webds

Я думаю самое хорошее решение ну или одно с хороших - Сделать мастером тип InnoDB и репликации на 1 или 2 сервера с MyISAM. Медленные запросы вообще вынести в отдельные репликации. Так и сохранность данных увеличивается, отказоустойчивать у вас будет хорошая Да и нагрузка уменьшиться.

Поделитесь? Автору спасибо. Для теста то что нужно.

Добрый день. Опишите идею и на [email protected] отправьте пожалуйста. Нам интересно что Вы имеете введу.

Добрый день. попробуйте чуть обновить свой vqmod и установить его от автора Developer JNeuhoff http://www.opencart.com/index.php?route=extension/extension/info&extension_id=19501&filter_username=JNeuhoff На сколько мне известно vQmod конфликтует с OCMOD потому лучше использовать тот vQMOD что по ссылке. В нем логика работы более правильная. Возможно и за конфликта и не работает у вас. Так как одно другое переписывает)

Я Вам.. так отвечу. Все зависит от модуля. Но в основном разработка идет на своей тестовой платформе, потому не нужно не чего давать. Но с другой стороны.... Если Вы предоставили FTP... то толку нет прятать доступы от базы данных. Так как любой не новичок разработчик и так скачает Вашу базу без проблем и без Вашего доступа))))) sftp также можно не давать... Не так уж много файлов... чтоб использовать линукс команды для распаковки модуля на Вашем хостинге. И так ЭТАПЫ: 1. Идет разработка модуля. 2. Идет установка на тест платформу у разработчика 3. Тестируете. 4. Установка к Вам. (или сами, или через ftp уже разработчик закачивает) 5. Установка в админ панели и настройка. (или сами по инструкции или админ пользователь с правами на этот модуль и менеджер модулей) В зависимости от сложности модуля, могут быть еще какие то пункты. НО они в основном только для удобства и быстроты разработки. К примеру: Если это модуль меню, как у Вас. То желательно предоставить FTP для того чтоб быстро вести разработку, сразу корректировать код, стили и.т.д А еще одна идея - найдите себе постоянного одного программиста. Возможно он будет занят или бюджет выполнения ним модулей будет для Вас дорогой, Но думаю можно договорится на тех поддержку, помочь в установке модулей, тех консультации и т.д. Этим обезопасите себя и свой магазин от разных программистов.

Добрый вечер. Что значит прикрутить? Они идут с движком. Другое дело , Ваш сервер может не поддерживать.

Вы его можете скачать на странице описания модуля. В действительности так и есть. Я создал модуль, с дырявым кодом для примера и тестирования firewall модуля. Я был в роли, как написал выше ув. halfhope, "недобросовестным исполнителем". Так вот, в этом "плохом модуле", я допустил две серьезных уязвимости. 1. SQL уязвимость 2. php уязвимость, прописав просто код с функцией PHP eval(), думаю со мной все программисты согласяться что это очень опасная функция, если она напрямую принимает переменную с запроса. В обоих случаях модуль справился. Да действительно сам взломал, но так взломать может каждый - это первое. второе - если Вы смотрели внимательно видео (прошу прощения за возможно не очень качественное видео и мою "мега озвучку"), но там было видно что мой модуль помогает не только от просто уязвимостей но и от некоторые веб шелл вирусных кодов. ну и третье - по поводу "потом сам "поправил " дыру через мега-супер фаервол" Еще раз, ув. Baco, жаль что Вы так и не поняли алгоритм моего модуля. Мой модуль - это не антивирус, который что то поправляет или находит, мой модуль - это firewall, фильтрует запросы и отклоняет, если видит потенциально опасные данные в передачи. Таким образом, у Вас на сайте могут быть сотни веб шелов и уязвимых модулей - тока вот использовать уязвимость - не всегда можно будет, так как модуль будет отклонять запросы. От написания модуля - антивирусного сканера я отказался... так как есть на это причины и я о них уже писал. Это как минимум : 1. Большая нагрузка на сервер 2. Сложные и большое количество сигнатур 3. Необходимое вмешательство программиста, так как иногда антивирусные сканеры не точно показывают тот код, который действительно уязвим. и.т.д

Видео обзор о модуле DS Firewall Opencart

Если Вы так считаете зачем же Вы ее доливаете? ))))))) Если каждый на этом форуме напишет по слову в тему - получится флуд))) Каждый человек имеет свою точку зрения, которую пытается предоставить обществу. А уже общество решает использовать или не использовать идеи и т.д. Попрошу Вас в следующий раз не создавать флуд а задать и написать реально интересный вопрос, для того чтоб было над чем подумать, подумать над решением его. Если же у Вас есть свой опыт в каких то вопросах - конечно было бы хорошо увидеть его.

Добрый день всем! И так Соль или Salt. Это строка случайных данных, которая подается на вход хеш-функции вместе с исходными данными (википедия). Другими словами, это генерированное значение, которое присутствует в алгоритме создания паролей. Если смотреть OpenCart то хлопот вообще нету создать новый пароль администратора, заменить его в базе данных и зайти под админ правами в админ панель Вашего магазина. Теперь от теории к практике: $this->db->query("UPDATE " . DB_PREFIX . "customer SET salt = '" . $this->db->escape($salt = substr(md5(uniqid(rand(), true)), 0, 9)) . "', password = '" . $this->db->escape(sha1($salt . sha1($salt . sha1($data['password'])))) . "' WHERE customer_id = '" . (int)$customer_id . "'"); С этого кода мы видим как генерируется наш пароль. Сначала необходимо генерировать соль: $salt = substr(md5(uniqid(rand(), true) 1. Генерируется путем получения уникального идентификатора c функции PHP uniqid() 2. Потом необходимо получить ХЕШ (нашего уникального идентификатора) с помощью функции PHP MD5() 3. И на по следок - обрезать полученный ХЕШ до длинны в 9 символов с помощью функции PHP substr() И так соль готова. Дальше генерация пароля: sha1($salt . sha1($salt . sha1($data['password']))) 1. $data['password'] - это наше значение, выдуманное нами. 2. sha1 (Secure Hash Algorithm 1) - функция PHP, которая вернет нам ХЕШ нашего выдуманного нового пароля 3. Ну и $salt - эта наша соль, которую генерировали раньше. В общем, если выполнить в php скрипте такую строку кода, подставив вместо слов СОЛЬ и ВЫДУМАННЫЙ ПАРОЛЬ - свои ХЕШ значения то в результате получим наш ХЕШ нового выдуманного нами пароля: <?php echo sha1('СОЛЬ' . sha1('СОЛЬ' . sha1('ВЫДУМАННЫЕ ПАРОЛЬ'))); ?> Хранением информации (логин, пароль и соль ) о пользователе хранится в базе, в таблице ПРЕФИКС_user Спасибо за внимание! Надеюсь выложена здесь информация станет помощью у восстановление утерянного пароля от админ панелей Ваших магазинов.

Добрый день. Ну, учить что то ломать не стоит я думаю, это будет не правильно. Но отвечу Вам так. Если есть доступ к базе - при некоторых условиях, я смог бы Ваш сайт скопировать полностью себе. Не забывайте, что база - это очень важная часть Вашего сайта, в которой хранится много информации о пользователях Вашего же сайта.

Добрый ночи rb. Спасибо Вам за то, что следите за перепиской на форуме. Мои высказывания и рекомендации - это всего лишь мои мысли в слух и они могут иногда быть ошибочными. Что делать и как поступать - решать каждому админу сайта на свое усмотрение. К сожалению, в данном случаи, сказанное ранее мое мнение не иллюзия а реалии с которыми сталкиваются очень много пользователей. CHMOD или права доступа. Для начала нам нужно задать себе вопрос, что это такое? CHMOD - название программы, которая работает на серверах под ОС Linux и дает возможность нам назначать права доступа различным объектам : каталогам , файлам. Права доступа разделяются по отношению к файлам и к каталогам. Обозначаются они одинаково, но означают немного разное. Сами привилегии подразделяются на три категории и записываются одной строкой сразу для трёх типов пользователей: владелец — u (непосредственно владелец файлов) группа — g (других пользователей, входящих в группу владельца) остальные — о (всех прочих пользователей); Обычно Chmod задают в цифровом виде. Стандартно можно увидеть и это рекомендовано делать такие комбинации: 600 только владелец файла может читать/записывать 644 владелец файла, может читать/записывать, члены группы и остальные только читать 666 любой пользователь может читать/записывать 700 только владелец файла, может читать/записывать и запускать на исполнение 711 владелец файла, может читать/записывать и запускать на исполнение, члены группы и остальные могут запускать на исполнение, но не могут читать и изменять 755 любой пользователь может входить в этот каталог и читать содержимое каталога, но изменять содержимое может только владелец 777 любой пользователь может читать/записывать и запускать на исполнение Для каталогов: 700 только владелец может входить в этот каталог, читать и записывать в него файлы 755 любой пользователь может входить в этот каталог и читать содержимое каталога, но изменять содержимое может только владелец На этом теорию заканчиваем. Ее и так много в интернете. Перейдем к практике: Взлом Вашего Веб ресурса можно разделить на несколько этапов: Этап 1. Подготовка. Подготовить себе прокси сервера и туннели через которые можно будет проходить, отправлять запрос на Ваш сайт и при этом скрывать о себе информацию. Этап 2. Получить доступ. Вариантов как это сделать - много. Остановимся на условии, когда к примеру Вы скачали бесплатный модуль или взломанный модуль с непроверенных источников в котором есть уязвимость или как в народе говорят "дыра" . Что же делает эта "дыра"? В зависимости от функций заложенных в файлах - скриптах, через такую вот "дыру" злоумышленник проделав определенный запрос через браузер получит к примеру логин, пароль от админ панели, или как вариант сможет залить вредоносный скрипт, который в будущем позволит ему делать что угодно. Этап 3. Управление. После того как злоумышленник получил хоть какой то доступ, он пытается произвести некоторые действия для получения результата. Результатом может быть как просто повредить Ваш ресурс так и использовать его для размещения рекламы и т.д. Этап 4. Маскирование. Злоумышленник попытается максимально спрятать свой код между всеми остальными файлами Вашего сайта. Чтоб в будущем сразу обратится к шелл скрипту и опять проделать все что ему необходимо. Этап 5. Контроль и сканирование. Если Ваш веб ресурс стал для злоумышленника платформой для заработка денег на трафике, рекламе и т.д, то он, злоумышленник, пытается автоматизировать процесс. Под автоматизацией, я подразумеваю выполнение некоторых операции с помощью неких программ, которые время от времени сканируют Ваш сайт и смотрят, установлен ли еще их вредоносный код или нет. И если нет пытаются его установить снова через шелл скрипт. Теперь настало время вернутся к правам доступа. Дело в том, что при наличие уязвимости, права доступа иногда честно говоря мало в чем могут помочь. К примеру: если у нас появилась возможность залить шел скрипт, то теперь злоумышленник может выполнять разные действия над Вашими файлами. Знаю, после этих слов будет много вопросов... как так? стоят же права к примеру только читать? Ответ очень простой: шелл скрипты могут изменять права других файлов. А если не могут то с помощью простой функции RENAME() могут заменить свой полученный файл на любой файл вашей системы. Кто не верит, может попробовать на шарет хостинге проделать эксперимент: Суть эксперимента 1 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым содержанием и назначить ему любые логичные права доступа Вашей системы. 2. Создать скрипт rename.php и использовать функцию RENAME() (функция PHP, переименовывает файл или директорию) 3. Создать скрипт newconfig.php с любым содержанием. 4. Запустить rename.php , после откроем файл config.php и увидим в нем содержимое newconfig.php Суть эксперимента 2 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым содержанием и назначить ему любые логичные права доступа Вашей системы к примеру 400. 2. Создать скрипт сhmod.php и использовать в нем функцию php сhmod(), в которой прописать путь к файлу config.php и переопределить права на 777 3. Запустить скрипт сhmod.php После чего мы видим что права на наш скрипт были сменены Вопрос, почему же так? Почему же можно менять тогда так легко права доступа с помощью Shell Скриптов , которые используют сhmod() функцию? Ответ прост: Apache и скрипты работают с одними и теми же правами. Мало того, есть большая угроза заражению всех Ваших веб сайтов на Вашем хостинге, если хоть один с сайтов уже заражен. Распространение вирус - скрипта можно остановить использую разные правовые группы для разного своего веб проекта на одном хостинге. Но для этого необходимо как минимум установить и настроить nginx+apache2-mpm-itk

Добрый день уважаемые пользователи OpenCart. Открываю эту тему с целью собрать и предоставить максимальную информацию о том как обеспечить свой сайт. По возможности максимально буду отвечать на разные вопросы и обсуждать разные алгоритмы их решения.

Спасибо. за ответы. Почаще напоминайте о себе модераторам дополнений, Та как то не хотелось этого.. но просто это впервые.. что так модерация проходит долго. Спасибо .

Коллеги. Добрый день. Решил создать несколько дополнений под OpenCart и выложить их на этот сайт. Но вот не могу... Уже месяц модерируют и не могут промодерировать... Поделитесь пожалуйста своим опытом.. Это нормально ? ну так реально долго все дополнения модерируются? Я просто уже и не знаю че и делать... писать другие или нет... если такое отношение непонятно... Обращался в тех поддержку два раза -написали что передали мой запрос...и все.... Спасибо.

ВО спасибо большое

Добрый день. Есть ли возможность такая возможность? Задача - есть три продавца - один магазин. Каждый может выставить свой товар и продавать его. При этом категории товаров общие и сам магазин тоже. Редактировать чужое нельзя.

Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и ценятся мои услуги, а Вы делайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне так в этой теме много флудта. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на реале. мда уж.... И что смешного? А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на места опасные для работы в этом движке... но что то такое возмущение "СПЕЦОВ" на этом форуме отбило мне желание это делать. Потому соглашусь с Вами. Лучше все делать как Вы пишите, а мои "смешные" сообщения прошу модераторов вообще удалить за некорректность. Спасибо. )))))

afwollisМожет конкретнее укажите на мои сообщения "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы постарался описать проблемы по возможности с примерами. А писать о клуонаде, любой гость этого форума сможет.

Ну включите же логику, если она у Вас есть.. не пишите глупостей. Вы наверное путаете доступ по ftp и работу скриптов. Я уже написал. Что Ваши скрипты работают под рутом. И если есть дыра то все скрипты которые будут залиты будут работать также под рутом. Нет в разделения прав на Васю, Петю, и т.д. Но по логике, если бы были, то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя идентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети. Еще раз повторю, всегда обдумайте сначала то что пишите. Может поделишься "Правильной настройкой" ? А на счет бекапов - это конечно хорошо. Но в реале, бекапы нужны для воостановления сайта после кривых рук программиста, который что то писал и все поломал. В жизни, если злоумышленник находит лазейку, он будет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Остальные разы для взлома ему нужно будет несколько секунд или максимум несколько минут. Потому нужно искать эти лазейки и закрывать. Я надеюсь только на то что ты не работаешь Администратором серверов. :ugeek: Что значит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен :-D Это с той истории, докажи алкашу что он алкаш. ))) Использование htaccess - сами разработчики рекомендуют не использовать. Что ты на это скажешь? Хотя всем сказано.

Добрый день aafilippov, Вы занимаетесь безопасностью? Просто если нет, то попрошу не комментировать мои посты в не верном направление. Уважаемые пользователи, специалисты. Если есть те кто занимается безопасностью, прошу ответить мне в личку. Хотелось бы собрать Вас всех в месте в будущем, и обсуждать разные идеи и алгоритмы. Для этого не обязательно использовать htaccess. Просто, если бы Вы знали что это за файл, для чего нужен, как можно без него работать, не писали мне о ЧПУ. htaccess - согласен, что удобно очень. Но если использовать возможность назначения правил работы сервера через внешние файлы (htaccess ), то для большей безопасности лучше его перейменовать и задать ему другое имя, чтоб не могли найти скрипты вирусы его. Тут сложно Вам понять мои слова, не проанализировав тактику и алгоритмы взломов. Описывать к сожалению не вижу смысла, потому оставим это. )))) Будет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт работают под одним пользователем. И смысла в правах нет вообще, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно поставить. Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. )) При чем тут Апач? Командами через ssh консоль прямо обращаетесь к линуксу. Есть тоже много нюансов. Если особенно ставить разные условия.

Прочел, решил и че нить самому дописать Вообще безопасность - штука интересная. Я занимаюсь ней некоторое время, изучал, анализировал и могу сказать, что при аренде хостинга, ее сложно максимально обеспечить своему сайту. Более реалистично, что то сделать, только при выделенным сервере. Выше посмотрел переписку, хочу ответить на некоторые вопросы. Да, действительно доступ будет прямого вызова недоступен. Order allow,deny - это правило очередности выполнения действий. Deny from all - это правило запрещает доступ к файлам Также хочу предупредить что действия htaccess распространяется на все поддиректории. Вообще моя Все рекомендация - НЕ ИСПОЛЬЗУЙТЕ htaccess, а лучше вообще отключить его использование. Правила прописывать в конфигурации сервера, куда не смогут залезть так называемые "вирусные" скрипты. Если очень нужно использования этих файлов, как одна с идей, можно переименовать htaccess на любое другое имя, но опять, для работы нужен свой веб сервер. Это запрет на просмотр каталогов, если в нем нет индексового файла ,который сервер по умолчанию должен запустить Честно говоря, я вообще не понимаю зачем эти права нужны и зачем с ними работать. Да согласен что нужно по максимуму закрывать право на запись файла, и ставить только чтение. Но как показал опыт, все скрипты работают под Админ правами сервера. Потому, если кто то к Вам каким то образом что то залил, то он сможет управлять правами на скрипты , папки и т.д. Честно пока мало эффекта видел от этого назначения прав, хотя элементарная защита как бы есть , и я все же рекомендую выставлять права по максимуму правильно. Уточню информацию. Самим htaccess не чего не получится. В реале этот файл нужен для создания правил, которые выполняет сервер. Чтоб установить пароль нужен будет еще и файл .htpasswd, в котором и хранятся пароль. Почитать как это сделать, думаю не составить труда, статей много. Ммм конечно не понятно о каком модули идет речь, но в реальности на сервере должен минимум стоять модуль mod_security Это легко делается через команды в консуле Будет время, возможно буду описывать все моменты безопасности. А вообще мне интересно, на сколько эта тема актуальна для людей?

Добрая ночь. Кстати, для тех, кому нужен дебагер в админ панели, а он не запустился с первого раза, посмотрите в консоль, файл стилей и яваскипт, оказалось грузит с ошибочных путей. http://clip2net.com/s/71lYKp Исправить можно в фaйле /library/debug.php Конечно, я не совсем красиво исправил, но на быструю руку сойдет: http://clip2net.com/s/71m7JB Я конечно согласен, можно и условия прописать, но меня так устроило.

Гггг... еще бы написали, что я работаю в этой компании и продаю лицензии))) Я бы тогда еще больше :-D смеялся. А я делюсь с Вами своим опытом и логикой а также советую и не буру денег . Я занимаюсь ИТ примерно 6 лет... разные клиенты и . Я вижу проблемные места в проектах, создаю алгоритмы их решения .. Иногда просто провожу анализ и даю рекомендации на платной основе . На этом форуме - я не для того чтоб кого то к чему то подталкивать. А на счет 15500 - разве это деньги для человека который серьезно хочет работать ? Вы же больше и времени потеряете и денег на разных CRM. Мало того , может конечно я не в курсе... но она дешевле стоит..по сути Вам же не нужно все покупать сразу... Одним словом.. это Ваше дело.

Ребята, зачем флудить?