Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Новая критическая уязвимость в Joomla использована для совер..., opennews (?), 14-Дек-15, (0) [смотреть все] Новость прочитал на одном дыхании как какой то боевикхорошо что ничего с Joomla , VecH (ok), 23:51 , 14-Дек-15, (2) +18 И как это в 1 5 26 исправить , Ilya Indigo (ok), 00:04 , 15-Дек-15, (4) –2 // https github com PhilETaylor Joomla1 5 999 commit 95741d8a2bbb92ea3c8aeaa5427f, Аноним (-), 00:14 , 15-Дек-15, (8) +2 // Ух ты Судя по всему починив дыру с HTTP_USER_AGENT они тут же посадили точно та, Аноним (-), 00:22 , 15-Дек-15, (10) +1 // Вряд ли Десятью строчками выше у них стоит filter_var, с параметрами намекающим, freehck (ok), 00:52 , 15-Дек-15, (12) Зато сколько бесполезных - по части whitespace Погромисты на пхп - такие по, Аноним (-), 03:27 , 15-Дек-15, (19) +4 Благодарю , Ilya Indigo (ok), 01:24 , 15-Дек-15, (15) –1 обновится до последней версии или закрыть доступ из вне а лучше перенести сайт н, Аноним (28), 09:15 , 15-Дек-15, (28) –16 // да-да, где на файлы кидают 777 , 123 (??), 09:47 , 15-Дек-15, (33) +9 whois 146 0 72 83address Tussen de Bogen 6, 1013 JB Amsterdam, The Nethe, Аноним (-), 00:06 , 15-Дек-15, (5) +2 // whob lft , Michael Shigorin (ok), 21:10 , 15-Дек-15, (65) –1 Я для прикола пишу в кодах сайтов, что это Joomla Потом столько весёлых действи, th3m3 (ok), 00:07 , 15-Дек-15, (6) +2 // чем же прикажете пользоваться кроме как не им , joomlasenior (?), 00:11 , 15-Дек-15, (7) // Я уж совсем не программист, но свои визитки-хелловорлды делал на друпале, т к чу, Аноним (-), 01:28 , 15-Дек-15, (16) –4 на bitrix, Аноним (28), 09:17 , 15-Дек-15, (29) –14 // блин, более бессмысленного гогна чем этот твой битрикс походу вообще не существу, Аноним (-), 18:57 , 15-Дек-15, (61) +3 Ты просто пессимист Нет предела совершенству , . (?), 20:09 , 15-Дек-15, (64) –1 Да почти чем угодно -- жумла по характеру дыр в ней и головах разработчиков сопо, Michael Shigorin (ok), 21:13 , 15-Дек-15, (66) Слушайте, 2015 год на дворе Кто ещё записывает данные в БД напрямую, без просло, dlazerka (ok), 00:20 , 15-Дек-15, (9) –1 // кто-кто, похапешники, Аноним (-), 03:17 , 15-Дек-15, (18) +1   // Ну я сам писал на пехапе года 3, 8 лет назад Но уже тогда использовал какую-то , dlazerka (ok), 03:51 , 15-Дек-15, (20)   // Ненене, PHP не в клозетах, а в головах , Аноним (-), 09:27 , 15-Дек-15, (32) +2   ППЦ, на чем можешь написать ты что нибудь серьезное А по делу - различных орм, в, АнонимУася (?), 08:03 , 15-Дек-15, (26) +1   // Согласен Хотя язык всё же виноват, за то что он привлекает уродов халявщиков , dlazerka (ok), 11:41 , 15-Дек-15, (49)   https docs joomla org Inserting,_Updating_and_Removing_data_using_JDatabaseвсе, Аноним (28), 09:21 , 15-Дек-15, (31)   Кто-то в 2015 году использует ненужные тормозные прослойки Мои соболезнования , Отражение луны (ok), 04:41 , 15-Дек-15, (21) –2 // PHP головного мозга детектит , 10й Брейтовский переулок (?), 06:03 , 15-Дек-15, (22) +2 А вы как эскейпите SQL параметры , dlazerka (ok), 10:23 , 15-Дек-15, (36) –1 // Никак Нормальные люди юзают подготовленные выражения , Аноним (-), 10:40 , 15-Дек-15, (37) Титеретик Был бы у тебя практический опыт, ты бы знал, что они не работают для , angra (ok), 10:48 , 15-Дек-15, (39) –1 Не могу говорить за предыдущего участника, но я вот практик, и что-то не помню т, dlazerka (ok), 11:25 , 15-Дек-15, (44) Самый простой пример - имена полей и таблиц в большинстве БД не попадают под воз, angra (ok), 11:34 , 15-Дек-15, (48) +1 Добавлять поля в таблицы в realtime это уже не от php а от mysql наверное , Аноним (-), 11:54 , 15-Дек-15, (50) –1 Он имеет ввиду не добавлять, а выбирать SELECT someDynamicColumn , if someCo, dlazerka (ok), 12:05 , 15-Дек-15, (54) Точно, спасибо Хорошо, что в PaaS, с которым я сейчас работаю, такое невозможно,, dlazerka (ok), 12:02 , 15-Дек-15, (53) Ну так а я о чём PreparedStatement и есть прослойка А вы называете её тормозну, dlazerka (ok), 11:27 , 15-Дек-15, (45) Не совсем так, это прослойка немного другого уровня которая в части применений , Аноним (-), 11:55 , 15-Дек-15, (51) –1 Query Parameters Binding , Andrew (??), 11:19 , 15-Дек-15, (42) Ну так а я о чём См мой первый коммент с которого началась ветка INSERT INTO , dlazerka (ok), 11:29 , 15-Дек-15, (46) Ты точно хорошо вычитал на этот предмет код всех ORM, с которыми приходится стал, angra (ok), 10:55 , 15-Дек-15, (40) +1 // Да, я читал код JDBC, именно на предмет экранирования Да и что там читать, Ctrl, dlazerka (ok), 11:23 , 15-Дек-15, (43) +1 // Загугли значение ORM, ну или сразу глянь в https en wikipedia org wiki Object-, angra (ok), 11:29 , 15-Дек-15, (47) DDL и DML в одну кучу не надо валить , Аноним (-), 11:57 , 15-Дек-15, (52) Нормальные, человеческие ORM-ы, вроде JPA и Hibernate, сидят уже поверх JDBC , жабабыдлокодер (ok), 14:20 , 15-Дек-15, (57) –1 Ох жесть, когда уже наконец выжгут каленным железом на интересных местах о том, , Иван Ер0хин (?), 00:44 , 15-Дек-15, (11) +4 // Программисты тут ни при чём Приходит заказчик, у тебя-умного сайт можно сделать , Аноним (-), 19:31 , 15-Дек-15, (62) // Значит, ему сейчас не нужен сайт Серьёзно Потому что потеряет он на нём спер, Michael Shigorin (ok), 21:17 , 15-Дек-15, (68) –1 Большинству, не нужны супер мега написанные движки вручную на php, которые соотв, Аноним (-), 00:56 , 15-Дек-15, (13) // Вот такие дебилы, не побоюсь этого слова, и строят скорорушащиеся дома Чтоб они , Michael Shigorin (ok), 21:18 , 15-Дек-15, (69) +1 Suhosin , Корабельная крыса (?), 01:02 , 15-Дек-15, (14) // Помер , Nicknnn (ok), 15:15 , 15-Дек-15, (58) Спасибо, что просветили , Аноним (-), 01:54 , 15-Дек-15, (17) Похапе-хейтеры в курсе, что Википедия и, если не ошибаюсь, Фейсбук с Вконтактом , Аноним (-), 06:49 , 15-Дек-15, (23) –1 // Конечно в курсе,эти же люди по совместительству ненавидят социальные сети и счит, Аноним (-), 07:46 , 15-Дек-15, (25) –1 // Пусть тогда ненавидят еще и питон за дырки в moinmoin, руби за дырки в гитхабе, , Аноним (-), 09:18 , 15-Дек-15, (30) да, фейсбук и контакт изначально использовали пхп, и сейчас жалеют об этом Дело, Аноним (-), 11:15 , 15-Дек-15, (41) +1 // Поверь, те, кто одновременно с фейсбуком начали писать социальную сеть на С C ,, Аноним (-), 19:35 , 15-Дек-15, (63) –1 Без предустановленных дыр тут ничего не взлетает , Аноним (-), 08:51 , 15-Дек-15, (27) Для 2 5 28 патчикhttp pastebin com 90RnzreF, CHERTS (??), 09:50 , 15-Дек-15, (35) Пропатчил движки подведомственных сайтов Однако на парочке серверов в логах обна, Аноним (-), 13:22 , 15-Дек-15, (56) // А я вчера все обновил, но сегодня в логах появилось такое чудо , Игорь (??), 16:25 , 15-Дек-15, (59) –1 // Вот те раз Это уже не радует , Аноним (-), 16:46 , 15-Дек-15, (60) На другом сайте советуют в htaccess так же докинутьRewriteCond HTTP_USER_AGEN, brandy (ok), 21:19 , 15-Дек-15, (70) // а что за сайт, такое рекомендует , Владимир (??), 23:32 , 15-Дек-15, (71) http habrahabr ru company pt blog 273213 , Аноним (-), 05:52 , 16-Дек-15, (73) Аналогично, нашел в логах упомянутые строки Поднял старую копию из бэкапа, свер, Аноним (-), 05:55 , 16-Дек-15, (74) // А вы БД сверяли , Ilya Indigo (ok), 10:46 , 16-Дек-15, (76) // Нет, т к это проблематично делаются регулярные изменения в магазине Но новых, Аноним (-), 12:08 , 16-Дек-15, (78) Чёрт, поздно прочитал новость, просмотр логов дал инфу о сегодняшнем посещении т, brandy (ok), 21:14 , 15-Дек-15, (67) Судя по всему, эта уязвимость эксплуатировалась годами, просто выявлена была пос, Atla (?), 05:13 , 16-Дек-15, (72) // Если у вас на сервере пользователь, от которого работает сайт, может подсадить , тоже Аноним (ok), 08:48 , 16-Дек-15, (75) +1 // Да, всё верно И это уже проблемы хостера если используется хостинг В любом из , Atla (?), 22:24 , 16-Дек-15, (82) Дал url на эту статью веб мастеру После не долгого прочтения было 8211 822, йцукен (??), 10:55 , 16-Дек-15, (77) // Ответ - пригласить для веб мастера помощника и дать возможность поработать в дво, Аноним (-), 15:14 , 16-Дек-15, (79) –1 Попробуйте деньгами И пообещайте оплатить время, которое если потребуется для, Аноним (-), 19:16 , 16-Дек-15, (81) +1 Объяснить мастеру что файервол тут никак не поможет, потому как joomla разрешена, Atla (?), 22:30 , 16-Дек-15, (83) юзайте yii2 , Аноним (80), 16:25 , 16-Дек-15, (80) 2,4,5,6,9,11,13,14,17,23,27,35,56,67,72,77,80

Сообщения

[Сортировка по времени | RSS]

	18. "Новая критическая уязвимость в Joomla использована для совер..."	+1 +/–
	Сообщение от Аноним (-), 15-Дек-15, 03:17
	кто-кто, похапешники
	Ответить | Правка | Наверх | Cообщить модератору

	20. "Новая критическая уязвимость в Joomla использована для совер..."	+/–
	Сообщение от dlazerka (ok), 15-Дек-15, 03:51
	> кто-кто, похапешники Ну я сам писал на пехапе года 3, 8 лет назад. Но уже тогда использовал какую-то либку (может сам написал, не помню) через которую шли все 100% моих SQL запросов. Мне кажется это больше говорит о программистах, чем о языке. Тяжёлый недуг -- PHP рук. Слава богу, евросоюз недавно принял законы обязывающие многие IT компании серьёзнее относиться к безопасности. Ну у нас зарплаты вырастут, как следствие.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Новая критическая уязвимость в Joomla использована для совер..."	+2 +/–
	Сообщение от Аноним (-), 15-Дек-15, 09:27
	> Тяжёлый недуг -- PHP рук. Ненене, PHP не в клозетах, а в головах.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Новая критическая уязвимость в Joomla использована для совер..."	+1 +/–
	Сообщение от АнонимУася (?), 15-Дек-15, 08:03
	ППЦ, на чем можешь написать ты что нибудь серьезное? А по делу - различных орм, всяких разных, больших и маленьких, тысячи их. На крайний случай есть PDO, в котором можно забиндить значения или переменные. И язык не виноват, что используется для быстрого создания мелких страниц, сайтов и приложений, и благодаря чему в него приходят уроды халявщики.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

	49. "Новая критическая уязвимость в Joomla использована для совер..."	+/–
	Сообщение от dlazerka (ok), 15-Дек-15, 11:41
	> ППЦ, на чем можешь написать ты что нибудь серьезное? > А по делу - различных орм, всяких разных, больших и маленьких, тысячи > их. На крайний случай есть PDO, в котором можно забиндить значения > или переменные. И язык не виноват, что используется для быстрого создания > мелких страниц, сайтов и приложений, и благодаря чему в него приходят > уроды халявщики. Согласен. Хотя язык всё же виноват, за то что он привлекает "уродов халявщиков". Точно так же как Scala виновата в том, что привлекает эгоистичных самодуров, которые поганят хороший язык операторами вроде :=++ или implicit-ами из которых потом не пойми откуда пуля прилетает прямо в ногу. Пускай бы шли обратно в свой любимый идеальный Lisp.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Новая критическая уязвимость в Joomla использована для совер..."	+/–
	Сообщение от Аноним (28), 15-Дек-15, 09:21
	https://docs.joomla.org/Inserting,_Updating_and_Removing_data_using_JDatabase все там есть только не все пользуются. в вашем любимом языке X - тоже можно напрямую делать запросы, без фильтрации данных.
	Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема