| 1.1, hgdslvodf (?), 11:51, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
>в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/"
кривая настройка вебсервера и уязвимость плагина всё-таки разные вещи.
>для каталога не было настроено скрытие списка файлов
именно
>добавили файл index.html для запрета просмотра списка файлов
wat?
| | |
| |
| 2.3, InuYasha (??), 11:53, 13/12/2020 [^] [^^] [^^^] [ответить]
| +10 +/– |
Это доисторический рабочий трюк для сокрытия листинга. Сервер просто вернёт этот /dir/index.htm при обращении к /dir/
| | |
| |
| |
| 4.39, Аноним (39), 20:29, 13/12/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вот только по полному пути файл по-прежнему доступен.
По-хорошему надо запрещать запись в /www и разрешать только в специально отведённые папки как то /uploads logs и например в нечто plugins_data куда плагины могут сваливать свой рабочий мусор. Тогда все плагины, которые пишут данные куда попало идут лесом, нормальные плагины пишут куда следует, а инструкция по установке или сам установщик вордпреса на сервер делает нужные разрешения на папки. И проблема аналогичная данной решается для всех нынешних и будущих плагинов.
| | |
| |
| |
| 6.65, Х (?), 08:43, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это все же вопрос не к php - веб-сервер при неверно заданных разрешениях вернет файл по пути при любом ЯП. Другое дело, что PHP-сайты часто куда более легковесно настроены, чем все эти ваши явы с их вебом )
| | |
|
|
|
| 3.54, Аноним (54), 10:55, 14/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Только если у сервера index.html настроен в качестве индекс-файла.
Вообще конечно хранить в логах чувствительное содержимое без предупреждения по умолчанию - это полный ппц.
| | |
|
| 2.20, Аноним (20), 15:53, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> кривая настройка вебсервера
сдаётся, то был плагин-троян, чтобы читать почту нерадивых юзероадминов.
| | |
|
| |
| 2.5, hgdslvodf (?), 11:58, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
WP не даёт ни абстракций ни реализаций для многих полезных вещей. Каждый разработчик городит свои велосипеды.
| | |
| |
| 3.53, Аноним (54), 10:53, 14/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не включать детальный лог (не включать содержимое) по умолчанию и дать пользователю самому указать путь для хранения логов - это, конечно, уже немножко выше того, что могут современные разработчики, да.
| | |
| |
| 4.56, Современные разработчики (?), 16:44, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Да мы-то можем. Мы потом не можем объяснить щасливому юзверю, как ему получить дебаг для нас.
Поэтому сделали такой, который мы точно всегда можем прочитать. А что у вас там пароли в почте - ну кто ж знал?!
Мы-то себе прямо в базе всегда меняли...
| | |
|
|
| |
| |
| 4.27, Разработчик (?), 16:06, 13/12/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> А зачем тебе качать МОИ логи?!
Это не твои логи, это кого надо логи! Ты бы до этой новости даже и не узнал бы, что там есть какие-то логи.
| | |
| |
| 5.29, Аноним (20), 16:15, 13/12/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> даже и не узнал бы, что там есть какие-то логи
я по логам веб-сервера узнал, что все кулхацкеры ищут на моём сайте какой-то "вротпресс".
| | |
|
|
|
|
| 1.7, YetAnotherOnanym (ok), 12:16, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +20 +/– |
 > переместили лог в отдельный каталог и добавили сброс содержимого при каждой активации плагина
Они прямо-таки постигли дзен логирования: очистка логов при перезапуске - это как раз то, что нужно для разбора полётов в случае проблем.
| | |
| |
| 2.64, gogo (?), 02:36, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
А я вот не постиг.
Про какую АКТИВАЦИЮ плагина они говорят? Когда его включают-выключают в панели ВП? Или при рестарте сессии, демона? Или после каждой отсылки письма?
| | |
|
| 1.9, Аноним (9), 14:07, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Самое интересное, что проблемы безопасности в таких случаях очень показательны.
Не сложные ошибки, эксплуатирующиеся по сторонним каналам, не проблемы самого языка, не какие-то интересные сбои.
Нет.
Так, халатность и разгильдяйство, самое дно того качества кода, что вообще может быть написан на PHP, и уже до такой степени показательно, что WP стал чудесной антирекламой языку.
Это удручает, и это отвратительно.
| | |
| |
| 2.11, Аноним (11), 14:18, 13/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Смысл экономии в том чтобы дать минимально допустимое качество.
| | |
| |
| |
| |
| 5.30, Аноним (20), 16:18, 13/12/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Снимаю перед Вами шляпу... Столько экземпляров трояна поставить!
| | |
| |
| 6.68, InuYasha (??), 16:21, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Снимаю перед Вами шляпу...
Ви, таки, непrавильно снимаете шляпу!
Успешные разработчики снимают её ради того лишь, чтобы в неё посыпались донатики )
| | |
|
|
|
|
| |
| 3.33, Аноним (20), 17:26, 13/12/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
Боюсь даже представить, какие тупейшие ошибки будут совершать растаманы, пишущие вротпресс.
| | |
|
| 2.44, Аноньимъ (ok), 02:53, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Наоборот, ВП главная реклама.
Имхо, не стоит фантазировать много на счёт пхп. Его единственная цель быть простым как инструмент и понятным даже Алле Пугачевой.
Вордпресс вершина на самом деле для ПХП. ЦМС для всех и каждого. Подключай плугины правь на коленке.
Безопасность качество скорость никогда речи об этом не шло с пхп.
| | |
| 2.51, Аноним (54), 10:51, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Да, WP ныне - это почти худшее, что написано на PHP за всё время его существования.
Хуже наверное только друпал с жумлой.
| | |
|
| 1.10, Аноним (11), 14:16, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?
Ответ: Нет.
А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать Rust?
| | |
| |
| 2.12, неРастНеСиНеСекта (?), 14:46, 13/12/2020 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Новость про PHP и WP, про уязвимости в WP. Зачем ты сюда принес раст? Чтобы говно развести?
Или у сишников так горит от раста, что они каждый день живут с мыслю о том, какое он говно, и считают своим долгом заставить всех других так думать?
| | |
| |
| 3.13, Аноним (13), 14:52, 13/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Дак тут по моему 1,5 поехавших в любой новости вспоминают раст. Я вообще не уверен что они хотя бы на баше скриптик напишут, просто с голой проблемы, не обращайте внимания
| | |
|
| 2.16, n00by (ok), 15:07, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > И что думаете если Wordpress перейдет на Rust, что-то изменится в плане
> уязвимостей?
Сложность языка повышает порог вхождения. Вывод сделаете, или помочь?
| | |
| |
| 3.17, Аноним (17), 15:12, 13/12/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Надо срочно перейти на плюсы, а то руст одних жс-обезьян приманивает. Вот тогда заживём!
| | |
| |
| 4.19, n00by (ok), 15:52, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Является ли знак , (запятая) оператором в C?
Да - 29,56%
Нет - 54,01%
Узнать результаты - 16.42%
Проголосовали 274 человека
| | |
| |
| 5.28, Аноним (17), 16:09, 13/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Лол, ну то такое, может опрос и не среди программистов вовсе. Чисто логически можно спросить себя "а что это в таком случае, для си?", правда, тут тоже потребуется знание синтаксиса как минимум.
| | |
| |
| 6.31, Аноним (20), 16:21, 13/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> а что это в таком случае
Можно пойти путём исключения... Идентификатор? Нет. Ключевое слово? Нет. Пробельный символ? Тоже нет... Но программисты ныне не способны логически думать.
| | |
| |
| |
| 8.46, Аноним (20), 07:53, 14/12/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Хороший вопрос Учитывая отборнейший бред, заложенный в язык, синтаксис в нём по... текст свёрнут, показать | | |
|
|
|
| |
| 6.47, n00by (ok), 09:27, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Если попробовать подумать, как работает абстрактная машина и/или транслятор, окажется, что comma operator и в identifier-list ведётся себя точно так же. Неопределённый порядок вычислений там появился ради оптимизации.
| | |
|
|
|
| |
| 4.66, n00by (ok), 09:38, 15/12/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> У раста нет сложности. Вывод сделаешь сам или помочь?
Сделал: Вы придумали, будто бы я заявил "у Раста есть сложность", после чего принялись отрицать свой вымысел.
| | |
|
|
| 2.26, Разработчик (?), 16:05, 13/12/2020 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> И что думаете если Wordpress перейдет на Rust, что-то изменится в плане уязвимостей?
Конечно изменится - нет вордпресса, нет уязвимостей!
Главное переходить сразу rm -rf *, а не как эта ваша мурзила - перепишем-перепишем-перепишем, ой, пук! Сколько там - процентов 5 успели за десять лет, прежде чем их всех выкинули за борт?
> А если результат одинаковый, а времени на разработку уйдет в 10 раз больше, зачем использовать
> Rust?
ты совсем чтоль дурак? Именно затем. Тебе зарплата за эти десять лет, что, не понадобится?
Причем пинком под зад уволить тебя и нанять десять таких же, как с пехепе, нихрена не получится - они следующие десять лет будут либо пытаться понять, что ж ты там такого понакодил, либо "рефакторить" - то есть переписывать с нуля, потому что проще угадать, что делала эта фича, чем понять - как, и что в ней теперь нужно поправить.
| | |
|
| 1.34, КО (?), 18:18, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
"предназначенном для организации отправки писем через SMTP-сервер"
С какого-то xера ведет логи
| | |
| |
| 2.52, Аноним (54), 10:52, 14/12/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вы не ведёте логи вообще ни для чего?
Другое дело, что прежде, чем вести логи, надо думать головой насчёт того, что логгировать, и куда размещать.
| | |
|
| 1.35, Аноним (35), 18:32, 13/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
обновление 5.6 имеет проблемы совместимости с плагином Classic Editor (или наоборот, как угодно). В зависимости от вашей удачи, могут пропасть отдельные элементы, например, подсветка выделения в ctrl+k, или полная неработоспособность редактора TinyMCE. обновляйтесь аккуратнее, господа.
| | |
| 1.42, Аноньимъ (ok), 01:05, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
Вордпресс вроде целиком из дыр состоит бай десинг.
Новость как в виндовс нашли телеметрию короче.
| | |
| 1.49, qweqwe (?), 09:57, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Админю пару сайтов на WP, и стоят эти плагины.
Фишка в том что используется только nginx + php-fpm)
Там файлы не выводятся.
| | |
| |
| 2.57, грмхм (?), 16:47, 14/12/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
что, и картинки или документы тоже не выводятся? Молодец, все правильно сделал.
| | |
|
| 1.50, Аноним (54), 10:49, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> плагин сохранял в публично доступном каталоге "/wp-content/plugins/easy-wp-smtp/" файл с отладочным логом, в котором отображалось содержимое всех отправленных писем
Откуда растут руки у этих пейсателей? Зато мега-фреймворки, тонны классов, юнит-тесты, все дела. Вот только всё это бесполезно, когда руки растут оттуда.
| | |
| 1.58, Аноним (59), 18:33, 14/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А чего тут растоманов нет? В php тоже нет работы с памятью, а дыр больше чем в любом сишном проекте.
| | |
| 1.69, mickvav (?), 16:48, 15/12/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А отключить вывод отладочной информации в установке по умолчанию авторы считают выше своего достоинства?
| | |
|
