Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Безопасность OpenCart


AES

Recommended Posts

Доброго времени, хотелось бы пустить пару магазинов на этой платформе, интересует вопрос уязвимости системы.

Наткнулся на такую ссылку - исправлена ли данная дыра?

И хотелось бы услышать мнение пользователей системы - ломали ли сайты у кого нибудь?

Система хороша по сравнению даже с платными аналогами, но дыры пугают...

С уважением Алексей.

Надіслати
Поділитися на інших сайтах


  • 7 months later...

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

Надіслати
Поділитися на інших сайтах


ajax - скриптов не существует в природе.

AJAX - это определение совместно используемых технологий и ничего более.

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

Почему беспокойство возникло только сейчас? Что изменилось?

Надіслати
Поділитися на інших сайтах

Хотелось бы услышать мнение продвинутых по поводу безопасности в свете последних инноваций по внедрению технологии ajax в скриптах движка (сначала упрощенная форма заказа, теперь вот новая версия- 1.5.1.3). Для не продвинутых поясняю ajax- скрипты исполняются на компьютере клиента.

любой js исполняется на клиенте =)

Аббревиатура AJAX означает Asynchronous Javascript and XML...

Вы ранее не использовали Javascript и XML? Уверен что использовали даже если не знали об этом...

фишка именно в Asynchronous
Надіслати
Поділитися на інших сайтах

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

Надіслати
Поділитися на інших сайтах


скрипты автоматизированной оплаты должны предоставлять сами платежные системы. нет модуля для того или иного движка - эти пользователи ей не интересны

ну а самопальные скрипты оплаты пользователи используют на свой страх и риск.

Надіслати
Поділитися на інших сайтах

Ну тут не совсем так просто. Платежные системы используют те url которые Вы предоставите (например для двух случаев- проплата прошла/не прошла) и в случае прошла- передают реквизиты проплаты. Как Вы этим в своем движке воспользуетесь- это Ваше дело. В лучшем случае предоставят API для работы с полученными реквизитами проплаты. У меня нет уверенности, что мой покупатель не имеет на своем ПК трояна заточенного как раз под такой случай.

Надіслати
Поділитися на інших сайтах


не пойму что мы обсуждаем..

я видел модули оплаты изнутри, не во всех проверяется соответствие стоимости товара и суммы которую вернула платежная система по callback урлу

Надіслати
Поділитися на інших сайтах

Не любой скрипт участвует в автоматизации оплаты товара :)

Меня впечатлило содержание статьи по этому адресу -http://raz0r.name/articles/zashhita-ot-csrf/#more-149

Пока это не касалось денег, я тоже не интересовался :)

Это называется "кто всрался-невистка"... либо БСК
Надіслати
Поділитися на інших сайтах

Хорошо, уточню.

Меня, а я намериваюсь создать свой магазин, интересует степень защищенности 1.5.1.3 и упрощенного заказа в котором присутствует автоматизация оплаты. И то и другое хочется использовать.Так как я уже не раз обжигался и немного понимаю в программировании, то решил поискать по теме информацию в инете. Нашел инфу (ссылка выше)за 2008 год, в которой ясно (для программиста) написано, что если в скрипте использующем ajax не применена система защиты маркера доступа, то запросы скриптов моих покупателей можно перенаправить как угодно. Вот и ответьте мне, в этой версии с этой точки зрения все о'кей, также порекомендуйте мне упрощенную форму заказа с соответствующей защитой. Если не знаете, то действительно обсуждать нечего.

Надіслати
Поділитися на інших сайтах


я понял.

по порядку. при чем тут ajax? сейчас почти все браузеры запрещают передавать XmlXttpRequest запросы на другие домены. IE не все но и CSRF можно осуществить без ajax.

посмотрите api платежных систем. магазин только "выписывает счет" для оплаты товара платежной системе, а пользователь уже сам решает оплачивать его или нет. причем выписывает хитро - в параметрах передаетя md5 всех параметров участвующих в оплате и ключ, известный только магазину и системе оплаты. так же и при вызове callback функции, подтверждающей саму оплату.

если у вас есть мысли на тему не безопасности движка - поделитесь.

"маркер доступа" есть в админке, веских причин завязывать на нем работу магазина я не вижу.

Надіслати
Поділитися на інших сайтах

>CSRF можно осуществить без ajax.

Это понятно. Просто я плохо знаю ajax, потому и "дую на воду". Спасибо за достаточно убедительный ответ. Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

Надіслати
Поділитися на інших сайтах


>CSRF можно осуществить без ajax.

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

ну смотря что вы понимаете под J скриптами..

если js - я уже писал java script исполняется на клиенте. у него нет доступа ни к базе, ни к серверу.

концепции MVC следует строго следовать.

Надіслати
Поділитися на інших сайтах

Насколько я понял, главное при написании J-скриптов для opencart - стараться придерживаться MVC для исключения прямого доступа из скрипта к базе данных. Не так ли?

Не так. Всё что Вы написали - это просто набор бессмысленных слов..

Вам надо либо разобраться в технологиях, либо поверить на слово: ни один интернет магазин не может самостоятельно списать деньги с Вашего расчетного счета, пластиковой карты, кошелька и т.д.

Надіслати
Поділитися на інших сайтах

Да нет, про платежные системы Вы мне все уже растолковали, благодарю. Я про общий подход. Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД, вследствие отсутствия прямого обращения из шаблона к базе данных. Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl? Вопрос чисто технический, из любопытства.

Надіслати
Поділитися на інших сайтах


когда вы пишите скрипт уточняйте какой именно, из контекста не ясно.

вам никто не мешает поместить логику в tpl, но так делают только неграмотные студенты, которые не разбираются как устроен движок. tpl это буква V, т.е отображение. зачем тут логика?

Надіслати
Поділитися на інших сайтах

Насколько я понял, собственно поэтому и остановил свой выбор на opencart, в начале своего знакомства с моделью MVC, это наиболее защищенная модель обмена данными между клиентом и БД

MVC к безопасности не имеет отношения.

Так вот вопрос состоит в том, есть ли уже другие решения (например дополнения opencart), построенные на скриптах и при этом вся логика помещена в файл tpl?

За все дополнения не скажу, а в публикуемых сборках такого нет. Но к безопасности это так-же не имеет отношения.
Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.