Comments 24
Весь айтишный мир страшно болен shared-хостингом. Из изначальной технологии «домашних страничек» вырос колосс на глинянных ногах. install-каталоги, конфигурирование админки через скрипты, теоретически доступные пользователям, миллион ухищрений, чтобы работать без sudo и/или root, без запуска своего сервера приложения на localhost, без доступа к конфигам веб-сервера…
Каждый раз, когда я вижу ПО подобного типа, меня передёргивает от отвращения. Ничего личного по отношению к vbulletin.
Каждый раз, когда я вижу ПО подобного типа, меня передёргивает от отвращения. Ничего личного по отношению к vbulletin.
В том-то и дело, что скрипт конфигурирования админки из веба был удален. Эксплоит был по соседству.
Насчет колосса не вполне согласен с вами. Точнее, не согласен с эмоциональным посылом. Да, мы с вами ойтишнеги-профессионалы, и нам подвластен путь конфигурирования через config.php, и мы знаем, что права на него не должны быть 777, но множество других людей — не такие. И главная причина выбора шаред-хостингов, конфигурирования скриптов из админки и прочей ереси — экономическая.
Что касается vBulletin, это была моя грандиозная ошибка, которую я уже не знаю как исправить: слишком большой сайт и слишком большой форум уже.
Насчет колосса не вполне согласен с вами. Точнее, не согласен с эмоциональным посылом. Да, мы с вами ойтишнеги-профессионалы, и нам подвластен путь конфигурирования через config.php, и мы знаем, что права на него не должны быть 777, но множество других людей — не такие. И главная причина выбора шаред-хостингов, конфигурирования скриптов из админки и прочей ереси — экономическая.
Что касается vBulletin, это была моя грандиозная ошибка, которую я уже не знаю как исправить: слишком большой сайт и слишком большой форум уже.
Перейдите на XenForo — импорт есть, более того — есть прямой импорт при установке вроде
Авторы то одни :-)
Авторы то одни :-)
Вы меня не поняли. Существование config.php вместо /etc/application/config.conf — это и есть главное уродство, которое породила система.
Там _слишком_ много отвратительного, чтобы его можно было легко разрешить.
Там _слишком_ много отвратительного, чтобы его можно было легко разрешить.
Да, немного не понял. Но суть все-таки та же: отвратительное порождается экономикой. И это глобальная проблема
Нет никакой «экономики». Средней руки vds стоит денег, иногда меньших, чем хотят за шаред хостинг. Это пережиток и консерватизм, а не «экономика». На чём экономить-то? На ID контейнеров?
На услугах людей, которые этим будут заниматься. Сконфигурировать из админки гораздо дешевле, чем описываемым вами способом. Поставить скрипт инсталлятором гораздо дешевле, чем по мануалу.
А скрипт на сайте окажется святым духом? Или тоже «по манулу»?
Я ж говорю, чистой воды инерция сознания, потому что конфиг в условиях добротного сервера вообще не надо трогать (укажите пароль от SQL — хер я знаю пароль от моего sql, у меня этим дебиановский конфигуратор заведует), а надо только указать имя сайта и ещё пару мелких вещей.
Я очень надеюсь, что в ближайшие 2-3 года shared-хостинг (общий веб-сервер и доступ только по ФТП) сдохнет как паршивая собака.
Я ж говорю, чистой воды инерция сознания, потому что конфиг в условиях добротного сервера вообще не надо трогать (укажите пароль от SQL — хер я знаю пароль от моего sql, у меня этим дебиановский конфигуратор заведует), а надо только указать имя сайта и ещё пару мелких вещей.
Я очень надеюсь, что в ближайшие 2-3 года shared-хостинг (общий веб-сервер и доступ только по ФТП) сдохнет как паршивая собака.
А скрипт на сайте окажется святым духом? Или тоже «по манулу»?
ФТП же. Во всяком случае так было, когда я еще этим занимался (лет 7 назад последний раз).
Я очень надеюсь, что в ближайшие 2-3 года shared-хостинг (общий веб-сервер и доступ только по ФТП) сдохнет как паршивая собака.
Меня эта проблема обошла, но желаю всем счастья :)
То есть инструкция «как залить эту дрянь на сайт через ftp» за мануал не считается, а инструкция «наберите команду и ответьте на вопросы» считается?
Заметим, дебиан сам настраивает базу данных, сам генерирует конфиги и т.д., то есть работы раз в цать меньше.
При этом всё получается правильно и секьюрно.
Заметим, дебиан сам настраивает базу данных, сам генерирует конфиги и т.д., то есть работы раз в цать меньше.
При этом всё получается правильно и секьюрно.
>> Главный вывод: владельцы форумов на vBulletin — удалите папку install полностью!
А за каким лешим ее вообще оставляли?
А за каким лешим ее вообще оставляли?
psylosss, поправьте, пожалуйста, в статье ссылку на vbulletin.com. Букву одну пропустили.
Кстати, есть какой-нибудь проект по созданию форума повышенной защищённости? Пусть с минимальным функционалом, но написанный людьми, разбирающимися в теме ИБ.
В посте было бы неплохо указать информацию о технической стороне эксплойта, потому как первые ссылки в Гугле по вашему запросу указывают на уязвимость с раскрытием путей и никак не связаны с /install/
Ставте xenforo.
Кстати, то, как vb хранит код плагинов, это вообще сказка. php код вставляется прямо из базы или из memcache, если получить доступ к одному из вышеперечисленных, читай, у тебё доступ к файловой системе и системным командам.
Кстати, то, как vb хранит код плагинов, это вообще сказка. php код вставляется прямо из базы или из memcache, если получить доступ к одному из вышеперечисленных, читай, у тебё доступ к файловой системе и системным командам.
Sign up to leave a comment.
Владельцам форумов на vBulletin — волна взломов