Комментарии 102
С чего это тут какой-то битрикс олицетворяется со всия интернет рф?
Ой, несмотря на то, что Битрикс, это кусок плохого кода, такие проблемы бывают с WordPress'ом, особенно с его плагинами.
Так по сути - именно это и наблюдаем.
Просто уже и здесь появляются публикации по этой тематике.
Считаю это следствием излишнего перегиба, допущенного за счёт излишней монополизации
(это - характерное свойство закрытых систем).
Ну вот я работал во множестве разных студий. Какие-то занимались сайтостроительством только на БУС, какие-то на modx\drupal\WP. Личное наблюдение: у БУС есть документация которую могут понять маркетологи (а сайт - это их инструмент), у них есть инфраструктура из коробки (Битрикс ВМ) которую поднимет за 1 день любой эникей, у них есть готовые решения и поддержка. С точки зрения бизнеса который про деньги, а не просто постартапить со смузи и вэйпом много альтренатив?
Я не защищаю битрикс. Я с сожалением констатирую, что на данный момент из всего огромного многообразия CMS\CMF битрикс - это коробочное решение которое можно быстро внедрить и быстро интегрировать и с CMS (разными, тут нет вендор-лока) и с учётными системами и с много чем ещё. True-программисты с пренебрежением смотрят на БУС, но когда до дела доходит, все эти true-программисты на своих любимых CMSи фреймворках на 100% проект не доделывают и сливаются. Почему?
Вот бы кто-то придумал и сделал альтернативу. Так чтоб и с поддержкой и маркетплейсом и понятной маркетолухам админкой и интеграцией из коробки со всем чем только придумается. Но как-то пока альтернатив не видать к сожалению. Очень надеюсь на кучу обоснованных минусов с прилагающимися ссылками на пруфы моей неправоты.
битрикс
олицетворяетсяотождествляется
Погуглить разные рейтинги - по ним битрикс стабильно входит в TOP-5 по частоте использования. Даже если это будет только 10% против 40% у вордпресса - всё равно кусок довольно лакомый, чтобы и им поживиться. А тесная связь с рунетом - скорее не потому, что с точки зрения авторов он что-то там олицетворяет, а потому, что за пределами рунета его либо мало, либо нет. Вордпресс по собиранию эксплойтов там отдувается за двоих, бедняга ?
"Подготовка велась с 2022 года" - почему вы так решили?
Чтобы круче звучало.
А всё же верно, только надо уточнить, что подготовка велась не "там", а "тут". И фактически началась с релиза этого самого битрикса, который в основном обслуживается бегунками на пол ставки, вместо нормальной сервисной программы автоматического обновления. Это практически готовый троянский конь федерального масштаба, замаскированный под монопольную CMS
Если с этой стороны посмотреть - то да...
В битриксе как раз обновление автоматическое, все что нужно сделать бэкап да кнопку обновления ткнуть. Если этого админ не делает периодически то это его проблемы
И лицензию не забывать продлевать, пушо без активной лицензии автообновление работать не будет.
Ну обновления почаще выходят, раз в квартал как минимум надо обновляться, а лицензия раз в год обновляется.
Суть возражения тут я не особо улавливаю, то что битрикс платный? Так не покупайте битрикс, используйте вордпресс/джумлу и тд.
Все по деньгам и по техническим требованиям, некоторым вообще страничек в вк и инсте и магазина на озоне/вб хватает, даже обновления ставить не надо как в том же вордпрессе/битриксе, вся возня айтишная на аутсорсе получается, только товар подвози.
"автоматическое"
"ткнуть"
почти как "сухая вода"
Ну знаете, это не загружать по фтп и не в консоли файлы распаковывать. Вы попробуйте например инстанс рокетчата обновить, для сравнения.
А полностью автоматические обновления в отвественных местах никто (психически здоровый) не ставит, такие вещи все равно на контроле должны быть.
привет винде? ))
Там нужна масса усилий отключать именно автоматические обновления.
И да, есть всус или как его.. тем не менее, оно именно что автоматическое.
Ну дык очевидно что домашняя винда не рассматривается как что-то важное, в организациях всусы, да.
И то вой периодически раздается когда очередное обновление загоняет тысячи домашних винд в синьку.
Привет! Одного из хакеров удалось отловить. Он даёт показания.
Да вы что?! Вот прямо за неделю смогли отловить злого хацкера, который планировал операцию аж целых 6 месяцев? Возбудили уголовное дело, провели ОРМ, аресты, обыски и вот это все? Что-то в стране поменялось, что их начали так быстро ловить, не иначе...
Поменялось, конечно. Раньше хотя бы делали вид, что соблюдают законы, а сейчас можно уже этим на заморачиваться: юристы из страны разъехались; независимые СМИ, которые могли бы написать о несправедливости -- тоже эвакуировались из страны или заблокированы Роскомнадзором. И если раньше тот же Богатов всё-таки вышел из заключения, то сейчас властям нет смысла отпускать бедных владельцев затрояненных компьютеров, через которые хакеры могут орудовать.
Потому что в сознании обывателя сразу же рисуется образ опасного ЛГБТ секс-инструктора из НАТО, который одной рукой ломает сайты а другой, кхм, инструктирует (или разрабатывает?).
А почему скриншот замазан? Там же кроме текста ничего нет. Неужели в сверхдержаве за обычный текст на скриншоте сайта могут заблокировать сайт?
Откуда вы знаете, что там есть? :)
Я не знаю, что конкретно "там есть", но по контурам видно только логотип и текст. Что такого в 2 абзацах текста на скриншоте, что его так тщательно замазали?
Откуда вы знаете, что там есть? :)
Предположу, что спойлер развернул?
Если погуглить источник заглавной картинки, то можно найти статью с немного более раскрытой тех. инфой и незамазанным скриншотом. Так, вот, на скриншоте есть страшное слово "Конституция".
Наверное, "подготовка с 2022 года" это про публикацию инструкции по эксплуатации уязвимостей...
А другие страшные слова с той картинки почему не упомянули?
Например, слово на У?
Все настолько плохо, что "Украина" уже нельзя называть, а только по первой букве указывать?
И что в этом тексте такого, что его нельзя показывать?
Все настолько плохо
Всё ещё хуже.
Ну если пропаганда здравого смысла это плохо, а "Украина" это страшное слово, которое нельзя называть, то "всё идет по плану", спасибо
Это Хабр, привыкайте. И да пребудет с Вами карма!
Совсем офтоп, но почему я не могу голосовать за часть комментариев? Например за ваш и выше, а за другие могу.
PS. А, видимо это был глюк, обновил страницу, теперь ни за какие не могу :)
Обновить страницу пробовали? Иногда помогает.
Голсование за комментарии блокируется, если исчерпался заряд голосования (а у нас с Вами он не очень большой)
Голосование блокируется, если с момента создания статьи прошло сколько-то там дней (не наш случай, но просто для полноты картины).
Число возможных голосов за комментарии ограничено Кармой: например, у вас их должно быть 20 в сутки.
А другие страшные слова с той картинки почему не упомянули?
Дык, "Конституция " там и есть самое важное слово. Вас не удивил явный анахронизм на картинке? Меня - удивил: День Конституции Украины празднуется 28 июня. В понятных вам терминах: такой текст для сегодняшнего дейеса так же удивителен, как и текст сегодняшнего же воображаемого дефейса американского сайта с упоминанием Declaration of Independence (праздник ее принятия празднуется, как всем известно, 4 июля.).
Кароче, меня это таки удивило и я полез чисто для себя поинтересоваться вопросом. Первые же поиски в интернетах показали, что взлом ряда российских сайтов в День Конституции Украины через этот вектор действительно имел место:
В День конституции Украины, 28 июня, на главных страницах целого ряда российских сайтов в результате деятельности киберпреступников появились антивоенные призывы и поздравления с праздником.
Для поиска содержимого тогдашнего дефейса я обратился к русскоязычным ресурсам в нейтральных странах, и таки кое-что нашел, а именно - кусок текста прямо с вашей картинки
В связи с этим у меня сложилась рабочая гипотеза: некто получил в свои руки одновременно и список поддоменов домена рф., и тот самый скрипт, которым делался дефейс в прошлогодний День Конституции Украины. Как это произошло - я без понятия. После чего этот некто и запустил скрипт по списку, нимало не задумываясь над его смысловым содержанием. Из этого, кстати, следует и моя оценка квалификации автора атаки: script-kiddie
PS Ну, а ещё я бы мог сказать ряд добрых слов про разгильдяство админов, но, из профессиональной солидарности - не буду: они теперь сами все осознали (надеюсь ;-) ).
PPS Если вас таки интересует, что же послужило спусковым крючком реакции РКН, то, по моим оценкам, это - последняя фраза (т.е. часть предложения) в предпоследнем абзаце. Но это не точно - к тайным знаниям РКН я не допущен (и даже не хочу быть допущенным: не люблю формы допуска еще с тех давних советских времен, когда мне приходилось их подписывать - благо это было давно: советские времена и сроки действия допуска давно кончились). А так как текст с этой фразой появился почти год назад, то он, по моим предположениям, он лежал себе лежал где-то в базах данных РКН, а вот теперь дождался своего часа и вызвал чисто автоматически блокировку пострадавших сайтов.
лингвист по указке товарища майора заключает что означает тот или иной текст. если линвист с выдумкой и решает по своему усмотрению - этот лингвист остается без работы и ищется более сговорчивый лингвист. https://www.kommersant.ru/doc/5089586
Прости, пожалуйста, Володымыр, а в маленькой но гордой сверхдержаве приветствуется поздравления с Днем Конституции России на ее ресурсах?
через 0day-уязвимость CVE-2022-27228, известную с 3 марта 2022 года.
Почему-то всегда думал, что уязвимости нулевого дня, это те, о которых неизвестно широкой публике.
Ещё в июле 2022 года Национальный координационный центр по компьютерным инцидентам (НКЦКИ) предупредил об угрозе заражения сайтов под управлением «Битрикс» через 0day-уязвимость CVE-2022-27228
Пфф... еще в марте 2022 года взломали "Госмонитор" и через него дефейснули десятки если не сотни госсатойв и-и-и... спустя год 8% сайтов федеральных госорганов продолжают загружать с взломанного сайта исполняемый код. При том что сайт заброшен, сертификат давно протух. А тут какая-то уязвимость в какой-то битриксе...
Еще много лет назад после подобной ситуации почти насильно заставил разработчиков добавить в гит весь проект на Битриксе целиком, а не только шаблоны и модули. Выслушал немало доводов, что это не правильно и так никто не делает. Вот только в похожих ситуациях стало намного проще разобраться, что и где случилось, а также оперативно откатить эти изменения. Да, при обновлении есть ряд сложностей, но на больших проектах это случается 1-2 раза в год и вполне можно смириться. А в целом же что-то подобное у Битрикса раз в год, но точно случается, к сожалению.
решето.джипег
Это следствие его популярности и тот факт, что запустить на нем проект достаточно легко сейчас.
К сожалению, это следствие не популярности, а полного игнорирования разработчиками техдлога и всех возможных стандартов сообщества. Кодовая база и архитектура битрикса (кишки наружу, код на массивах с кучей ошибок, без тестов, без анализатора) находится на уровне 2010 года, со всеми вытекающими.
Кто-то может сказать, что они так заботились о юзерах, типа обратная совместимость и обновления, которые можно накатить с любой версии. Ну во-первых, это не так, все равно куча проблем и нужно вручную фиксить много всего, юзерспейс переделывался. Во-вторых - это медвежья услуга, теперь имеем, что имеем.
Еще они известные велосипедисты, со всеми вытекающими. Тут у них в комментах спрашивал про композер - сказали "небезопасно использовать эти ваши доктрины". Пилят какие-то свои неюзабельные поделки на массивах.
Битрикс в таком виде нужно было давно закопать. Если они сейчас в недрах не пилят какой-нибудь "Битрикс 2" как цмс поверх симфони, то скоро их время пройдет.
Все верно, но популярность тут тоже имеет немалую роль, так как и внимания больше в целом и "эффект" от ситуаций куда заметнее в частности.
Судя по вашему комменту, вы битрикс видели последний раз где-то в 2010-ом, ну максимум 2015-ом.
Теперь уже к моему сожалению, это не так.
А что поменялось с 2010? Появилась единая точка входа, все кишки спрятали выше document root? Стали придерживаться PSR? Внедрили композер, автотесты, линтер? Перестали велосипедить? Нет :)
Единая точка входа была кажется и в 2010, urlrewrite называется:)
Кишки выше docroot ну не в 2010, но в 2015 уже были. Называется "сайт в папке". Требует написания пары строчек в конфиге nginx-а, а поскольку большинство хостингов этого не позволяют, ну выпонели.
С PSR ситуация улучшается. Композер юзать никто не мешает в обе стороны (как брать чужие пакеты, так и подключать к ним битрикс). АПИ на массивах давно заброшено и не развивается, но поддерживается для обратной совместимости (хотя под капотом там часто уже обёртки над ORM-ом).
А вот насчёт велосипедов ситуация ровно обратная. Для отечественной бизнес-инфраструктуры (банки, маркетплейсы, соцсети, смс-шлюзы, онлайн-кассы, доставщики и т.д.) модуль для битрикса это пункт намбер ван. Намбер ту - плагин для вордпресса. А вот "крудошлёпы на фреймворках" таскают собственные глюкавые велосипеды из проекта в проект.
Можно перечислять много современных веб-фреймворков, но кроме CMS Bitrix и CMS Wordpress (кстати, обратите внимание, что хаят именно CMS-ки, а не фрейморки, на которых тоже легко собрать что-то рабочее с минимальными усилиями), решето ни с кем из них не ассоциируется.
Да, но только на Битриксе вы можете запустить условный проект за один вечер и это будет очень даже неплохой внешне интернет-магазин, а любом фреймворке это вряд ли получится. И не факт, что для большинства проектов выбор фреймворка даже в перспективе может окупиться, так как до этого момента доживает крайне мало проектов)
Opencart
Ну, Wordpress+Woocommerce тоже можно за вечер.
Ээээ. интернет магазин за вечер ;)?
Куда вы торопитесь ?
Зачем ? Ради чего ? Одни фотки и тексты займут недели...
Я видел таких "ИМ" три. Не знаю за вечер ли, но судя по словам владельцев за них были заплачены сотни тысяч рублей. Все на Битриксе.
Первая страница занимала от 40 до 100мб :))). Да. Мегабайт. Да. Сто.
Достаточно всего лишь использовать вместо превьюшек файлы в 4к и установить им визуальные размеры. Чего париться то ? А давайте ещё несжатым видео запланируем.
Я не знаю кто был те герои, которые это все понахреначили. Но, вероятно, действительно "за вечер"...
Второй пример: корпоративный портал за полмиллиона. Из 3 (трёх) страниц. Люди сделавшие его и сдавшие заказчику даже не озаботились созданием резервных копий хоть каких-то путем жмакания кнопочки в админке. Зато настроили автообновления, которые сломали его через пару месяцев. Ну или сами зашли и сломали, теперь уж не разобраться...
Итд итп.
Если вам неважен результат - сделать за вечер отличный план.
Про вечер я условно, речь просто про достаточно быстрый запуск и без привлечения команды разработчиков, скорее просто технически подкованных специалистов.
Фотки и тексты могут и годы занимать, потому что это не прекращающийся процесс, у нас по крайне мере именно так.
Странных проектов много, я могу множество примеров привести, однако не все запускают Озон, МВидео и т.п., поэтому мотивация сильно отличается. Как и техническая подкованность.
... хотя решето там как правило намного серьёзнее. Просто правило неуловимого джо.
Цена жизни в "коммунальной квартире" и использовании общественного продукта. С другой стороны, а кто у нас кроме Yandex.Market и ОЗОН свой магазин сделали? Очень дорого для малого бизнеса делать что-то свое.
магазин
у вас в слове маркетплейс много ошибок.
И даже в таком случае есть Вайлдберис, есть Ярмарка Мастеров, есть Авито, Ламода, СберМегаМаркет...
Не совсем понимаю логику минусующих мой комментарий.
В РФ по пальцам двух рук пересчитать маркетплейсов, но их и по определению не может быть слишком много; в то время как интернет магазинов -- в том числе самописных -- в России очень много. Потому что нет ничего сложного в том, чтобы налабать сайтик и подключить модуль оплаты.
Обязательное условие безопасности -- свой продукт? По моему, нет.
Грамотная поддержка любого продукта -- да, одно из условий, но обязательно на всех этапах разработки и эксплуатации. Это условие считаю доступным каждому заказчику.
Сделали много кто, но конечно, уже выйдя из стадии "ларек" малого бизнеса.
Дорого на старте и почти непробиваемо через менеджерский "ну там же готовые модули есть".
Зато потом выясняется, что задачу, оцениваемую на платформе Битрикса дня так в два, можно выполнить за два часа, да и работать результат еще будет в два раза быстрее.
За два дня можно будет наделать восемь подобных задач, получить +100500 к выручке, не зарасти техдолгом и ... заплатить ту же зарплату разработчику.
В некоторых случаях сайт может быть заблокирован НКЦКИ по причине размещения противоправного контента на взломанном сайте
Большое спасибо нашему доблестному церту и ДЦОА: внереестровые блокировки сайта на ТСПУ, без уведомления владельца сайта/домена и хостера — это то, что мы давно ждали и к чему стремились! Ведь главное — как бы норот не увидел ужасающие сообщения, а администратор сайта не мог на него зайти, чтобы вернуть всё назад, сидел и недоумевал вместе с хостером о причинах недоступности сайта из РФ!
а также из-за его использования злоумышленниками для проведения компьютерных атак на критическую инфраструктуру
Ага-ага, блокируют пользовательские сети, потому что на сетях хостинг-площадок ТСПУ едва ли встречается :)
Блокировка применяется до момента фиксации НКЦКИ факта удаления противоправного контента.
Как минимум в одном известном мне случае блокировка началась уже после восстановления работы сайта.
С ДЦОА простой смертный связаться не может: номеров телефонов и емейлов нет в открытом доступе, а если и частное лицо им позвонит, от общаются они примерно так:
на сетях хостинг-площадок ТСПУ едва ли встречается
Проверяется элементарно жи ну. Попробуйте развернуть VPN на интересующей хостинг-площадке.
У меня не особо много серверов в РФ, но на тех, что есть, ТСПУ не встречается. Это не значит, что на них вообще нет блокировок.
Проверить довольно просто: curl -L https://play.google.com/
Если открывается — ТСПУ нет.
А что, гуглплей уже заблокирован разве?
Домен заблокирован с марта 2022 г., вместе с блокировкой news.google.com
На Билайне в браузере показывает таймаут.
А в консоли зависает на handshake клиента.
curl -iv -s https://play.google.com/
Trying 142.250.74.110:443...
TCP_NODELAY setConnected to play.google.com (142.250.74.110) port 443 (#0)ALPN, offering h2ALPN, offering http/1.1successfully set certificate verify locations:CAfile: /etc/ssl/certs/ca-certificates.crt CApath: /etc/ssl/certsTLSv1.3 (OUT), TLS handshake, Client hello (1):
Англичанка гадит. Даже на хабре писали, что Гугл по собственной инициативе без широкой огласки забанил пользователей из РФ и Белорусии.
Господа минусеры! Соблаговолите пожалуйста почитать соответствующую ветку на 4pda, начиная хотя бы отсюда
Истина давно уже никому не нужна, минусы тут зачастую ставят на эмоциях и ваша "англичанка" эти эмоции отлично триггерит.
Удерживайтесь от политических дискуссий и штампов если вас беспокоят минусы.
Пользователь по ссылке использовал VPN, чтобы проинициализировать магазин. На ТСПУ заблокирован домен play.google.com, но он обычно не используется в Android-приложении Google Play (закачка происходит через другие эндпоинты). Вполне возможно, что проблема была вызвана как раз начальным обращением приложения к домену play.google.com, которая устранилась через VPN.
А про неработоспособность платежей для региона РФ объявляли официально: https://support.google.com/googleplay/android-developer/answer/11950272
https://www.theregister.com/2022/05/10/google_blocks_paid_apps_from/
То есть, пользователей забанил, а датацентры - нет?
У меня вдс в Екб, оттуда открывается. И по whois - тоже RU, а не где-то ещё.
У меня так и случилось. Сайты оперативно откатил, но блокировка всё равно случилась на следующий день. Провайдеры (МТС, Мегафон и Билайн) их блокируют и не сознаются. РКН два раза ответил на запрос, типа мы ничего не блокируем, при этом сайты не грузятся.
Проще сменить домен. (-_-)
Подскажите пожалуйста, есть ли хоть какой-то вариант снять эти "внереестровые блокировки сайта"?
Попробуйте в церт написать, как советует статья. Вдруг поможет.
Есть, но он(и) не технические (как и корень проблемы) и к тематике сайта не относится
После лечения напишите на incident@cert.gov.ru — разблокируют за пару часов.
1) нужно таки написать как сказано, если всё ок - таки разбанивают, проверено.
2) блокировка снимается перевыпуском сертификата (вот хз, насовсем или временно).
в дальнейшем злоумышленник использовал эти файлы для заражения клиентских браузеров, то есть посетителей сайта
чего_бля.jpg
Какой там еще этот, как его там, htaccess, если до сих пор поголовно отзывы на товар лепятся в доисторическом виде как создание темы форума, с соответствующим редактором, где можно и файлы грузить и смайлики вставлять и ссылки и куски кода... Ошарашенные владельцы бизнесов закупаются шаблонам аспро, думая, что заплатил единожды - в безопасности навек...
Массовый дефейс веб-сайтов .РФ