьбами доки https://opennet.me/openforum/vsluhforumID3/113225.html#137 Wed, 10 Jan 2018 17:03:04 GMT Офигеть, из поха даже вебмакака не получилась. Таки да, вебмакаки в темпе вальса делают дешево и круто в темпе васльса. Это и есть смысл их существования. А битрикс ставит полтора ж-порука типа поха, которых заказчик нанял по ошибке. Потом заказчик обычно огребает море проблем с чудо-битриксом, который даже за деньги поддерживать не хотят, а для упрощения жизни сторонних девов там вроде вообще код чуть ли не обфусцирован и они тем более в гробу его видали.<br><br>В результате уплачено сотни денег за филькины лицензии, выглядит как овно и работает как овно. И никем толком не поддерживается. Малейшие намеки на проблемы или пожелание тривиальных фич которые умеют все конкуренты мигом отличаются заказчику в астрономические суммы.<br><br>Итого: пох отличный внедренец. Рекомендую. Использовать так: засылаете его конкурентам и наслаждаетесь шоу. Можете быть уверены, он кинет ваших конкурентов качественно, да еще сделает вид что продешевил и сделал одолжение.<br> https://opennet.me/openforum/vsluhforumID3/113225.html#136 Wed, 10 Jan 2018 16:38:23 GMT &gt; да, но я в него не помещаюсь :-( <br><br>Этого не было в изначальной постановке задачи. Если надо чтобы ты помещался, используй бочку.<br>