RSFirewall нашел в Joomla 4 какой-то подозрительный файл - Joomla 4 и Joomla 5: Общие вопросы

libraries/vendor/voku/portable-ascii/src/voku/helper/ASCII.php

Javascript variable obfuscation

А внутри такая муть по поводу войны, гляньте!

Файл был изменён Вторник, 08 марта 2022


Что это за неприятность, я понимаю война войной, но причем здесь мой сайт, гляньте у вас в Joomla 4 также?

От модератора: обернул код в тег code и убрал под спойлер, что бы не показывать содержимое страниц, куда ведут ссылки. Просьба в будущем оформлять подобные сообщения таким образом.

Представляете, в Joomla 4.4.3 это стандартный файл, из коробки такое идет!

Подтверждаю. Есть такое в оригинальном дистрибутиве.

\libraries\vendor\voku\portable-ascii\src\voku\helper\ASCII.php
\libraries\vendor\voku\portable-utf8\src\voku\helper\UTF8.php

кому не все равно - отпишитесь
https://github.com/joomla/joomla-cms/discussions/43065

так же есть команда безопасности Joomla которую тоже надо поставить в известность – если имеем обфускацию имени переменной - есть сомнения в надежности библиотеки
https://developer.joomla.org/security/contact-the-team.html

В версии 5.1, обновление вышло совсем недавно, все осталось без изменений, в указанных файлах эта информация есть, и тут есть вопросы, если это сделали разработчики, то доверие к ним подорвано однозначно, ибо могут в дальнейшем внедрить ещё что-то, если уже этого не сделали. Если это не разработчики, тогда как эта информация появилась в дистрибе, значит, скорее всего "молчаливое согласие", а стало быть наплевать на всех остальных. Joomla становится инструментом пропаганды. Нет уверенности, что при очередном обновлении не появится не просто текст, а какой-нибудь скрипт, вирус, рассыльщик и т.д. Тему на Гитхабе закрыли, и скорее всего эти обсуждения и вопросы к разработчикам постараются обойти, забыть, не отвечать. Жаль, что ввязались в политику. Строить сайты на таком инструменте больше желания нет.

Спасибо web1, прикольная пасхалка.

Строить сайты на таком инструменте больше желания нет

Да. Надо какую-нибудь отечественную систему управления контентом. Порекомендуете?

Да. Надо какую-нибудь отечественную систему управления контентом. Порекомендуете?

Так битрикс же!

битрикс же!

Надо брать!

А что не так, есть какие то последствия от такого подарка?

 мне кажется,  если бы разработчики хотели бы в дальнейшем как-то выставить ЭТО на показ,  то в явном виде вряд-ли  бы стали делать такое. Хватило бы скрипта, вшитого, без этого воо всего

Последствия есть. 9 мая оно переименовало 10+ файлов из "php" в "hph". В том числе и себя.
Место найти не могу.

Проверял:
160 150 160
70 68 70
p h p
rand(
:move
и так далее.

Проверял на обфускацию. Тоже пусто.

В версии 5.1, обновление вышло совсем недавно, все осталось без изменений, в указанных файлах эта информация есть, и тут есть вопросы, если это сделали разработчики, то доверие к ним подорвано однозначно, ибо могут в дальнейшем внедрить ещё что-то, если уже этого не сделали. Если это не разработчики, тогда как эта информация появилась в дистрибе, значит, скорее всего "молчаливое согласие", а стало быть наплевать на всех остальных. Joomla становится инструментом пропаганды. Нет уверенности, что при очередном обновлении не появится не просто текст, а какой-нибудь скрипт, вирус, рассыльщик и т.д. Тему на Гитхабе закрыли, и скорее всего эти обсуждения и вопросы к разработчикам постараются обойти, забыть, не отвечать. Жаль, что ввязались в политику. Строить сайты на таком инструменте больше желания нет.

Это не разработчики. Данный код находится в сторонней библиотеке, которую курирует немец. Можете поставить плагин, который будет все это убиркть.

Это не разработчики. Данный код находится в сторонней библиотеке, которую курирует немец. Можете поставить плагин, который будет все это убиркть.

Да-да разработчик этого пакета Lars Moelleken, загрузка идет с Packagist, сам пакет voku/portable-ascii, подгружается либо для использования, либо как зависимость через Composer, может и через NPM, не пробовал, но то, что этот пакет включен в зависимости это точно, да и некоторые фиксировали и сам Композер в своих файлах раньше подгружал подобные вещи. Таким образом, все проекты Joomla, Ларавел(это точно), скорее всего и некоторые другие фреймворки, на борту имеют этот пакет. Дело не в безобидном тексте в виде комментов, а в том, что эти пакеты никто не проверяет, что там будет внедрено в следующей версии не знает никто, и мы почему-то считаем, что если есть ПО, которое можно использовать для разработок, оно должно быть по умолчанию безопасным, ну и сам разработчик должен быть порядочным. Так ли это? Его никто ни к чему не обязывает.

Как без плагина всё это исправить?

Либо руками внесите правки (и править после каждого обновления), либо поставьте плагин, который этот процесс автоматизирует.

Либо руками внесите правки (и править после каждого обновления), либо поставьте плагин, который этот процесс автоматизирует.

Хотелось бы руководство, как удалить вручную.

\libraries\vendor\voku\portable-ascii\src\voku\helper\ASCII.php
\libraries\vendor\voku\portable-utf8\src\voku\helper\UTF8.php

--------------------------------------------------
<?php

declare(strict_types=1);

namespace voku\helper;

final class UTF8
--------------------------------------------------

Очищаем текст и ссылки, но а дальше?

Тема осталась актуальной. Случайно узнал про "пасхалку" в заголовке темы (только сегодня )

Времени прошло достаточно (с года 22-го), файлы с "личным мнением" остались без перемен на год 25-й. Насколько текст "нежелательный" в РФ не так и важно (для вебмастера), важно что он есть и "к делу не относится". Тем паче, что неизвестно, по какому алгоритму и какими инструментами пользуются сегодня "компетентные органы" и какая трактовка может быть "предъявлена" вебмастеру, который "ни сном, ни духом" не знает о наличии "пасхалок".
Патч-плагин (в данной теме) исправляет "баг". Но "осадочек остался". Любопытно, однако, помимо вышеназванной библиотеки, есть еще что-то подобное в Joomla?
И насколько "безобиден" текст, как фрагмент кода (пусть и закомментированный). Возможно, есть скрытые императивы (если есть)?
Печально, что политика внесла коррективы в Joomla. Не в какой-то "левый" варезный продукт, а в коробочную версию. Тревожно.

Может и напрасно я "озаботился" вопросом. Меньше знаешь - лучше спишь? Это не точно

Тревожно

Да. А я люблю пиццу с ананасами теперь.

Откровенно говоря наше сообщество было приватизировано несколькими людьми, но хорошо, что иностранное сообщество имеет свое мнение.

Откровенно
Мнение (сообщества) нельзя приватизировать, если оно (мнение) есть. Его можно игнорировать, что и случилось.
Если мнения - нет, то вместо него имеется - пустота. Которую заполнит мнение - чужое. Что и случилось

Мнение импортного сообщества, однако, не интересно в рамках ПО. Однако, в Joomla 6.0 изменился состав библиотеки. Надеюсь, что "мнение" не появится вновь по новому адресу. Котлеты стоит держать подальше от мух.

Мнение импортного сообщества, однако, не интересно в рамках ПО

Оно создаёт это ПО.