[Предложение] Закрыть распрстраненные и уязвимые папки - страница 2 - Баги Joomla

Так речь не про костыль, а про интеграцию "в коробку", это уже должно быть при первичной инсталляции J!

Костыль? ты про что именно?

Про AJAX.

И я не совсем понял, если файлы мы располагаем везде, как будут исполняться файлы в папке /components, /modules и /plugins?

Про AJAX.

И я не совсем понял, если файлы мы располагаем везде, как будут исполняться файлы в папке /components, /modules и /plugins?

НУ смотри, по умному Joomla работает. Исполняется только index.php в корне сайта, ядро формируется через include. Положив htaccess во все папки, запрещаем запускать скрипты напрямую. Так работают бекдоры, которые чаще всего FileManager (очень часто в папках типа modules/mod_system или похожее).

Что бы выполнить что-то типа аякса, кладем отдельный htaccess в папку с аяксом

НУ смотри, по умному Joomla работает. Исполняется только index.php в корне сайта, ядро формируется через include.

Да, что-то я затупил =) У меня такое бывает 

Что бы выполнить что-то типа аякса, кладем отдельный htaccess в папку с аяксом

Вот это мне и не нравится. Это усложняет задачу для пользователей + это не обратно совместимая штука.

Да, что-то я затупил =) У меня такое бывает 
Вот это мне и не нравится. Это усложняет задачу для пользователей + это не обратно совместимая штука.

Бывает. Согласен, не удобно порою. Но выбора более удобного нет, к сожалению.

Но выбора более удобного нет, к сожалению.

В том то и дело, что мы делжны ужимать. Предложение тут же отклонят, даже дискутировать не будут =) Поэтому предлагаю не трогать папку /modules и /administrator

В том то и дело, что мы делжны ужимать. Предложение тут же отклонят, даже дискутировать не будут =) Поэтому предлагаю не трогать папку /modules и /administrator

Нельзя не трогать, взлом чаще всего из /modules.

Как вариант, обязать разработчика расширения самому заботиться об htaccess своего модуля, обязаловкой (жестко, но безопасность во главе угла)

Я за усиление защиты.
Но это самое простое. Если юзер лажает и у него утаскивается пароль от ftp, админки сайта и т.д., то сие уже не имеет значения. Есть htaccess или нет.

Вы все забыли или ни разу не юзали Joostina ).
Бостон и его тима пошли по такому пути, как вызов отдельного индексного файла, который получая данные, инклюдит файлы типа content.ajax.php
И все! Никаких прямых вызовов.

Если юзер лажает - то это проблемы юзера. Вопрос в том, чтобы поставить юзеру изначально максимально защищенную кмс.

Вы все забыли или ни разу не юзали Joostina ).
Бостон и его тима пошли по такому пути, как вызов отдельного индексного файла, который получая данные, инклюдит файлы типа content.ajax.php
И все! Никаких прямых вызовов.

Возможно, это вариант, но пойдут ли на него? AJAX в ядро пока не пускают, только в виде отдельного компонента.

То что разработчики Joomla во многих вещах непередаваемо тупы и упрямы им чести не делает. Утомляет, каждый раз делать одно и тоже.

Откровенно говоря, от бесплатной работы я давно ничего не жду - спасибо и на том, что есть, не будем грубы за подарки.

Вы все забыли или ни разу не юзали Joostina ).
Бостон и его тима пошли по такому пути, как вызов отдельного индексного файла, который получая данные, инклюдит файлы типа content.ajax.php
И все! Никаких прямых вызовов.

Вообще начиная с 3.x по сути не должно быть отдельных AJAX-файлов, потому что есть com_ajax. Но не все им пользуются... Поэтому для поддержки обратной совместимости, нельзя ставить запрет на /modules.

Как вариант, обязать разработчика расширения самому заботиться об htaccess своего модуля, обязаловкой (жестко, но безопасность во главе угла)

Легко сказать, да трудно сделать. Никто не хочет, что их сайт перестал работать из-за того, что мы тут решили включить .htaccess. Вы должны понимать, что Joomla пользуются миллионы и всех не заставишь/оповестишь. Это всегда нужно помнить.

Ну, в данном случае тогда имеет смысл предлагать включить в "коробку" компонент, работающий только в админчасти и позволяющий опционально вкл-выкл нужные блоки защиты. С описанием для чего это нужно и возможные последствия этих действий. В данном случае будут удовлетворены и долбаепы лохи новички и квалифицированные разработчики.

Так раньше J4 этого все равно не будет, однозначно. а за пару лет народ можно подготовить морально и технически достаточно основательно: Что мешает уже сейчас реализовывать J4.alpha.xx с параллельно поддержкой всего, что выпускается для J3.x, заранее оговаривая отказ от гарантий до выпуска lts? Как всегда, косность и убойный консерватизм мышления руководства проекта.

Ну, в данном случае тогда имеет смысл предлагать включить в "коробку" компонент, работающий только в админчасти и позволяющий опционально вкл-выкл нужные блоки защиты. С описанием для чего это нужно и возможные последствия этих действий. В данном случае будут удовлетворены и долбаепы лохи новички и квалифицированные разработчики.

Ох, вашими бы устами...

Никто из спецов не желает выступить с докладом по теме 26.06 на JDayRu?

Лично я против костылей. Пользователи ничего дополнительно не должны создавать, чтобы у них что-то заработало. И уверен, что на такое не пойдут. Это я про AJAX.

Полностью согласен, надо сделать по максимуму что возможно, лишнее пихать не стоит, обычно хватает стандарта и там где могут быть конфликты или еще что можно писать в рекомендациях по безопасности, что и как возможно сделать.

Но обсуждать у нас на ру это не получится, надо в мировое сообщество на орг постить тему и там с разработчиками доводить все до ума.

У меня нет доступа к орг форуму, он то есть то нету, знаю не много народу кто может помочь в этом потому что сам там "варится", один из них @b2z, вот и просьба вынести на орг для обсуждения. То что нужно уже видно по постам знающих/понимающих у нас в ру, остальное смысла нету у нас "обсасывать" просто есть нюансы которые мало кто знает и это все надо обсуждать на уровне разработчиков.

Ну тогда я предлагаю начать с малого, чтобы их не пугать.

в /administrator/cache, /cache


в остальные папки кроме /administrator, /components, /modules, /plugins

Нельзя не трогать, взлом чаще всего из /modules.

нет туда попадают/устанавливается shell из админки

Ну тогда я предлагаю начать с малого, чтобы их не пугать.

в /administrator/cache, /cache

Код: ini

deny from all

в остальные папки кроме /administrator, /components, /modules, /plugins

Код: ini

<Files ~ "\.(php|php3|php5|php4|phtml|htm|shtml)$">
deny from all
</Files>

да, начать важно, в дальнейшем будет проще и полностью всю картину видно, добавить можно будет всегда, и обсуждать на добавление меньше придется.

Вариаций заливки шелла множество, как из админки, так и с помощью определенных уязвимостей компонентов, данный вид закрытия папок поможет только от массовых ботов, но ни как не от вариаций заливки шеллов из админки, тут наверное проблема основная в том, что сами пользователи не уделяют должного внимания! Если поразмыслить, тогда давайте обсудим комплексное решение для тех юзеров, которые на одном аккаунте создают по 20-30 сайтов и на разных CMS...

Опытные пользователи изначально все это делают, а не опытным пользователям это не поможет!

@winstrool
тут речь о Joomla а то что у них десятки разных не разграниченных cms их личное горе, речь идет о том что бы в коробочную версию внести хоть какие то меры безопасности, увидя их и другие разработчики cms начнут шевелится, для Joomla это будет большой и жирный плюс в том что можно кричать громко про безопасность, и кричать действительно можно будет так громко как кричат разработчики битрикса
@b2z на заметку при продвижении на орг сайте уклон нашим коллегам на "крик о безопасности" и они быстрей схавают и включат в коробочку

Выкатил предложение. Посмотрим, что будет =)

 
Там через googltranslit понимают? 

Там через googltranslit понимают? 

Не совсем. Напиши тут - я переведу.

Я так понял- в 3 может добавят по умолчанию, а в для 2.5 пропишут в документации ?

Не совсем. Напиши тут - я переведу.

ok чуть позже, они сейчас там покумекают еще и выложу по пунктам в лс тебе отправлю для перевода

Выкатил предложение. Посмотрим, что будет =)

Три года прошло... Почитал обсуждение. В итоге предложенного кода так и не появилось...
Простите, что бужу покойника, но тема по прежнему актуальна. Что то изменилось за эти годы?

Походу надо PR выкатывать.