Безопасность OpenCart

[AES]

Доброго времени, хотелось бы пустить пару магазинов на этой платформе, интересует вопрос уязвимости системы.

Наткнулся на такую ссылку - исправлена ли данная дыра?

И хотелось бы услышать мнение пользователей системы - ломали ли сайты у кого нибудь?

Система хороша по сравнению даже с платными аналогами, но дыры пугают...

С уважением Алексей.

[Sammy95]

Наткнулся на такую ссылку - исправлена ли данная дыра?

Написано же в статье, что уязвимость исправлена...

[AES]

Написано же в статье, что уязвимость исправлена...

Не заметил, спасибо.

А как вообще по надежности система?

[aqp91]

ребеята а какие права выставлять на файл config после утсанвоки движка?

[Sammy95]

aqp91: 600

[aqp91]

а если 777 или 666 можно прочесть логи доступа?

[Fix305]

соседи по серверу не только прочитать смогут, но еще и записать)

[pi1]

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

[Yesvik]

ajax - скриптов не существует в природе.

AJAX - это определение совместно используемых технологий и ничего более.

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

Почему беспокойство возникло только сейчас? Что изменилось?

[Yesvik]

Из любопытства скачал версию трёхлетней давности - OpenCart v1.1.1

В этой версии использовали ajax.

[freelancer]

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

любой js исполняется на клиенте =)

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

фишка именно в Asynchronous

[pi1]

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

[freelancer]

скрипты автоматизированной оплаты должны предоставлять сами платежные системы. нет модуля для того или иного движка - эти пользователи ей не интересны

ну а самопальные скрипты оплаты пользователи используют на свой страх и риск.

[pi1]

Ну тут не совсем так просто. Платежные системы используют те url которые Вы предоставите (например для двух случаев- проплата прошла/не прошла) и в случае прошла- передают реквизиты проплаты. Как Вы этим в своем движке воспользуетесь- это Ваше дело. В лучшем случае предоставят API для работы с полученными реквизитами проплаты. У меня нет уверенности, что мой покупатель не имеет на своем ПК трояна заточенного как раз под такой случай.

[freelancer]

не пойму что мы обсуждаем..

я видел модули оплаты изнутри, не во всех проверяется соответствие стоимости товара и суммы которую вернула платежная система по callback урлу

[Yesvik]

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

Это называется "кто всрался-невистка"... либо БСК

[pi1]

Хорошо, уточню.

Меня, а я намериваюсь создать свой магазин, интересует степень защищенности 1.5.1.3 и упрощенного заказа в котором присутствует автоматизация оплаты. И то и другое хочется использовать.Так как я уже не раз обжигался и немного понимаю в программировании, то решил поискать по теме информацию в инете. Нашел инфу (ссылка выше)за 2008 год, в которой ясно (для программиста) написано, что если в скрипте использующем ajax не применена система защиты маркера доступа, то запросы скриптов моих покупателей можно перенаправить как угодно. Вот и ответьте мне, в этой версии с этой точки зрения все о'кей, также порекомендуйте мне упрощенную форму заказа с соответствующей защитой. Если не знаете, то действительно обсуждать нечего.

[freelancer]

я понял.

по порядку. при чем тут ajax? сейчас почти все браузеры запрещают передавать XmlXttpRequest запросы на другие домены. IE не все но и CSRF можно осуществить без ajax.

посмотрите api платежных систем. магазин только "выписывает счет" для оплаты товара платежной системе, а пользователь уже сам решает оплачивать его или нет. причем выписывает хитро - в параметрах передаетя md5 всех параметров участвующих в оплате и ключ, известный только магазину и системе оплаты. так же и при вызове callback функции, подтверждающей саму оплату.

если у вас есть мысли на тему не безопасности движка - поделитесь.

"маркер доступа" есть в админке, веских причин завязывать на нем работу магазина я не вижу.

[pi1]

>CSRF можно осуществить без ajax.

Это понятно. Просто я плохо знаю ajax, потому и "дую на воду". Спасибо за достаточно убедительный ответ. Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

[freelancer]

>CSRF можно осуществить без ajax.

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

ну смотря что вы понимаете под J скриптами..

если js - я уже писал java script исполняется на клиенте. у него нет доступа ни к базе, ни к серверу.

концепции MVC следует строго следовать.

[Yesvik]

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

Не так. Всё что Вы написали - это просто набор бессмысленных слов..

Вам надо либо разобраться в технологиях, либо поверить на слово: ни один интернет магазин не может самостоятельно списать деньги с Вашего расчетного счета, пластиковой карты, кошелька и т.д.

[pi1]

Да нет, про платежные системы Вы мне все уже растолковали, благодарю. Я про общий подход. Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД, вследствие отсутствия прямого обращения из шаблона к базе данных. Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl? Вопрос чисто технический, из любопытства.

[freelancer]

когда вы пишите скрипт уточняйте какой именно, из контекста не ясно.

вам никто не мешает поместить логику в tpl, но так делают только неграмотные студенты, которые не разбираются как устроен движок. tpl это буква V, т.е отображение. зачем тут логика?

[Yesvik]

Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД

MVC к безопасности не имеет отношения.

Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl?

За все дополнения не скажу, а в публикуемых сборках такого нет. Но к безопасности это так-же не имеет отношения.