Отзывы

[markimax]

так я знаю что можно перепилить

Там особо не пилилось - css немного и немного перенесены обьекты по другим местам

Обычный Crtl-C -> Ctrl -V - сохранить с новым именем, и выбрать новый шаблон из выпадающего списка в виджете

И ничего не слетит при обновлениях модуля

И как плюшку получаешь https://coolstuff.com.ua/all-news/ :-D

[ArtemPitov]

Там особо не пилилось - css немного и немного перенесены обьекты по другим местам

Обычный Crtl-C -> Ctrl -V - сохранить с новым именем, и выбрать новый шаблон из выпадающего списка в виджете

И ничего не слетит при обновлениях модуля

И как плюшку получаешь https://coolstuff.com.ua/all-news/ :-D

та ну, меня агрегатировать не нужно, как у меня так и у моих клиентов есть Ваш модуль и как перепилить я знаю, но вопрос был в другом, в реализации и нюансах

[markimax]

та ну, меня агрегатировать не нужно, как у меня так и у моих клиентов есть Ваш модуль и как перепилить я знаю, но вопрос был в другом, в реализации и нюансах

Я знаю что есть :) Я просто не пойму чего написали что "не походит"

Как видите очень даже подходит

[markimax]

Кстати ArtenPitov для справки ;)

 

Разных версий SEO CMS выдано более 6000 лицензий (кстати очень много расширенных лицензий купили разработчики, веб студии)

И вы думаете не обращались пользователи (веб студии, разработчики) расширить функционал (за деньги) для загрузки изображений на сервер. (тем более в админке реализована даже пакетная загрузка изображений, т е адаптировать для фронта тривиальное дело)

Обращались, но единицы. После вопроса что вам важнее 100% безопасность или дать шанс хакеру залить шелл (хотя бы воспользовавшись дырами хостера).

100% выбрали безопасность и сказали что не надо им этого функционала уже - достаточно и по "ссылке"

Т.е. 1. функционал загрузки нужен всего то 0.01%. 2. Безопасность магазина важнее

Делайте выводы

[ArtemPitov]

хотя бы воспользовавшись дырами хостера

если дыры у хостера тогда уже не важно грузиться туда что то или нет, ломанут не через сайт 

[ArtemPitov]

И по поводу взлома через сам хост, конкретики не было бросте ссылкой что ли, реально интересно почитать 

 

По поводу бомб 

function process_upload($upload) {
  $ext = explode('.', $upload['name']);
  $ext = strtolower($ext[count($ext)-1]);
  $filename = md5_file($upload['tmp_name']);
  
  move_uploaded_file($upload['tmp_name'], 'temp/'.$filename.'.'.$ext);
  $info = getimagesize('temp/'.$filename.'.'.$ext);
  
  $tmp_ext = str_replace('image/', '', $info['mime']);
  if ($ext != $tmp_ext) {
    rename('temp/'.$filename.'.'.$ext, 'temp/'.$filename.'.'.$tmp_ext);
    $ext = $tmp_ext;
  }
  
  if ($ext != 'jpg' && $ext != 'jpeg' && $ext != 'gif' && $ext != 'png') {
    unlink('temp/'.$filename.'.'.$ext);
    return false;
  }

move_uploaded_file($upload['tmp_name'], 'temp/'.$filename.'.'.$ext);

файл грузиться без проверки в папку "Хацкером" перегружается память с помощью getimagesize() после чего мы не доходим сюда 

if ($ext != 'jpg' && $ext != 'jpeg' && $ext != 'gif' && $ext != 'png') {
    unlink('temp/'.$filename.'.'.$ext);
    return false;
  }

но есть же http://php.net/manual/ru/function.mime-content-type.php или  http://php.net/manual/ru/function.finfo-file.php

[markimax]

если дыры у хостера тогда уже не важно грузиться туда что то или нет, ломанут не через сайт 

Наша песня хороша начинай сначала :)

Я вам писал вверху. Что дыры есть разные. Если нету загрузки файлов на сервер  вероятность того что вам зальют шел равна практически нулю. Но если разрешить загружать файлы, то вероятность с дырами более 50%. Чувствуете разницу 0.01% и 50%

[markimax]

И по поводу взлома через сам хост, конкретики не было бросте ссылкой что ли, реально интересно почитать 

 

...

https://xakep.ru/2012/10/01/php-vulnerabilities/

https://xakep.ru/2013/10/19/php-wrappers/

https://xakep.ru/2012/01/25/58183/

...

https://habrahabr.ru/post/219125/

...

[ArtemPitov]

Наша песня хороша начинай сначала :)

Я вам писал вверху. Что дыры есть разные. Если нету загрузки файлов на сервер  вероятность того что вам зальют шел равна практически нулю. Но если разрешить загружать файлы, то вероятность с дырами более 50%. Чувствуете разницу 0.01% и 50%

Она у меня будет в голове пока я не найду самый адекватны способ реализации, включая отдельный хостинг для изображения и тд. (Развиваться нужно всегда)

[ArtemPitov]

https://xakep.ru/2012/10/01/php-vulnerabilities/

https://xakep.ru/2013/10/19/php-wrappers/

https://xakep.ru/2012/01/25/58183/

...

https://habrahabr.ru/post/219125/

...

Щяс почитаем, но год там интересный 2012 эра php 5, а уже и 7й пришел который натягивает пайтон в скорости) 

[markimax]

Щяс почитаем, но год там интересный 2012 эра php 5, а уже и 7й пришел который натягивает пайтон в скорости) 

Теперь можете представить до чего "дошла" техника в 2016 ;)

Вообще представьте что если зная алгоритм работы функции ресайза и т п можно подсунуть такие "машинные" коды картинки чтобы при ресайзе получился php код и т.п.

Т.е. здесь суть в том, если есть возможность что то залить - будьте уверены хакеры будут использовать в первую очередь этот вектор атаки. И то что они зальют php бомбу вне всяких сомнений. А дальше они будут искать дыры хостера, браузера, протоколов и т п  как запустить эту бомбу. И идеальных настроек сервера не бывает, каждый год выходят новые експлойты и т п. Т е  надо просто найти эксплойт.  А если вы специалист высокого уровня и можете сами создать их, то тогда это только вопрос времени когда вы запустите то что загрузили.

Я выше написал, что единственный метод более менее безопасный - хранить файлы в БД, но сами понимаете что БД будет просто офигительного размера и начнутся тормоза, а разделять ресурсы сервера через модуль невозможно. Т.е. становиться фактом то что безопасной загрузки без полной связи с конкретным сервером и его системой не существует

Яркий пример. Залил без проблем php. Хотя и стоит принудительный ресайз, а потом ресайз вывода. Т.е. два ресайза

http:// mcdonalds.com/image/data/phototestimonial/ae05b2280a92043d2645edca0af18bc8_avatar_phpOIU7Lk.jpg

[HyperLabTeam]

C таким функционалом проще нету

Нажал одну кнопку "Сценарии -> Включить" и отзывы в стиле "розетка" с таким же функционалом готовы

Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

[markimax]

Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

Да он давно отдельно продается

Наверно разве что бренд поменять и назвать "Отзывы :: Rozetka" :ugeek: :-D

[ArtemPitov]

Да он давно отдельно продается

Наверно разве что бренд поменять и назвать "Отзывы :: Rozetka" :ugeek: :-D

Отзывы товаров (rozetka)  :ugeek:

[markimax]

Розетка тоже не проверяет на php бомбы содержимое

Но я так понял в розетке там все сделано по умному

Там на отдельном сервере в отдельной БД хранятся в BLOB  изображения

И когда вызывается img src='....jpg' - сервер настроен так что вызывается не картинка, а скрипт, которые достает из БД эту картинку

[ArtemPitov]

Марк

вытащи его скомпонуй - назови ОТзывы как на Розетке

и пожинай плоды )

так суть то не в модуле розетка и тд, тема создалась поболтать о реализации модуля, за против, безопасность и тд, вот пока мы дошли к выводу что изображения плохо грузить, но все еще впереди  :-D

[ArtemPitov]

Дожились - розетке тоже php бомбу залил

blob:http: //rozetka.com.ua/1e4e4065-67bb-46f7-b178-9b43140cf122

Вот к чему приводит разрешение загружать файлы на сервер :ph34r: :ugeek: :-D

он там грузиться на отдельный сервер i.rozetka или что то типа этого

ну а blob это браузерное api

Змінено 17 вересня 2016 користувачем ArtenPitov

[HyperLabTeam]

Отзывы товаров (rozetka)  :ugeek:

Вот объясни) зачем делать то что уже сделано?)

причем даже не закодировано)

можно ж пилить под как угодно)

Пардон

так суть то не в модуле розетка и тд, тема создалась поболтать о реализации модуля, за против, безопасность и тд, вот пока мы дошли к выводу что изображения плохо грузить, но все еще впереди  :-D

незаметил)

Змінено 17 вересня 2016 користувачем AWARO

[ArtemPitov]

Вот объясни) зачем делать то что уже сделано?)

причем даже не закодировано)

можно ж пилить под как угодно)

Писать свой вариант со своим видением никогда не поздно.

[HyperLabTeam]

Писать свой вариант со своим видением никогда не поздно.

Ну я больше о том, что не лучше ли убить время на то чего нет)

Возьмем к примеру ванючуб джумлу.

есть там всякие блоги (например) - расширения

и под них фигачат всякие модули, плагины

а там доп настройки и разная визуализация

поняятная пользователю

вот пример

есть за 450р - Симпла

а вот Г* во всех смыслах за 1200р

понимаете что людям не хватает :ugeek:

- Настройка цветовой гаммы модуля (кнопки, шрифты, заголовки, фоны)

и это при через жопарукой подаче модуля (в прочем как и всё остальное от этой psdшной комманды) единственное на что клюют больше чем на симплу и т.д.)

Змінено 17 вересня 2016 користувачем AWARO

[ArtemPitov]

понимаете что людям не хватает :ugeek:

Все что им хватает - это раба который будет все делать и читать мысли ))) 

[HyperLabTeam]

Все что им хватает - это раба который будет все делать и читать мысли )))

все рабы - чего то или кого то ;)

[markimax]

он там грузиться на отдельный сервер i.rozetka или что то типа этого

 

Я так понял что  в розетке там все сделано по умному

Там на отдельном сервере в отдельной БД  хранятся в BLOB  изображения

И когда вызывается img src='....jpg' - сервер настроен так что вызывается не картинка, а скрипт, которые достает из БД эту картинку

Т е если даже php бомбу подсунуть, то вот запустить никак