Невзламываемый движок для форума

Ярослав Иванов

Guest

Это нравится:0 Да/0 Нет

30.04.2007 02:50:54

Я сейчас доделываю свой оф. сайт.

А вопрос такой:

Какой движок форума никогда не ломали?

Т.к. я много путешествую, то ни в коем случае не могу поставить phpBB, IPB или vB и т.п., т.к. во время моего отсутствия ему обязательно будет капут (уже проверено, к счастью, не оф. сайте).

Функциональность мало интересует. Важно, чтобы была возможность модерирования, загрузки аватара, личных сообщений. Остальное - нет разницы.

Геннадьевич

Guest

Это нравится:0 Да/0 Нет

30.04.2007 04:20:27

Ярослав - во первых смотри в какой теме пишеш - OFFTOP
во вторых, все завист в большей степени не от движка, а от "степени кривизны рук"
У многих знакомых стоит phpBB 2.0.22 - не кто не ломает, как не странно.

Да и куда более старые (пропатченные) версии этого форума чувствуют себя вполне комфортно.

Ярослав Иванов

Guest

Это нравится:0 Да/0 Нет

30.04.2007 07:40:27

Цитата
все завист в большей степени не от движка, а от "степени кривизны рук"

Я же говорю, что времени нет за форумом следить (ставить патчи)...

Поискал в Интернет статистику и понял, что такого движка не существует.
Ладно, деваться некуда... придется разрабатывать.

Цитата
многих знакомых стоит phpBB 2.0.22 - не кто не ломает, как не странно

Это кому как повезет. Я тоже знаю такие примеры...

P.S.
Чем больше функциональность, тем большее число уязвимостей, я так понял.

Оптимальный вариант - форум без возможности закачивать\вставлять картинки, ссылки, стили и т.п. В надежном форуме этого не должно быть.

0nep@t0p Guest	#4 Это нравится:0 Да/0 Нет 30.04.2007 10:09:44 Ярослав Иванов, может UCOZ ? Коды движка закрыты, как мне сказали здесь, на секьюлэбе.

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

30.04.2007 16:17:11

в vBulletin мало дыр находят последние несколько лет. А те, что есть - не существеные
А то, что есть пример насчёт взлома vBulletin... какая версия стояла? Точно известно, что именно через дыру в форуме взлом был?

Цитата
Ярослав Иванов пишет: Ладно, деваться некуда... придется разрабатывать.

Думаешь, у тебя получится лучше, чем у спецов, которые бабло на этом куют? И чьи исходники уже были перелопачены кучу раз?
Я почти уверен, что в твоём творении не sql-injection - так XSS обнаружится

И потом: не забывай, что если ты поставишь супер защищённый (с точки зрения web-программирования) сайт, но криво раздашь права и/или поставишь всё это дело на дырявую ОСь - от взлома это не спасёт

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Геннадьевич

Guest

Это нравится:0 Да/0 Нет

01.05.2007 03:52:37

Shanker - явно он Воблу покупать не собирается и не покупал

Ну, а почти во всех НУЛЯХ впарены шел коды - для чайников - страждущих халявы,
думаю все об этом хорошо знают...
Не так уж и часто находят уязвимости, а еще меньше их выкладывают в паблик, ввиде готовых эксплоитов для скрипткидесов.
Так, что ставь любой последний движок форума того же phpBB настраивай нормально и путешествуй.
Все о чем ты говориш - функционал - можно урезать до миниума - практически на люьбом движке.
Удачи

Ярослав Иванов

Guest

Это нравится:0 Да/0 Нет

01.05.2007 08:40:16

Цитата
Точно известно, что именно через дыру в форуме взлом был?

Да, т.к. выложили в Интернет "инструкцию по взлому для чайников". Движок был IPB 2.0.4 (лицензионный, подаренный хорошим знакомым, поэтому специализированные "включения" в код исключены).

Цитата
ставь любой последний движок форума того же phpBB настраивай нормально и путешествуй.

Судя по статистике, это еще опаснее, чем IPB...

Цитата
Думаешь, у тебя получится лучше, чем у спецов, которые бабло на этом куют?

Думаю, что получится нормально, хотя форумы никогда не писал. С моей точки зрения, это будет идеальный вариант, т.к. довольно просто исключить XSS (посредством отсутствия возможности что-либо вставлять, кроме <b><i> и загружать аватар), а также SQL-injection (что, в принципе, исключить не так сложно).

По большому счету, взламывать мой сайт пытаться никто специально не будет, кроме делетантов, которые ничего не умеют, если нет "инструкции по взлому"...

Геннадьевич

Guest

Это нравится:0 Да/0 Нет

01.05.2007 09:32:52

1. Статистика сейчас говорит об обратном
2. Повторю, то, что уже писал - любой фукционал можно урезать средсвами того же форума как миниум...
+ отключить поиск, заливку файлов и т д
3. Ставь последнии версии - на выбор phpBB или Инвиж

Ярослав - почитай инфу, посмотри ту же статисику, обрати внимания на топики в разных хак форумах с просьбами разного рода скрипткидесов "Дайте мне эксплоит для..." которые все остаются без ответа...
Не бойся

В жизни бывает всякое, а твой новый форум будет в 10 раз лучше чем тот который был - поверь
Удачи

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

Это нравится:0 Да/0 Нет

01.05.2007 14:03:43

Цитата
Ярослав Иванов пишет: Да, т.к. выложили в Интернет "инструкцию по взлому для чайников". Движок был IPB 2.0.4 (лицензионный, подаренный хорошим знакомым, поэтому специализированные "включения" в код исключены).

Во-первых, судить о взломе не по логам, а по тому, что в сети существует описание к взлому - по меньшей мере ошибочно.
Во-вторых, я спрашивал именно про vBulletin

Цитата
Геннадьевич пишет: Ну, а почти во всех НУЛЯХ впарены шел коды - для чайников - страждущих халявы,

А есть ссылки на подобные протрояненные движки? Посмотреть охота

Цитата

Ярослав Иванов пишет:
Думаю, что получится нормально, хотя форумы никогда не писал. С моей точки зрения, это будет идеальный вариант, т.к. довольно просто исключить XSS (посредством отсутствия возможности что-либо вставлять, кроме <b><i> и загружать аватар), а также SQL-injection (что, в принципе, исключить не так сложно).

Интересно: чего это спецы из IPB и phpbb никак не могут справится с такой "простоя работой" ?
Дашь потестить движок как напишешь?

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

fasat

Guest

#10

Это нравится:0 Да/0 Нет

01.05.2007 19:41:46

Цитата
Геннадьевич пишет: Ну, а почти во всех НУЛЯХ впарены шел коды - для чайников - страждущих халявы,

ну это думаю и дураку понятно, но есть же сайты где по слогам написано как занулить самому

можно недельку посидеть и подкорректировать двиг, как никак, а защита от киддддииссов со сплоитами уже есть(а это самое главное имхо)

можно подключить скриптик г-на зако не помню ника

в действительности Геннадьевич прав покопавшись по разным хак порталам и позаимствоав скрипты(идеи) можно отбабахать хорошую систему

Геннадьевич

Guest

#11

Это нравится:0 Да/0 Нет

02.05.2007 13:50:50

Цитата
Shanker пишет: А есть ссылки на подобные протрояненные движки? Посмотреть охота

Ну авторы то не пишут что в них вшит шелл

А специально качать и искать - временем таким не располагаю.
В свое время, поэтому поводу были даже притензии к той же Скрипт Мафии, только мое ИМХО
это не их рук дело было. Что тут сложного то?
Берется нуль - вшивается (маскируется шелл) - выкладывается в для скачивагия.
Скажите мне, кто у нас особо просматривает содержимое файлов движков?
А таких деятелей не мало.

Shanker

мастер

Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003

всего лишь человек...

#12

Это нравится:0 Да/0 Нет

03.05.2007 02:41:31

Цитата
Геннадьевич пишет: Ну авторы то не пишут что в них вшит шелл

Но преценденты публичные были? Если известны - поделись, пожалуйста, ссылкой

"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Геннадьевич

Guest

#13

Это нравится:0 Да/0 Нет

04.05.2007 00:34:58

Были конечно и не один,и на джамаге, и на веб хаке и на админских форумах
всплывало то же, но уже даже не помню, год помоему назад. Погоняй поиск может чего и найдеш.
Все дело в том, что зацепить того, кто это делает - не так то просто.
Как правило нуленные скрипты расходятся по варезникам и др ресурасам - там дальше
... и на каком этапе их "Шьют" - можно только догадыватья.
Если уж создают отдельные крупные варез ресурсы с "крякнутым софтом" - "чисто для развода ламья" - чему тут удивлятся?
НО это уже другая тема...

Геннадьевич Guest	#14 Это нравится:0 Да/0 Нет 31.05.2007 17:26:13 Shanker - specially for you Datalife Engine Там же, рядом, тема про "Воблу"

Shanker мастер Сообщений: 1446 Баллов: 1464 Регистрация: 28.09.2003 всего лишь человек...	#15 Это нравится:0 Да/0 Нет 31.05.2007 21:39:13 Геннадьевич, Спасибо, как раз то, что нужно! "Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."

Читают тему

Логин:
Пароль:
	Запомнить меня на этом компьютере

Забыли свой пароль?