как обстоят дела с безопасностью VaM Shop'a?

[gal100 0]

интересно узнать, как обстоят дела с безопасностью VaM Shop'a? какие из существующих уязвимостей oS Commerce устранены?

[support 447]

Вроде неплохо, уязвимостей osC в коде нет, во всяком случае я проверял и не увидел их.

Пока не слышал что б взломали VaM Shop, но теоретически возможно всё и абсолютно безопасных программ не бывает.

[gal100 0]

где можно почитать про уязвимости oS Commerce'a?

[support 447]

Например на oscommerce.com

или в google написать oscoomerce security

или на securitylab.ru

[SGAN 0]

Vam тут случайно нашол в сити

Программа: xt:Commerce 3.x

Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в параметре «template» сценарием index.php. Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера. Успешное эксплуатирование уязвимости требует включение опции "register_globals" в конфигурационном файле PHP.

правда опубликовано было 27.02.2007

не знаеш поправлено это или нет

[support 447]

SGAN

Спасибо, я видел это сообщение ещё довольно давно, тоже хотел разобраться.

Но если честно я так и не понял, что за уязвимость.

Ну нет параметра template в index.php

Мне кажется, это какая-то ошибка, либо касается старых версий xt:Commerce.

[ABerezin 0]

Я тоже пытался обнаружить эту уязвимость. Так-же безрезультатно :)

[SGAN 0]

Приятно слышать что ее нет.

[ABerezin 0]

Многие объявленные бреши в безопасности обнаруживаются сканерами безопасности. Некоторые сканеры считают дыру не закрытой, если при имитации атаки сканер не получает адекватной, с его точки зрения, реакции. Обратите внимание на пункт "Наличие эксплоита". Вот когда он есть, это действительно опасно. В противном случае это либо теоретически возможная проблема безопасности, либо это вообще фантомная дыра. :)

[Evgenij 0]

А работает xt:commerce с выключенными register_globals?

[support 447]

Да

[matvey 0]

Не ходите сюда без включенного АНТИВИРУСА!!!!!!

Магазин http://pro-cartridge.com/ в каталоге магазинов на базе VAMSHOP.

Вопрос в том, как туда попал вирус - через програмное обеспечение, хостинг или какую-то дыру в магазине. В итоге при просмотре html кода в самом низу видно десятки ссылок ведущих вроде-как на порносайты + еще какой то скрипт.

[support 447]

Попал через комп владельца магазина.

т.е. есть общеизвестный вирус, который садится на комп, ворует пароли к ftp и ходит по прописанным в ftp клиенте сайтам и гадит, т.е. вставляет код в index.* файлы, код с вирусов, таким образом он распространяется дальше.

[matvey 0]

Да есть такое! Что ж можно только посоветовать вебмастеру этого сайта пользоваться нормальным антивирусом и не пользоваться ftp клиентами скачаными с варезных сайтов.

Все же бдительность никогда не помешает!

[support 447]

А я вот вообще под линуксом сижу.

Тут никакие антивирусы и firewall'ы просто не нужны.

[matvey 0]

В смысле, устанавливаешь Линукс и все эти приколы не нужны?

[support 447]

Вобщем да.

Ничего не виснет, никаких вирусов, прочей фигни.

Просто работаешь спокойно, ничего не мешает, как в винде постоянно.

Но это конечно сложно переезжать на линукс по началу, зато потом много времени и нервов экономишь.

Да и если какой-то специализированный софт под виндой используешь, аналогов под линукс может не найтись.

А если просто ходишь по инету, получаешь почту, читаешь всякие документы офисные, то очень даже ничего.

[ABerezin 0]

Ну про firewall это ты лукавишь. Просто он у тебя встроен в систему. Да и вирусы есть. Просто их очень мало :)

[support 447]

Почему лукавлю, отнюдь.

firewall если ты имеешь в виду iptables, да, есть.

Но так он идёт уже с линуксом и простому пользователю он не заметен абсолютно.

Да и программы типа firewall'в не мешают жить, постоянно предлагая что-то заблокировать и т.д., их же никто не просит, что в windows сплошь и рядом, то скачайте обновление, то заблокируйте, то разблокируйте и т.д.

Лично меня это раздражает, когда софт без спроса лезет и что-то предлагает.

Я в том смысле, что 99% вирусов и т.д. пишутся под windows.

[ABerezin 0]

Да, я говорил про iptables.

Я, думаю как и все, тоже не люблю когда софт вообще и firewallв частности постоянно вмешивается в жизнь, но иногда без этого не прожить. Если ты поставил что-то, то для него надо определить правила жизни на твоём компьютере.

Конечно 99,9(9)% вирусов пишутся под Microsoft. Это и понятно, он несравнимо больше распространён. И во многом по тем причинам, которые ты уже упоминал - сторонний софт. Если бы не необходимость работы с издательским софтом, я бы из FreeBSD не вылезал :) 

[support 447]

Согласен.

Но я ж потому и сказал, что если ничего специфичного в повседневной работе не используется, то на данный момент времени уже вполне можно думать о переходе на *nix операционки (Linux, FreeBSD и т.д.), стандартного софта достаточно много уже и очень неплохого качества.

Да ты и сам ведь в курсе :)

[ABerezin 0]

Это точно. По крайней мере после появление OpenOffice офис на *nix-ах может работать на 100%. Особенно на Linux. Всё-таки фриха более специфична и под неё меньше прикладных систем. Хотя Андрей Ермаков вовсю у себя использует FreeBSD в качестве десктопа.

У меня в офисе 486 DX2/66 машина под Линуксом работает и отлично справляется со своими обязанностями интернет-сервера (роутер, почтовый сервер и т.п.). Я её уже лет десять не трогал :)

[a69 0]

Есть VMWARE под Линух, это кому надо проги под винду.

[support 447]

a69

Зачем такие сложности.

Лично мне вполне хватает Wine (Crossover Office)

[ABerezin 0]

Есть VMWARE под Линух, это кому надо проги под винду.

Ну да, конечно. Ты пробовал под ним Adobe CS?