forum.opennet.ru

"Критическая уязвимость в системе управления web-контентом Dr..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Критическая уязвимость в системе управления web-контентом Dr..."	+/–
Сообщение от Ordu (ok), 23-Фев-19, 18:10
>> И что? Сделай либо API в ядре CMS > ну сделай, что-ли... только, полагаю, описание всех возможных в твоей cms апи > закончат читать к моменту, когда конкуретны на вротпрессе и дрюпалке уже > пятую версию сайта выкатят. Вот делать мне больше нечего, кроме как решать проблемы пэхапунов. Ну, реально. Зачем я буду писать все эти замороки, есть у меня есть Rocket[1]? Который генерит скомпилированный нативный бинарь, выполняя на этапе компиляции всю работу, которую можно выполнить на этапе компиляции, чтобы не выполнять её во время выполнения. Который очень строго обходится с типами, позволяя мне полагаться на то, что если у меня есть переменная u8, то мне не удастся _нечаянно_ какой-нибудь арифметической операцией превратить её значение в String или в i32. В пхп, я подозреваю, при попытке разработать подобный API, половину времени придётся потратить на размышления, как спроектировать API, чтобы были бы невозможными нечаянные конфузы вызванные неявными автоматическими преобразованиями типов. Ты не представляешь себе как подобные проблемы бесят после опыта работы со строго типизированным языком. >> С untrusted input (как впрочем и со всем остальным) проблема решается очень просто: пишется >> отдельный код, который из untrusted input'а, делает trusted. > похоже, ты никогда не пытался его написать. > Нет, не бывает такого кода. Единственный способ работы с untrusted input - > помечать его таки как untrusted, и тащить в таком виде через > весь код до места применения. Так в чём проблема-то, я не понял? В том смысле, что я согласен с тем, что лучший подход -- это тащить данные блобом до того места, где они понадобятся, и где-нибудь там, где они понадобятся, объяснять библиотечному коду, что именно мы хотим извлечь. Но я не вижу здесь никаких противоречий с тем, чтобы весь код разбора аргументов был бы сложен в специальные места и был бы покрыт специальными тестами. > Разбери простейший пример - untrusted input - текст (предположим, только) из веб-формы. [2] #[derive(FromForm)] struct Task { complete: bool, description: String, } #[post("/todo", data = "<task>")] fn new(task: Form<Task>) -> String { format!("Form `task` had fields: `complete`=={:?}, `description`=={:?}", task.complete, task.description) } Это делается _элементарно_. Обработчик запроса получает распарсенную форму, в которой уже проверены все значения -- строки на валидность utf8, числа на синтаксис и на попадание в заданный диапазон, enum'ы на то, что указанное значение допустимо. Всё элементарно, причём в парадигме "разделяй и властвуй". Если, конечно, мы пользуемся не пхпшными библиотеками из 90-х годов, а чем-нибудь, хотя бы, из нулевых. [1] https://rocket.rs [2] https://rocket.rs/v0.4/guide/requests/#forms
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в системе управления web-контентом Dr..., opennews, 21-Фев-19, 21:30 [смотреть все]

Когда была новость про Wordpress, сразу подумал о друпале Вот и настал его черё, Аноним, 21-Фев-19, 21:30 (1) //
- wordpress, joomla, drupal - святая троица, Аноним, 21-Фев-19, 21:33 (2) //
  - Joomla разве ещё жива , th3m3, 21-Фев-19, 21:35 (4) //
    - живее живых , Аноним, 21-Фев-19, 21:39 (5)
    - Ну последний релиз 9 дней назад, судя по англовики, Аноним, 21-Фев-19, 21:40 (6)
    - Вам сюда https framework joomla orgУже и framework и composer и все потроха , Аноним, 21-Фев-19, 21:49 (9)
      - Сейчас стало модно добавлять слово - Framework Даже Битрикс теперь Framework , th3m3, 21-Фев-19, 21:55 (10)
        
        Ну почему Та же жумла лучше стала Но лучше там ещё становиться и становиться, Аноним, 21-Фев-19, 22:15 (11)
      - Как бы фреймворк мало общего с платформой имеет Они лишь планируют их сливать и, Вадии, 22-Фев-19, 03:10 (16)
        
        До фреймворка вручную правили платформу, теперь - фреймворк Чтобы сделать автом, Аноним, 22-Фев-19, 07:35 (18)
    - Жумла стала не то что жива, а даже более-менее - в последнее время все таки ра, Kuromi, 23-Фев-19, 04:04 (34)
      - Неужели кто-то ещё остался на php и юзает коробочные CMS Разве что - студенты ш, th3m3, 23-Фев-19, 16:32 (37)
        
        Иногда большего и не нужно А еще иногда надо вот это вот нашлепанное 5-10 лет, Kuromi, 23-Фев-19, 17:04 (40)
Как, интересно, дела у MediaWiki , Аноним, 21-Фев-19, 21:41 (7) //
- т к её запустить что-бы можно пользоваться было ещё суметь нужно, она не инте, Аноним, 22-Фев-19, 11:31 (22)
Мило , commiethebeastie, 21-Фев-19, 22:49 (12)
Друпал 8 все время нестабильный и никому не нужный , Аноним, 21-Фев-19, 23:01 (13) //
- Ему надо долго учиться, а Joomla WordPress взял и пошел фигачить статейки, Попугай Кеша, 22-Фев-19, 12:42 (24)
что-то этакое подобное похожее закрывали с год назад в modx, Kaiwas, 21-Фев-19, 23:54 (14)
Я не понимаю, чего все агрятся Да, уязвимость Но не следует забывать, что друп, Аноним, 22-Фев-19, 00:29 (15) //
- Когда-то JS тоже был для браузеров ради динамики веб-страничек, а Java - для умн, Jvc1, 22-Фев-19, 09:05 (20) //
  - и даже в те времена js- и java-файлы были именно исходниками на языке программ, Аноним, 22-Фев-19, 09:12 (21) //
    - В PHP можно как угодно, в том числе и так А в JSP JSF не так что ли , Jvc1, 22-Фев-19, 14:25 (25)
      - Ага, и поэтому все похапе-файлы начинаются исключительно с php, причем всякие , Аноним, 22-Фев-19, 15:00 (27)
        
        Зачем вам совать утф-бомы ascii для кода и комментариев, utf-8 без бома для тех, Аноним, 22-Фев-19, 17:10 (30)
        
        Сунул бом в файл якобы исходного кода - запустилась логика по отправке HTTP-за, Аноним, 22-Фев-19, 18:10 (31)
    - Вот сейчас ты пытаешься натянуть сову на глобус Ты используешь совершенно невал, Ordu, 22-Фев-19, 16:01 (28)
      - Все, что ты говоришь, - правильно Но одновременно с этим все, что ты говоришь, , Аноним, 22-Фев-19, 16:45 (29)
        
        Это более чем шаблонизатор Когда я десять лет назад его разглядывал, он тогда б, Ordu, 22-Фев-19, 18:22 (32)
        
        По пыху можно отследить прогресс в изучении его автором языков программирования , Аноним, 22-Фев-19, 19:24 (33)
      - потому что, внезапно, нет ничего необычайного в плагине, который управляет приви, пох, 23-Фев-19, 13:31 (35)
        
        И что Сделай либо API в ядре CMS для установки объекта управляющего привилегиям, Ordu, 23-Фев-19, 16:36 (38)
        
        ну сделай, что-ли только, полагаю, описание всех возможных в твоей cms апи за, пох, 23-Фев-19, 17:03 (39)
        
        Вот делать мне больше нечего, кроме как решать проблемы пэхапунов Ну, реально , Ordu, 23-Фев-19, 18:10 (41)
        
        ну так, чтоб немного отличаться от абстрактного диванного теоретика, не и для лю, пох, 23-Фев-19, 19:04 (42)
        
        Нет, это недостаточная причина Естественно Ещё его надо тестировать после любог, Ordu, 23-Фев-19, 20:11 (43)
- Тонко Зачот , YetAnotherOnanym, 22-Фев-19, 11:55 (23)
Друпал с восьмой веткой явно пошел не туда разбазаривание сил на 7ю и 8ю 7 - , Drupaler, 22-Фев-19, 14:41 (26) //
- пилите, кто вам-то не дает А-а-а, вы хотите чтоб пилил кто-то, а вам нахаляву п, хыпстер, 23-Фев-19, 13:34 (36)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру