Перейти к публикации
Поиск в
  • Дополнительно...
Искать результаты, содержащие...
Искать результаты в...

webds

Пользователи
  
  • Публикаций

    83
  • Зарегистрирован

  • Посещение

О webds

  • День рождения 07.06.1985

Информация

  • Пол
    Мужчина
  • Интересы
    IT технологии. Программирование. Создание проектов.

Посетители профиля

4 114 просмотров профиля

Достижения webds

Enthusiast

Enthusiast (6/14)

  • First Post
  • Collaborator
  • Week One Done
  • One Month Later
  • One Year In

Последние медали

-5

Репутация

  1. Я думаю самое хорошее решение ну или одно с хороших - Сделать мастером тип InnoDB и репликации на 1 или 2 сервера с MyISAM. Медленные запросы вообще вынести в отдельные репликации. Так и сохранность данных увеличивается, отказоустойчивать у вас будет хорошая Да и нагрузка уменьшиться.
  2. Поделитесь? Автору спасибо. Для теста то что нужно.
  3. Добрый день. Опишите идею и на [email protected] отправьте пожалуйста. Нам интересно что Вы имеете введу.
  4. Добрый день. попробуйте чуть обновить свой vqmod и установить его от автора Developer JNeuhoff http://www.opencart.com/index.php?route=extension/extension/info&extension_id=19501&filter_username=JNeuhoff На сколько мне известно vQmod конфликтует с OCMOD потому лучше использовать тот vQMOD что по ссылке. В нем логика работы более правильная. Возможно и за конфликта и не работает у вас. Так как одно другое переписывает)
  5. Я Вам.. так отвечу. Все зависит от модуля. Но в основном разработка идет на своей тестовой платформе, потому не нужно не чего давать. Но с другой стороны.... Если Вы предоставили FTP... то толку нет прятать доступы от базы данных. Так как любой не новичок разработчик и так скачает Вашу базу без проблем и без Вашего доступа))))) sftp также можно не давать... Не так уж много файлов... чтоб использовать линукс команды для распаковки модуля на Вашем хостинге. И так ЭТАПЫ: 1. Идет разработка модуля. 2. Идет установка на тест платформу у разработчика 3. Тестируете. 4. Установка к Вам. (или сами, или через ftp уже разработчик закачивает) 5. Установка в админ панели и настройка. (или сами по инструкции или админ пользователь с правами на этот модуль и менеджер модулей) В зависимости от сложности модуля, могут быть еще какие то пункты. НО они в основном только для удобства и быстроты разработки. К примеру: Если это модуль меню, как у Вас. То желательно предоставить FTP для того чтоб быстро вести разработку, сразу корректировать код, стили и.т.д А еще одна идея - найдите себе постоянного одного программиста. Возможно он будет занят или бюджет выполнения ним модулей будет для Вас дорогой, Но думаю можно договорится на тех поддержку, помочь в установке модулей, тех консультации и т.д. Этим обезопасите себя и свой магазин от разных программистов.
  6. Добрый вечер. Что значит прикрутить? Они идут с движком. Другое дело , Ваш сервер может не поддерживать.
  7. Вы его можете скачать на странице описания модуля. В действительности так и есть. Я создал модуль, с дырявым кодом для примера и тестирования firewall модуля. Я был в роли, как написал выше ув. halfhope, "недобросовестным исполнителем". Так вот, в этом "плохом модуле", я допустил две серьезных уязвимости. 1. SQL уязвимость 2. php уязвимость, прописав просто код с функцией PHP eval(), думаю со мной все программисты согласяться что это очень опасная функция, если она напрямую принимает переменную с запроса. В обоих случаях модуль справился. Да действительно сам взломал, но так взломать может каждый - это первое. второе - если Вы смотрели внимательно видео (прошу прощения за возможно не очень качественное видео и мою "мега озвучку"), но там было видно что мой модуль помогает не только от просто уязвимостей но и от некоторые веб шелл вирусных кодов. ну и третье - по поводу "потом сам "поправил " дыру через мега-супер фаервол" Еще раз, ув. Baco, жаль что Вы так и не поняли алгоритм моего модуля. Мой модуль - это не антивирус, который что то поправляет или находит, мой модуль - это firewall, фильтрует запросы и отклоняет, если видит потенциально опасные данные в передачи. Таким образом, у Вас на сайте могут быть сотни веб шелов и уязвимых модулей - тока вот использовать уязвимость - не всегда можно будет, так как модуль будет отклонять запросы. От написания модуля - антивирусного сканера я отказался... так как есть на это причины и я о них уже писал. Это как минимум : 1. Большая нагрузка на сервер 2. Сложные и большое количество сигнатур 3. Необходимое вмешательство программиста, так как иногда антивирусные сканеры не точно показывают тот код, который действительно уязвим. и.т.д
  8. Если Вы так считаете зачем же Вы ее доливаете? ))))))) Если каждый на этом форуме напишет по слову в тему - получится флуд))) Каждый человек имеет свою точку зрения, которую пытается предоставить обществу. А уже общество решает использовать или не использовать идеи и т.д. Попрошу Вас в следующий раз не создавать флуд а задать и написать реально интересный вопрос, для того чтоб было над чем подумать, подумать над решением его. Если же у Вас есть свой опыт в каких то вопросах - конечно было бы хорошо увидеть его.
  9. Добрый день всем! И так Соль или Salt. Это строка случайных данных, которая подается на вход хеш-функции вместе с исходными данными (википедия). Другими словами, это генерированное значение, которое присутствует в алгоритме создания паролей. Если смотреть OpenCart то хлопот вообще нету создать новый пароль администратора, заменить его в базе данных и зайти под админ правами в админ панель Вашего магазина. Теперь от теории к практике: $this->db->query("UPDATE " . DB_PREFIX . "customer SET salt = '" . $this->db->escape($salt = substr(md5(uniqid(rand(), true)), 0, 9)) . "', password = '" . $this->db->escape(sha1($salt . sha1($salt . sha1($data['password'])))) . "' WHERE customer_id = '" . (int)$customer_id . "'"); С этого кода мы видим как генерируется наш пароль. Сначала необходимо генерировать соль: $salt = substr(md5(uniqid(rand(), true) 1. Генерируется путем получения уникального идентификатора c функции PHP uniqid() 2. Потом необходимо получить ХЕШ (нашего уникального идентификатора) с помощью функции PHP MD5() 3. И на по следок - обрезать полученный ХЕШ до длинны в 9 символов с помощью функции PHP substr() И так соль готова. Дальше генерация пароля: sha1($salt . sha1($salt . sha1($data['password']))) 1. $data['password'] - это наше значение, выдуманное нами. 2. sha1 (Secure Hash Algorithm 1) - функция PHP, которая вернет нам ХЕШ нашего выдуманного нового пароля 3. Ну и $salt - эта наша соль, которую генерировали раньше. В общем, если выполнить в php скрипте такую строку кода, подставив вместо слов СОЛЬ и ВЫДУМАННЫЙ ПАРОЛЬ - свои ХЕШ значения то в результате получим наш ХЕШ нового выдуманного нами пароля: <?php echo sha1('СОЛЬ' . sha1('СОЛЬ' . sha1('ВЫДУМАННЫЕ ПАРОЛЬ'))); ?> Хранением информации (логин, пароль и соль ) о пользователе хранится в базе, в таблице ПРЕФИКС_user Спасибо за внимание! Надеюсь выложена здесь информация станет помощью у восстановление утерянного пароля от админ панелей Ваших магазинов.
  10. Добрый день. Ну, учить что то ломать не стоит я думаю, это будет не правильно. Но отвечу Вам так. Если есть доступ к базе - при некоторых условиях, я смог бы Ваш сайт скопировать полностью себе. Не забывайте, что база - это очень важная часть Вашего сайта, в которой хранится много информации о пользователях Вашего же сайта.
  11. Добрый ночи rb. Спасибо Вам за то, что следите за перепиской на форуме. Мои высказывания и рекомендации - это всего лишь мои мысли в слух и они могут иногда быть ошибочными. Что делать и как поступать - решать каждому админу сайта на свое усмотрение. К сожалению, в данном случаи, сказанное ранее мое мнение не иллюзия а реалии с которыми сталкиваются очень много пользователей. CHMOD или права доступа. Для начала нам нужно задать себе вопрос, что это такое? CHMOD - название программы, которая работает на серверах под ОС Linux и дает возможность нам назначать права доступа различным объектам : каталогам , файлам. Права доступа разделяются по отношению к файлам и к каталогам. Обозначаются они одинаково, но означают немного разное. Сами привилегии подразделяются на три категории и записываются одной строкой сразу для трёх типов пользователей: владелец — u (непосредственно владелец файлов) группа — g (других пользователей, входящих в группу владельца) остальные — о (всех прочих пользователей); Обычно Chmod задают в цифровом виде. Стандартно можно увидеть и это рекомендовано делать такие комбинации: 600 только владелец файла может читать/записывать 644 владелец файла, может читать/записывать, члены группы и остальные только читать 666 любой пользователь может читать/записывать 700 только владелец файла, может читать/записывать и запускать на исполнение 711 владелец файла, может читать/записывать и запускать на исполнение, члены группы и остальные могут запускать на исполнение, но не могут читать и изменять 755 любой пользователь может входить в этот каталог и читать содержимое каталога, но изменять содержимое может только владелец 777 любой пользователь может читать/записывать и запускать на исполнение Для каталогов: 700 только владелец может входить в этот каталог, читать и записывать в него файлы 755 любой пользователь может входить в этот каталог и читать содержимое каталога, но изменять содержимое может только владелец На этом теорию заканчиваем. Ее и так много в интернете. Перейдем к практике: Взлом Вашего Веб ресурса можно разделить на несколько этапов: Этап 1. Подготовка. Подготовить себе прокси сервера и туннели через которые можно будет проходить, отправлять запрос на Ваш сайт и при этом скрывать о себе информацию. Этап 2. Получить доступ. Вариантов как это сделать - много. Остановимся на условии, когда к примеру Вы скачали бесплатный модуль или взломанный модуль с непроверенных источников в котором есть уязвимость или как в народе говорят "дыра" . Что же делает эта "дыра"? В зависимости от функций заложенных в файлах - скриптах, через такую вот "дыру" злоумышленник проделав определенный запрос через браузер получит к примеру логин, пароль от админ панели, или как вариант сможет залить вредоносный скрипт, который в будущем позволит ему делать что угодно. Этап 3. Управление. После того как злоумышленник получил хоть какой то доступ, он пытается произвести некоторые действия для получения результата. Результатом может быть как просто повредить Ваш ресурс так и использовать его для размещения рекламы и т.д. Этап 4. Маскирование. Злоумышленник попытается максимально спрятать свой код между всеми остальными файлами Вашего сайта. Чтоб в будущем сразу обратится к шелл скрипту и опять проделать все что ему необходимо. Этап 5. Контроль и сканирование. Если Ваш веб ресурс стал для злоумышленника платформой для заработка денег на трафике, рекламе и т.д, то он, злоумышленник, пытается автоматизировать процесс. Под автоматизацией, я подразумеваю выполнение некоторых операции с помощью неких программ, которые время от времени сканируют Ваш сайт и смотрят, установлен ли еще их вредоносный код или нет. И если нет пытаются его установить снова через шелл скрипт. Теперь настало время вернутся к правам доступа. Дело в том, что при наличие уязвимости, права доступа иногда честно говоря мало в чем могут помочь. К примеру: если у нас появилась возможность залить шел скрипт, то теперь злоумышленник может выполнять разные действия над Вашими файлами. Знаю, после этих слов будет много вопросов... как так? стоят же права к примеру только читать? Ответ очень простой: шелл скрипты могут изменять права других файлов. А если не могут то с помощью простой функции RENAME() могут заменить свой полученный файл на любой файл вашей системы. Кто не верит, может попробовать на шарет хостинге проделать эксперимент: Суть эксперимента 1 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым содержанием и назначить ему любые логичные права доступа Вашей системы. 2. Создать скрипт rename.php и использовать функцию RENAME() (функция PHP, переименовывает файл или директорию) 3. Создать скрипт newconfig.php с любым содержанием. 4. Запустить rename.php , после откроем файл config.php и увидим в нем содержимое newconfig.php Суть эксперимента 2 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым содержанием и назначить ему любые логичные права доступа Вашей системы к примеру 400. 2. Создать скрипт сhmod.php и использовать в нем функцию php сhmod(), в которой прописать путь к файлу config.php и переопределить права на 777 3. Запустить скрипт сhmod.php После чего мы видим что права на наш скрипт были сменены Вопрос, почему же так? Почему же можно менять тогда так легко права доступа с помощью Shell Скриптов , которые используют сhmod() функцию? Ответ прост: Apache и скрипты работают с одними и теми же правами. Мало того, есть большая угроза заражению всех Ваших веб сайтов на Вашем хостинге, если хоть один с сайтов уже заражен. Распространение вирус - скрипта можно остановить использую разные правовые группы для разного своего веб проекта на одном хостинге. Но для этого необходимо как минимум установить и настроить nginx+apache2-mpm-itk
  12. Добрый день уважаемые пользователи OpenCart. Открываю эту тему с целью собрать и предоставить максимальную информацию о том как обеспечить свой сайт. По возможности максимально буду отвечать на разные вопросы и обсуждать разные алгоритмы их решения.
  13. Спасибо. за ответы. Почаще напоминайте о себе модераторам дополнений, Та как то не хотелось этого.. но просто это впервые.. что так модерация проходит долго. Спасибо .
  14. Коллеги. Добрый день. Решил создать несколько дополнений под OpenCart и выложить их на этот сайт. Но вот не могу... Уже месяц модерируют и не могут промодерировать... Поделитесь пожалуйста своим опытом.. Это нормально ? ну так реально долго все дополнения модерируются? Я просто уже и не знаю че и делать... писать другие или нет... если такое отношение непонятно... Обращался в тех поддержку два раза -написали что передали мой запрос...и все.... Спасибо.
×
×
  • Создать...

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.