Vlákno názorů k článku Útoky hrubou silou stále fungují, z redakčních systémů dělají botnety od to_je_jedno - Proc bych mel na WP pouzivat bruteforce kdyz...
-
- nejakej backdoor se obcas prihodi kazdemu projektu: https://www.root.cz/clanky/utok-na-wordpress-pres-rest-api-tretina-webu-nema-posledni-zaplaty/
- jenze kdyz nemas security review na contrib, mas historickou zatez apod tak se ti stane tohle: https://www.root.cz/clanky/vice-nez-8-800-pluginu-pro-wordpress-ze-44-705-je-deravych/ , a zde je dulezity se podivat jaky typ zranitelnosti to je. nejde o nejaky mozny zneuziti opravneni "administer něco" za splneni x podminek.
- jenze kdyz mas blbe nastaveny obchodni model, nemas to cele komplet open source a as free as a beer tak se ti zacne zakonite dit tohle: https://www.root.cz/zpravicky/prodany-plugin-pro-wordpress-instaloval-backdoor/ a jeste vic "hele ta galerka stoji $10 tak si ji stahnu z torrentu"Chapu, ze je pro WP tezke udelat to co udelal Drupal s verzi 8 a riznout do toho, prejit na Composer apod. Drupal za to zaplatil ztratou docela zajimaveho zdroje vyvojaru - hobíků, "zaplatil" za to ztratou podilu, ale prineslo to velmi zajimavy byznys. Je otazka jestli s ohledem na cílovku by tohle WP prezil. Ale koneckoncu kazde zbozi ma sveho kupce.
-
null null (neregistrovaný)
Promiň, neznám Drupal a nebudu hledat jeden dva články abych se mohl tvářit že tomu kdoví jak rozumím. A proto se tě chci zeptat:
Když pominu 0days, jak teda Drupal zabrání tomu, aby si někdo nestáhl plugin jenom tak odněkud "z torentu" jak píšeš, jak zabrání tomu, aby plugin někdo odfláknul, udělal chybu nebo potenciální chybu či snad dokonce tam propašoval backdoor? -
Zaprve je to o obchodnim modelu. Drupal neprodava veci za $10, ale je orientovany na vyrazne vetsi projekty a proto funguje cely ekosystem na GPL. Neni zadny store, je proste jen drupal.org contrib space. Me jako vyvojarovi se vyplati davat mozne maximum verejne ven protoze je to muj zivotopis a prihrava mi to vetsi a lepsi zakazniky.
Zadruhe je to nepochybne ta vec, ze Drupal je historicky by developers for developers. Komunita byla dost puritanska ohledne kvality kodu. Diky modularite a kvalitnimu API(jakkoliv bylo do verze 7 zastarale v navrhu tak bylo citelne a robustni) neni jednoduche prasit - a kdyz uz tak nemas koule to zverejnit. WordPress asi taky bude mit ruleset pro phpcs, ale kdo z "vyvojaru" za 200,-/hod z Webtrhu ho pouziva?
Zatreti je tady Security team. Mame "Drupal Security Shield". Nerozepisuju vic, pokud mas zajem vygoogli si to.Ano existuje i nejaky prodej themes na Code Canyon apod, co jsem mel tu moznost dvakrat videt tak jsou to pekny sračky(stejne jako platiti.cz , ktery prodava totalni hovnokod - vsechna cest jestli to za ten rok kdy jsem to koupil opravil, a jeste s pokusem o jakousi trapnou "obfuskaci" pres site URL coz je pecka kdyz mas nastavene CI procesy a per-feature dev stroj). Nastesti diky vyse zminenemu a diky vyrazne jine cilove skupine nez ma WP je to minorita nad kterou lze mavnout rukou.
Nerikam, ze Drupal je bez chyb, ale ty jsou uplne jinde nez v bezpecnosti. Zeptej se treba na beznych webhostinzich, ktery system(y) jsou deravy jak reseto a pres ktere jim servery nejsou hackovany. Jedny Panama papers s 3 roky neaktualizovanou 0-day chybou na tom nic nemeni.
(Btw symfony, nette, zend, laravel apod projekty taky nikdo nijak masivne neatakuje)
-
null null (neregistrovaný)
Tak podívej, můžu tě ujistit, že něco zprasit, obejít, vynechat nebo prostě nepoužít api jde vždycky ..... a věř tomu, že u zveřejnění některé lidi ani nějaké koule vůůbec nezajímají.
Ostatně byla by sranda, kdyby hypoteticky WP skončil a ta armáda matlačů a jejich zákazníků přešla k Drupalu ... To bychom se nasmáli s api, modularitou a Drupal Security Shield ...V momentě, kdy potřebuješ dát normálním uživatelům možnost nainstalovat si vlastní plugin jeho aktualizace, případně rychlou úpravu, tak je to prostě potenciální díra do systému, i kdyby sis "Drupal rules" na pyžámko vyšít nechal. A to je ten největší problém WP. Až bude mít Drupal takový počet instancí s možností jakýchkoliv pluginů a uživatelů, tak se můžeme pobavit o tom, co jak je nejhackovanější. A všichni víme co znamená restrikce na pluginy - je jich méně a tím méně funkcionalit atd.
To je asi jako bys srovnal Android se Storem a možností nahrát si jakoukoliv appku z vlastních zdrojů s Windows Phone a vůbec se nezmínil o rozšířenosti, délce života projektu a vůbec možnosti tvořit appky ...
-
Jenze kdyz nekdo nahlasi zasadni bezpecnostni chybu v contrib modulu tak security team vyzve maintainera k oprave. Pokud tak neucini tak jsou dalsi procedury (nevim z hlavy, myslim, ze se projekt oznaci jako abandoned, smaze u nej DEV release apod. Nedavno se to stalo u celkem pouzivaneho modulu - proste najednou byl abandoned, oznaceny jako nepouzivat a hotovo. Patch byl komunitou pridan a mergnut behem hodiny.
