Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Безопасен ли OpenCart


Houston

Recommended Posts

Добрый день коллеги. Сегодня задумался про бесплатность OpenCart. Что то в статистике своего сайта стал частенько наблюдать посещение сайта из США. Теперь думаю, а не ввернул ли разработчил нам модуль типа DDoS? Это же те так уж и сложно сделать. Что скажут наши специ по безопастности? Что то тут не то. Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

Надіслати
Поділитися на інших сайтах


Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

у вас лицензионная windows стоит?

о таких ОС, как linux вы слышали? имеете представление об opensource/GPL продуктах? а что насчет организации FSF?

хватит панику разводить на ровном месте.

если сайт часто посещают из США, а вы считаете, что этого быть не должно, то просто проанализируйте траффик - кто, откуда, по какому запросу, куда итпд.

только после этого можно будет делать какие-то выводы.

Надіслати
Поділитися на інших сайтах

Добрый день коллеги. Сегодня задумался про бесплатность OpenCart. Что то в статистике своего сайта стал частенько наблюдать посещение сайта из США. Теперь думаю, а не ввернул ли разработчил нам модуль типа DDoS? Это же те так уж и сложно сделать. Что скажут наши специ по безопастности? Что то тут не то. Бесплатный сыр, как все мы знаем, бывает только в мышеловке.

Каким образом DDoS связан с посещениями Вашего сайта? Не улавливаю связи, между DDoS-атакой на Ваш сервер (или сервер Вашего хостера) и opencart, так же не улавливаю связи между "ввёрнутым" Вам модулем типа DDoS и опять же посещениями Вашего же модуля/сайта/сервера из США... Ну и лицензия GPL = модуль DDoS - не знал, удивили...

Для начала хотя бы почитали википедию, что ли, что значится под словом DDoS (заодно и про opensource/GPL).

Надіслати
Поділитися на інших сайтах

-- Вот наширяютса своей марихуаной и ябут друг друга в жопу

(с) Бабки у подезда

Что такое ДДоС для продвинутых чайников (продвинутых потому что слышали такое слово, а у Онотоле спросить не догадались, ну или хотя бы гугля ...)?

Возьмем самый популярный веб-сервер и найдем у него уязвимости вроде той о которой недавно на хабре писали, про реквест рэндж (вроде, лениво лезть в закладки и вспоминать) ... Чего, одине не пофиксил настроки? Ай-яй-яй. Суть в том, что при обращении к веб-серверу хитрым способом последний начинает вести себя неадекватно и разумеется падает. Такие проблемы есть у каждого вебсервера, просто некоторые от них защищаются, а некоторые -- нет. В этом и есть угроза "умного" ДДоС. Решение - нанять грамотного одмине, который за 200-300-500-1000$ настроит все это дело. Казалось, бы причем тут OpenCart ...

Но незакрытые уязвимости находят не каждый день, для этого существует быдло-метод. Для начала ЧЕЛОВЕК анализирует сайт, находит например в нем картинку, которая весит полмега. Отличная картинка. (тут задача найти какой-то тяжелый неприятный для нашего вебсервера объект, который ему тяжеловато будет обрабатывать, любая операция неизбежно отжирает ресурсы системы и когда они заканчиваются серверу плохеет ... ) Ну и дальше дает команду ботнету запрашивать эту картинку. И тристатыщ ... Кстати в другом популярном движке, не буду называть его, в старых версиях (в новых надеюсь пофиксили и таки сделали аякс, хотя не факт) у кого не было отключено прайс-лист, эта страница при генерации перебирала пол базы, поэтому часто обращаясь к этой странице можно было положить сервер так что никакой nginx не спасет. Вот и весь DDoS для чайников.

А дальше уже каждый сам сделает вывод наширял разработчик марихуаны или все же это была волчанка.

Кот. Одмин. Шредер. Занавес.

Надіслати
Поділитися на інших сайтах


Для начала хотя бы почитали википедию, что ли, что значится под словом DDoS (заодно и про opensource/GPL).

Убедили. Только не надо из себя умников строить. Один отправляет linux изучать и продукты с открытым исходным кодом, другой в википедию про DDoS. Я просто спросил, а вы сразу в "бутылку" полезли. А про linux, opensource, и DDoS знаю не меньше вашего.

С уважением,

Houston

  • +1 1
Надіслати
Поділитися на інших сайтах


Убедили. Только не надо из себя умников строить. Один отправляет linux изучать и продукты с открытым исходным кодом, другой в википедию про DDoS. Я просто спросил, а вы сразу в "бутылку" полезли. А про linux, opensource, и DDoS знаю не меньше вашего.

С уважением,

Houston

Без обид, камрад, но если знаешь не меньше нашего про DDoS и опенсорц, тогда зачем ... не я не буду говорить "такую хрень спрашивать", я по другому сформулирую вопрос: "тогда зачем в таком тоне вопрос задавать?". Просто цимес ситуации в том, что в продукте с открытым исходным кодом "закладку" обнаружат с вероятностью 95% рано или поздно, и это будет такой скандал что об этом узнают все и сразу. Думаю все помнят историю с *BSD И ЦРУшной закладкой. В случае с DDoS-ной закладкой ИМХО её обнаружит тут же сообщество, потому как лично я первым делом если бы появилось такое подозрение включил бы логирование PHP на максимум и в ближайшую "атаку" отловил бы это. Ну и кроме того есть разные инструменты для пхп для анализа производительности скриптов. Да и голова в конце концов должна помогать решению подобных проблем ...

Так что Дядь Федор не с того вы начали панику поднимать, реально) Куда страшнее закладки, которые воруют данные потому что о них можно годами не задумываться. А они будут сливать "папочке" статистику. Погуглите если интересно, тоже был скандал на эту тему у кой каких движков для е-коммерции.

Надіслати
Поділитися на інших сайтах


Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.