Безопасен ли OpenCart

[Houston]

Добрый день коллеги. Сегодня задумался про бесплатность OpenCart. Что то в статистике своего сайта стал частенько наблюдать посещение сайта из США. Теперь думаю, а не ввернул ли разработчил нам модуль типа DDoS? Это же те так уж и сложно сделать. Что скажут наши специ по безопастности? Что то тут не то. Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

[afwollis]

Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

у вас лицензионная windows стоит?

о таких ОС, как linux вы слышали? имеете представление об opensource/GPL продуктах? а что насчет организации FSF?

хватит панику разводить на ровном месте.

если сайт часто посещают из США, а вы считаете, что этого быть не должно, то просто проанализируйте траффик - кто, откуда, по какому запросу, куда итпд.

только после этого можно будет делать какие-то выводы.

[costas]

Добрый день коллеги. Сегодня задумался про бесплатность OpenCart. Что то в статистике своего сайта стал частенько наблюдать посещение сайта из США. Теперь думаю, а не ввернул ли разработчил нам модуль типа DDoS? Это же те так уж и сложно сделать. Что скажут наши специ по безопастности? Что то тут не то. Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

Каким образом DDoS связан с посещениями Вашего сайта? Не улавливаю связи, между DDoS-атакой на Ваш сервер (или сервер Вашего хостера) и opencart, так же не улавливаю связи между "ввёрнутым" Вам модулем типа DDoS и опять же посещениями Вашего же модуля/сайта/сервера из США... Ну и лицензия GPL = модуль DDoS - не знал, удивили...

Для начала хотя бы почитали википедию, что ли, что значится под словом DDoS (заодно и про opensource/GPL).

[smarteg]

-- Вот наширяютса своей марихуаной и ябут друг друга в жопу

(с) Бабки у подезда

Что такое ДДоС для продвинутых чайников (продвинутых потому что слышали такое слово, а у Онотоле спросить не догадались, ну или хотя бы гугля ...)?

Возьмем самый популярный веб-сервер и найдем у него уязвимости вроде той о которой недавно на хабре писали, про реквест рэндж (вроде, лениво лезть в закладки и вспоминать) ... Чего, одине не пофиксил настроки? Ай-яй-яй. Суть в том, что при обращении к веб-серверу хитрым способом последний начинает вести себя неадекватно и разумеется падает. Такие проблемы есть у каждого вебсервера, просто некоторые от них защищаются, а некоторые -- нет. В этом и есть угроза "умного" ДДоС. Решение - нанять грамотного одмине, который за 200-300-500-1000$ настроит все это дело. Казалось, бы причем тут OpenCart ...

Но незакрытые уязвимости находят не каждый день, для этого существует быдло-метод. Для начала ЧЕЛОВЕК анализирует сайт, находит например в нем картинку, которая весит полмега. Отличная картинка. (тут задача найти какой-то тяжелый неприятный для нашего вебсервера объект, который ему тяжеловато будет обрабатывать, любая операция неизбежно отжирает ресурсы системы и когда они заканчиваются серверу плохеет ... ) Ну и дальше дает команду ботнету запрашивать эту картинку. И тристатыщ ... Кстати в другом популярном движке, не буду называть его, в старых версиях (в новых надеюсь пофиксили и таки сделали аякс, хотя не факт) у кого не было отключено прайс-лист, эта страница при генерации перебирала пол базы, поэтому часто обращаясь к этой странице можно было положить сервер так что никакой nginx не спасет. Вот и весь DDoS для чайников.

А дальше уже каждый сам сделает вывод наширял разработчик марихуаны или все же это была волчанка.

Кот. Одмин. Шредер. Занавес.

[Houston]

Для начала хотя бы почитали википедию, что ли, что значится под словом DDoS (заодно и про opensource/GPL).

Убедили. Только не надо из себя умников строить. Один отправляет linux изучать и продукты с открытым исходным кодом, другой в википедию про DDoS. Я просто спросил, а вы сразу в "бутылку" полезли. А про linux, opensource, и DDoS знаю не меньше вашего.

С уважением,

Houston

[smarteg]

Убедили. Только не надо из себя умников строить. Один отправляет linux изучать и продукты с открытым исходным кодом, другой в википедию про DDoS. Я просто спросил, а вы сразу в "бутылку" полезли. А про linux, opensource, и DDoS знаю не меньше вашего.

С уважением,

Houston

Без обид, камрад, но если знаешь не меньше нашего про DDoS и опенсорц, тогда зачем ... не я не буду говорить "такую хрень спрашивать", я по другому сформулирую вопрос: "тогда зачем в таком тоне вопрос задавать?". Просто цимес ситуации в том, что в продукте с открытым исходным кодом "закладку" обнаружат с вероятностью 95% рано или поздно, и это будет такой скандал что об этом узнают все и сразу. Думаю все помнят историю с *BSD И ЦРУшной закладкой. В случае с DDoS-ной закладкой ИМХО её обнаружит тут же сообщество, потому как лично я первым делом если бы появилось такое подозрение включил бы логирование PHP на максимум и в ближайшую "атаку" отловил бы это. Ну и кроме того есть разные инструменты для пхп для анализа производительности скриптов. Да и голова в конце концов должна помогать решению подобных проблем ...

Так что Дядь Федор не с того вы начали панику поднимать, реально) Куда страшнее закладки, которые воруют данные потому что о них можно годами не задумываться. А они будут сливать "папочке" статистику. Погуглите если интересно, тоже был скандал на эту тему у кой каких движков для е-коммерции.