Поучительная история развивается (http://arstechnica.com/security/2013/05/app-developer-calls-... вокруг открытой панели управления хостингом ZPanel (http://www.zpanelcp.com/), разработчики которой пренебрежительно отвечали на критику об использовании небезопасного стиля кодирования (например, использование eval, прямая подстановка переменных из массива $_POST в запросы SQL, наличие процесса zsudo для запуска любого кода ZPanel с правами root). Критика игнорировалась даже при демонстрации конкретных уязвимостей.
Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности. Кроме того, разработчики излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой. Если явная уязвимости, которая позволяла поменять пароль администратора, была исправлена, то спорная проблема в системе шаблонов оставалась (http://www.lowendtalk.com/discussion/10391/the-security-trai... неисправленной более 8 месяцев, после чего выявивший недоработку энтузиаст публично опубликовал (http://seclists.org/fulldisclosure/2013/Apr/139) данные о методе эксплуатации. Уязвимость позволяла выполнить произвольный PHP-код с правами root.
Авторы ZPanel отказались признать это серьёзной проблемой, так как для эксплуатации уязвимости требуется загрузки шаблона, а эта операции доступна только пользователю с правами администратора, реселлеры по умолчанию не имеют доступа к загрузке шаблонов. При этом несмотря на запрет по умолчанию, при изменении настроек штатная возможность загрузки шаблона реселлером имеется, т.е. при включении функции изменения внешнего вида интерфейса, любой получивший право перепродавать услуги хостинга может выполнить свой код с правами root на сервере.Так же принципиально не исправлялись проблемы с возможностью осуществления межсайтовых запросов (CSRF (http://ru.wikipedia.org/wiki/CSRF)), которые не признавались авторами как уязвимости. После возобновления попыток доказать в форуме проекта, что нужно переработать подход к безопасности в ZPanel, представители проекта в достаточно грубой и неуважительной форме показали энтузиасту его место и охарактеризовали его критику как "fucken little know it all".
Спустя несколько дней, от имени лидера разработки ZPanel в форуме было опубликовано сообщение о закрытии проекта в связи с невозможностью обеспечить безопасность кода. Как оказалось, данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов разработчиков. Кроме того, в сети были опубликованы скриншот (http://i.imgur.com/UAKE40Y.png) входа с правами root на один из серверов инфраструктуры ZPanel и файл (https://bin.defuse.ca/3nr4LYRdSUwllXtl7uc4NF) с хэшами паролей некоторых участников проекта. В настоящее время работа сайта ZPanel остановлена и ведётся разбор причин инцидента. По сведению от администраторов инфраструктуры ZPanel, злоумышленники смогли получить полный контроль над сервером одного из сотрудников компании, на котором размещался модуль ZPanelCP, в котором имелась неисправленная уязвимость, позволяющая осуществить подстановку SQL-запроса. Сведения о способе взлома аккаунтов на форуме проекта не сообщаются.URL: http://arstechnica.com/security/2013/05/app-developer-calls-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=36943
Дураков надо учить.
Дурака учить, только портить.А вот проучить, это то что мы видим.
> Дураков надо учить.дураков надо отправлять работать на правильные места и с правильными инструментами: чистота на улицах лишней не бывает.
к сожалению, очень много дураков решили, что раз они в течение дня не потеряли метлу, то и с программированием справятся не хуже.
Да нет, тут люди, наоборот, решили, что раз они теряют мётлы каждый день, им лучше уволиться и пойти работать программистами.
Расскажи о правильном пути разработчика
Судя по пафосности заявления, можно предположить два "более лучших" пути: либо по рельсам, либо в Дельфы ;)
> Расскажи о правильном пути разработчикаc 6 до 10 лет - Basic
с 10 до 16 - Pascal
с 16 до 24 - С/Fortran/LISP/Ada.
с 24 до 30 - C++/Java/ObjC/Ruby/SmallTalk
30+ - менеджер по продажам вентиляторов.
Ну да, примерно так. Правда, я задержался на старте (компьютер в 14 лет вперывые увидел, до того были калькуляторы) и совершенно не заметил последний поворот, так что вентиляторы пока подождут ;)
>> Расскажи о правильном пути разработчика
> c 6 до 10 лет - Basic
> с 10 до 16 - Pascal
> с 16 до 24 - С/Fortran/LISP/Ada.
> с 24 до 30 - C++/Java/ObjC/Ruby/SmallTalk
> 30+ - менеджер по продажам вентиляторов.Павлин ты прекрасен я хочу от тебя ребе^W^Wс тобой выпить
> Павлин ты прекрасен я хочу от тебя ребе^W^Wс тобой выпитьТы это... макинтошник? :)
Лучше шинами торговать. Бэушными, для строительной техники.
а мож им хостинг халявный требовался, а хостер жаден был и скуп.
фишку сию пробив сварганили софтину и хостеров аналогичного свойства ею снабдили, обеспечив себе нехилое множество ресурсов, столь полезных в современной информационной действительности.
например.
Когда я читаю твой текст, у меня рука так и дергается в поисках кнопки "Пометить письмо как спам" и "Удалить".
Образцово-показательные ССЗБ.
> Образцово-показательные ССЗБ.эталонные? :)
>> Образцово-показательные ССЗБ.
> эталонные? :)Срочно отправить их в палату мер и весов
В банке с формалином.
>> Образцово-показательные ССЗБ.
> эталонные? :)"Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности" -- этим всё и сказано...
Не совсем понял: проблема конкретно на их сайте или в их продукте?
Дык они своим продуктом и пользовались. Через него и огребли.
Проблема в мозге и в ДНК разработчиков zpanel.
Пыхи и так-то не блистают, в смысле безопасности своих проектов, а тут еще и очень глупые пыхи оказались, так что и финал закономерен. Поделом, чо.
Ну а как ещё обратить внимание, если словами не понимают?> данное сообщение было отправлено злоумышленниками после взлома ряда служебных аккаунтов разработчиков
да нет, тут доброумышленники постарались же.
не взлома ради, скорее всего, а чтобы обратить, в конце концов, внимание на проблему.
походу, разработкой ZPanel занимаются школьники
индусские
И, к тому же, невоспитанные школьники. Нет чтобы поблагодарить энтузиастов за сообщение об уязвимости - "мы крутые разрабы, мы лучше знаем!" А кто в данном случае оказался "fucken little know it all" - это ещё вопрос.
Я ж говорю, школота. Ну или малолетние долб@@бы. Типичный признак - если им указываешь на их ошибки, в ответ слышится только поток ругани.
Уверен, если бы это делали русскоговорящие разработчики, мы бы услышали нечто подобное: "не нравитЬся не пользуйтесь!!!!! нЕкто не жалуетЬся а ты тут вылез с вопросами самый умный чтоли!!!"
> походу, разработкой ZPanel занимаются школьникиКак думаете, почему так всех предупреждаю против Joomla?..
>> походу, разработкой ZPanel занимаются школьники
> Как думаете, почему так всех предупреждаю против Joomla?..День сегодня был хороший
Страшных взломов - только три
Всё равно его не брошу:
Потому что пи эш пи
А вообще, это и есть суть - у детей есть непосредственность, меньше пафоса и больше доверчивости, поэтому они и легко собираются в группы. А у серьёзных разработчиков - и пафоса больше, и серьёзности, и занятости, и знаний (как сделать просто и вкусно), поэтому рецептами они не делятся, в группы не собираются, потому и нет такого массового ширпотреба, учитывающего многие мелкие нюансы. А жаль. Лучше бы python был детским языком. :)С детьми проще, и зачастую - интереснее. Но знаний у них поменьше, конечно.
Я всё хочу из своих наработок публичного и простого в использовании ширпотреба наплодить, но для этого не хватает двух вещей: я не представляю, по вышеуказанным причинам, кто за мной пойдёт (это в сопливом детстве у нас всё время были какие-то команды, со средним временем полураспада в полчаса); и второе: собственно, наработок.
Но я этим регулярно озабачиваюсь. Беда только в том, что по отношению к joomla и подобным, я никогда, даже в сопливом детстве не мог понять, зачем они нужны, и как ими пользоваться. А то, что понимал, не принимал категорически. Поэтому самое главное - сформулировать модель "кто, как и зачем будет этим пользоваться". А это у каждого, кто перерос php, вызывает б о л ь ш и е непонятки.
> ширпотреба, учитывающего многие мелкие нюансы. А жаль. Лучше бы python был
> универсальным языком. :)Fixed. У универсального языка есть одна проблема: им пользуется кто ни попадя. В C/C++ тоже хватает "детских" дыр - off-by-one, buffer overflow, etc. И его за это ругают. Но тем не менее - это никогда не отменит популярности и применимости языка. Именно по той причине, что универсальный, а не гвоздями прибитый к полу и шаблонам. Как-то так.
Тот же питон, допустим, как-то ползать будет, в ограниченном спектре задач, а взлететь до универсального - не взлетит никогда, ибо парадигма не гибкая, и заставляет задачу/программиста подстраиваться под язык, а не наоборот.
///
Мне в PHP всегда нравилась гибкость. Такая, что можно извернуться, и через задницу сделать те вещи, которые нужно делать прямо. + все фичи прямо "из коробки". Просто надо делать прямые вещи прямо, а не через задницу - и всё будет нормально с любым языком. Но зато там, где действительно надо извернуться - "другие не влезут".
>Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности.Замечательная отмазка. А хлебозавод, выпусскающий заплесневелый хлеб, должен говорить: "Мы же хлебозавод, а не эксперты по качеству и безопасности продуктов для здоровья".
а это опять господин пиривотчик публично обосрался, на самом деле это было сказано "арстехнике" в ответ на просьбу рассказать, насколько безопасна текущая версия панели. причём в виде полуизвинения. но так было не прикольно, и пиривотчек по старой доброй опеннетовской традиции переписал всё в стиле няшной жёлтой прессы.
> сказано "арстехнике" в ответ на просьбу рассказать, насколько безопасна текущая версияarisu, Вы самоуверенный грубиян, не видящий дальше своего носа. В арстехнике совсем другая цитата. Там есть ещё обсуждение в форуме ZPanel, где на предложение добавить дополнительную защиту ответили "we are software developers not security experts i'm afraid"
> предложение добавить дополнительную защиту ответили "we are software developers not security experts i'm afraid"Тогда им п р и д ё т с я отказаться от php, потому что, боюсь, в php все developers обязаны быть security experts пятого дана. Ну и на openbsd перейти, само собой.
> Тогда им п р и д ё т с я отказаться от
> php, потому что, боюсь, в php все developers обязаны быть security
> experts пятого дана. Ну и на openbsd перейти, само собой.Блин, а я-то думал, что наивняки, считающие, что язык заткнёт все дыры за них, водятся только под жабой и дотнетом...
> i'm afraidЭто довольно сильно меняет смысл фразы, т.к. просвечивает хотя бы понимание того, что озвученное состояние является проблемой.
До этой новости даже не знал о их существовании... Думаю что через годик(Когда они все пофиксят) можно будет локально потестить
"ZPanel - мы чихали не только на вас, но и на себя" (tm)
> Просто на лоре сменилось поколение. Те кто был там 5 лет назад - теперь переехали сюда.И теперь мы знаем, что везде хорошо, где их нет.
>> Просто на лоре сменилось поколение. Те кто был там 5 лет назад - теперь переехали сюда.
> И теперь мы знаем, что везде хорошо, где их нет.так это ж еще найди, где вас нет.
> так это ж еще найди, где вас нет.Вот где НАС нет - ничего хорошего быть не может. Но зато где мы, только мы, и нам никто не мешает - там всегда хорошо. Например, в топе forbes.
Мы, наверное, единственные, кто можем жить в радости среди подобных. Именно это помогает нам многие тысячелетия выходить в финал, и играть там на первой скрипке. Именно поэтому Энштейн не китаец. Вообще, вояж Моисея нас многому научил, было время обо всём подумать.
И Бога все знают лучше всего под именем "Бог Авраама, Бог Исаака, Бог Иакова" не потому, что тот родился в Одессе, а потому, что мы его л у ч ш е в с е х с о х р а н и л и . И именно за это мы все не только умные и красивые, но и ужасно добрые именно в тех разумных приделах, чтобы не скатываться во взаимную ненависть.
И именно поэтому нас весь мир ненавидит. Ненавидит, а поделать ничего не может. Потому что мы - зеркало божье. На самом деле этот мир на себя смотрит, и себя ненавидит. И если бы нас не было, я даже не представляю, что бы с этим миром было.
Кто удалил комменты, я их даже прочесть не успел, плохой сайт.
Я писал что тебе плюсуют реально только за женский ник и женский аватар. И это правда. Почему удалили?
> И это правда. Почему удалили?Слюни вытри :)
> И это правда"Фильм основан на реальных событиях, происходивших в голове автора сценария".
Быдлопанели такие быдлопанели. Как правило, все вменяемые хостеры разрабатывают их под себя.
>>злоумышленникамидоброумышленниками
//fixed
Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности.Это прекрасно!
Типичный случай. Ситуация, как всегда, развивалось по старому сценарию:
1. Отрицание наличия проблемы
2. Жалобы на нехватку ресурсов/знаний/времени, etc.
3. Личные выпады в сторону любого, упоминающего о проблеме
К сожалению, многие люди, несмотря на биологический возраст, ментально, так и остаются прыщавыми, закомплексоваными подростками.
Это относится не только к IT.
Создатели ZPanel ссылались на то, что они не настоящие программисты, а PHP нашли на стройке. // Fixed.
Классический пример безответственного раздолбайства.
> Классический пример безответственного раздолбайства.Разпиливание бюджета именно так и происходит
> Разпиливание бюджета именно так и происходитТак это ж вроде не госпредприятие и даже не аутсорсеры, а "успешный стартап"™.
> Создатели ZPanel ссылались на то, что они Web-разработчики, а не эксперты по безопасности.Разработчики OpenBSD говорят о себе строго обратное, но результат почему-то такой же. Наверное, из-за
> излишне доверяли результатам ранее заказанного стороннего аудита кода, который судя по всему являлся лишь формальной и поверхностной проверкой.
Суровый китайский аудит за 1 бакс
>Разработчики OpenBSD говорят о себе строго обратное, но результат почему-то такой жеНе путайте, это FreeBSD взламывали, а не OpenBSD.
> Разработчики OpenBSD говорят о себе строго обратное, но результат почему-то такой же.Какой?
А кто вообще запускает php с правами root ?
Ты бы хоть почитал, что такое ZPanel, и попробовал представить ее работу без рута.
f*king little отомстил :)))
>после чего выявивший недоработку энтузиастЯ одного не понимаю - зачем "энтузиасты" вообще пользовались этим гoвном?
расскажите про другую бесплатнуб панель управления хостингом
Главной фичей этой панели является возможность получить бесплатный хостинг?
а ты юзаеш хостинг только на rhel,windows,solaris ? хостингов на debian, ubuntu, centos уже нет?
> расскажите про другую бесплатнуб панель управления хостингомispconfig.org
Не понял... у меня 22 версия в школе.
Мля, стотыщьпитсот раз говорил подобным долб....бам:НЕ ИСПОЛЬЗУЙТЕ СВОЮ ПРОДУКЦИЮ В СВОЕЙ ЖЕ РАБОТЕ!
> НЕ ИСПОЛЬЗУЙТЕ СВОЮ ПРОДУКЦИЮ В СВОЕЙ ЖЕ РАБОТЕ!А какая гарантия что чужая продукция лучше? В своей не так обидно хотя-бы: свое то не пахнет :).
> Мля, стотыщьпитсот раз говорил подобным долб....бам:
> НЕ ИСПОЛЬЗУЙТЕ СВОЮ ПРОДУКЦИЮ В СВОЕЙ ЖЕ РАБОТЕ!ТЫ ЧТО ПРОТИВ ЕСТЕСТВЕННОГО ОТБОРА?
дарвин-полиция придет за тобой.
http://forums.zpanelcp.com/showthread.php?27608-ZPanelCP-Ser...
хммм... интересно...
кому верить?
себе
> http://forums.zpanelcp.com/showthread.php?27608&p=106659#pos...Только меня "порадовали" скриншот и предложение проверить принадлежность сервера пингом и трейсрутом в п. 2?
Если это head developer, то такому продукту действительно лучше даже raspberry не доверять...
Ха ха, поделом зазнайкам!
ууу, как хомячки накинулись на один провалившийся проект.
Вы хотя в курсе, что всё ваше открытое ПО насквозь дырявое?
> Вы хотя в курсе, что всё ваше открытое ПО насквозь дырявое?нет. но ты нам сейчас расскажешь и покажешь пруфлинки, не так ли?
> Коммерческий проекти
> Программист думает, нет, уж лучше сделаю качественнонесовместимы. Потому, что горят сроки и задница. Бетастазы в коммерческих проектах такие, какие OSS и не снились. И живут годами. И программист условно один, а не пара десятков.
> Горят сроки и задница и поэтому все всё делают быстро, но при
> этом ещё умудряются и качественноОдно из распространеннейших заблуждений.
> Один платный программист вместо десятка бесплатных, в разы качественнее и быстрее сделает
> всю нужную работу.Интересно, почему все сложные системы тогда переходят на открытое ПО? Не объясните? И почему организации ныне предпочитают штатных OSS-программистов, нежели покупать ногами деланную проприетарь?
И почему большие проекты очень часто переводятся компаниями в Open Source? На это вопрос, так и быть, сам дам ответ - потому, что собственный штат программистов просто перестал охватывать всю картину целиком, в силу превышения сложностью ПО человеческих ограниченных возможностей. OSS - это коллективный разум, и как бы хорошо проплаченные одиночки с ним ни пытались конкурировать - они всё равно обречены на отставание.
напомните хоть один большой открытый продукт - в который не были вложены деньги корпораций и не работали люди на full time ?да и исследованиях пробегавших тут - говорилось что переходят часто не из-за качества, а из-за бесплатности..
> да и исследованиях пробегавших тут - говорилось что переходят часто не из-за
> качества, а из-за бесплатности..Если качество одинаковое, и свои программисты стоят дешевле - зачем платить больше?
> Горят сроки и задница и поэтому все всё делают быстро, но при
> этом ещё умудряются и качественно, в коммерции есть стимулы.
> Один платный программист вместо десятка бесплатных, в разы качественнее и быстрее сделает
> всю нужную работу.В коммерции есть стимулы для руководства, а не для исполнителя. К тому же, в сфере закрытого ПО нет ВООБЩЕ НИКАКИХ критериев оценки продукта, кроме его маржи. В представлении руководства/владельцев бизнеса, хорошую маржу скорее обеспечит маркетинг и продвижение, ну потому что маркетинг и продвижение им понятней.
Поэтому что в закрытой разработке, что в сфере СПО -- один хрен, разработчик не получает ничего. Есть единственный способ что-то приобрести это взять руководство или потребителя за яйца шантажом.
> Коммерческий проект....
> Открытый проект....
да вы, батенька, махровый болван. с треском болван.
>> Коммерческий проект.
> ...
>> Открытый проект.
> ...
> да вы, батенька, махровый болван. с треском болван.оо.. уродец вылез :-) Шигорин - тебе не хочется забанить уродца который оскорбляет других?
Если нет - то почему?
> оо.. уродец вылез :-) Шигорин — тебе не хочется забанить уродца который
> оскорбляет других?как ты себя красиво обозвал. а действительно, ты же уродец.
>> да вы, батенька, махровый болван. с треском болван.Весьма мягкая характеристика автора #132.
> Шигорин - тебе не хочется забанить уродца который оскорбляет других?
> Если нет - то почему?Персонажа с ником "Дистор"? Думаю, достаточно просто стереть, пусть подумает тщательней.
> Коммерческий проект.
> Программист думает, нет, уж лучше сделаю качественно, чтобы по ж. начальство/заказчик не
> надавало, да и зачем карьеру портить себе, больше времени и сил
> вложу, зато всё будет хорошо.
> Открытый проект.
> Программист думает, а да пох, сделаю так и сяк, тяп-ляп, зато быстро,
> какая разница, всё равно халява, народ схавает, да и мне лишний
> раз напрягаться не охота, к тому же ещё пиво после работы
> попить надо, и отвечать ни перед кем не придётся, хоть тут
> от начальства отдохну...н и д л я к о г о ч е л о в е к н е б у д е т д е л а т ь т а к х о р о ш о к а к д л я с е б я
законы психологии
http://mimiandeunice.com/2010/10/26/watermark/
> ууу, как хомячки накинулись на один провалившийся проект.
> Вы хотя в курсе, что всё ваше открытое ПО насквозь дырявое?Ты не поверишь - ВСЁ (!!!!) ПО - насквозь дырявое. Безгрешных нет. Но OSS имеют больше шансов на вылизывание до блеска огромными коммюнити, нежели закрытые поделки, писанные индусами за миску супа, в которых чёрт ногу сломит.
>> ууу, как хомячки накинулись на один провалившийся проект.
>> Вы хотя в курсе, что всё ваше открытое ПО насквозь дырявое?
> Ты не поверишь - ВСЁ (!!!!) ПО - насквозь дырявое. Безгрешных нет.
> Но OSS имеют больше шансов на вылизывание до блеска огромными коммюнити,
> нежели закрытые поделки, писанные индусами за миску супа, в которых чёрт
> ногу сломит.да да, вот дыры в ядре линукс которые не закрывают годами - это сильно подтверждают..
> да да, вот дыры в ядре линукс которые не закрывают годами -
> это сильно подтверждают..Линки в студию.
>> да да, вот дыры в ядре линукс которые не закрывают годами —
>> это сильно подтверждают..
> Линки в студию.этот уродец, как он метко себя назвал, не оперирует линками. он вообще никогда своих слов не доказывает, потому что всегда — что удивительно — несёт чушь. видимо, нашёптаную голосами в пустом черепе.
> не оперирует линками. он вообще никогда своих слов не доказываетЭто не так, хотя предъявленные доказательства обычно являются спорными, порой -- крайне.
И хватит уже фекаться кидалиями, тоже мне дети нашлись.
> Это не такда ладно, персонаж же любит передёргивать и ерунду писать. вот я и хотел сделать ему приятное, написав ерунду о нём.
> И хватит уже фекаться кидалиями, тоже мне дети нашлись.
так это же самое интересное. опять же: человек набрасывает не просто так, а в надежде на ответ. иногда я добрый, не хочу разочаровывать.
>> Это не так
> да ладно, персонаж же любит передёргивать и ерунду писать. вот я и хотел сделать ему приятное, написав ерунду о нём.Предлагаю разобрать тебя на партсобрании, на тему "Почему ты лично виноват в провале опеннета, ликбеза школьников и излишней грязи". А то у нас давно крайнего не было.
на здоровье. я как раз с Чеширским Котом поболтаю, а вы там устраивайте Процесс.
>> ууу, как хомячки накинулись на один провалившийся проект.
>> Вы хотя в курсе, что всё ваше открытое ПО насквозь дырявое?
> Ты не поверишь - ВСЁ (!!!!) ПО - насквозь дырявое. Безгрешных нет.Да ладно! Я запросто напишу пару программ без единой ошибки! Да и в просмых *nix утилитах типа cp/mv давненько ничего не находили.
Новая свободная панель, написано «secure»: https://freedomcp.com/
Простое и беспечное дёшево, а значит популярно. Делать его безопасным это значит снижать доступность и популярность.
К тому же это же... PHP.
){kind=link}