Подскажите какую версию Runcms выбрать

[iltmpz]

Цитата:

Сообщение от ZlydenGL Чисто для интересу - о каких дырках идет речь?

Прошу прощения, если зря написал не разобравшись, но слишком часто на мой взгляд в фиксах встречаются исправления уязвимостей вида "Выполнение произвольных команд". Да в общем-то это и главная причина по которой я решил обновиться (лазают всякие хакеры с подобными развлечениями). Как бы исправления это конечно хорошо, но само по себе наличие таких дыр показывает качество кода.
Так что apache в chroot - обязательно, safe mode - обязательно, ну и ядро конечно попытаться бы найти где дырок поменьше.

[pan]

Серьезных дырок за 6 лет я видел ОЧЕНЬ немного и они сразу фиксились
Реальных взломов практически вообще не видел, хотя это может быть обусловлено небольшой распространенностью

[ZlydenGL]

Блин, понедельник сказывается. Конечно, не про safe mode ранее речь вел я, а про register globals. Текущая реализация многих модулей Роньки без register_globals=on дюже криво работает.

Цитата:

Сообщение от iltmpz слишком часто на мой взгляд в фиксах встречаются исправления уязвимостей вида "Выполнение произвольных команд"

Ну дык пусть лучше часто встречается в фиксах, чем на практике К тому же с момента публикации 1.6.1 я что-то не помню фиксов по этому делу.

[iltmpz]

Цитата:

Сообщение от ZlydenGL register globals

ну это вообще финиш, хотя вроде тут на сайте видел что без него уже норм обходятся, или еще нет? В любом случае и руками я надеюсь можно если что пробежаться - с выключенным register globals - переменные самому определить...
Я-то именно про safe mode говорил - тоже приятная штука, хотя и муторно может быть его включать.

Цитата:

Сообщение от ZlydenGL К тому же с момента публикации 1.6.1 я что-то не помню фиксов по этому делу.

Не спорю, на версии не обратил внимания - хорошо если так. Значит есть неплохие шансы что обновление мне поможет

[ZlydenGL]

Цитата:

Сообщение от iltmpz ну это вообще финиш

К сожалению тот же ШТАТНЫЙ newbb_plus без этой инструкции работает по принципу "не работает", так что приходится смириться. А в чем проблема собственно? Практически весь код экранирован неплохо, переменные почти везде объявляются явно - вскрыть сайт через передачу какой-либо переменной в GET или POST запросе довольно тяжело (опять же - если таковая уявзимость не допущена в каком-либо из модулей). Так что не такое уж это и зло...

В safe_mode кстати RunCMS работает точно так же, как с ВЫключенным safe_mode

[LARK]

В RUNCMS 2.2 закрыты практически все известные дырки, внимательно читаем список. Если вам известны непрофиксенные уязвимости - сообщайте на форум.

По поводу register globals, в RUNCMS используется его эмуляция. Так что без разницы включена эта опция или нет. В RUNCMS 1.6 был баг - еще до ухода Михаила. Эмуляцию он вырезал, а переписать код для поддержки выключенной register_globals не успел.

safe mode - штука злая и ненужная - и в PHP 5 отсутствует.

Цитата:

Сообщение от pan Если умеешь сам в коде что то править - ставь 1.6.2

Нет, в этом случае лучше вот это

[ZlydenGL]

Цитата:

Сообщение от LARK переписать код для поддержки выключенной register_globals не успел

Ты про тот фрагмент кода, который сам на форуме приводил? Не могу его найти почему-то.

Цитата:

Сообщение от LARK В RUNCMS 2.2 закрыты практически все известные дырки

Получается, что по уровню защищенности 2.2 = 1.6.1? Или даже 2.2 более защищена, т.к. дописывалась позже?

[pan]

Мы тут как лохи за обновлениями то не следим

Цитата:

Сообщение от LARK Нет, в этом случае лучше вот это

Пардон, верно, так лучше

[LARK]

Цитата:

Сообщение от ZlydenGL Ты про тот фрагмент кода, который сам на форуме приводил? Не могу его найти почему-то.

Вот эта тема

Цитата:

Сообщение от ZlydenGL Получается, что по уровню защищенности 2.2 = 1.6.1? Или даже 2.2 более защищена, т.к. дописывалась позже?

Да, плюс - в 2.2 ряд дополнительных фиксов безопасности и дополнительных защит. От CSRF, например.

[iltmpz]

по поводу register_globals - оно конечно - в теории можно написать что-нибудь 100% безопасное, на практике почему-то ни одного такого проекта не видел. Вообще ИМХО register_globals - самый удобный способ получить дырку.
Очень надеюсь, что эмулятор отфильтровывает попытки передать данные от клиента.

Про safe_mode - согласен - спорная штука, но в условиях потенциально абсолютно дырявого продукта очень удачно ограничивает некоторые сомнительные фишки. (То что в PHP5 отменили - не знал, буду знать).

По поводу 1.6 vs 2.2: вообще-то логично: в более свежих версиях как правило пофиксено больше ошибок, потому и предполагал ставить 2.2,
кстати, LARK, может ты можешь объяснить, почему 2.х - потомок ветки 1.4, а не 1.6? Что там настолько не понравилось в 1.6, что было принято решение откатиться назад?

По поводу того что ставить понял: надо попробовать и то, и другое, и девелоперскую версию - и что больше понравится, на том и запускаться.
В любом случае будет лучше чем дырявая непатченная 1.2