flm
|
 Posted: Sun Oct 31, 2010 13:57 Post subject: |
 |
|
| CaptainFlint wrote: | | flm wrote: | | Есть мнение, что если б сайт не был так заброшен, его бы и не ломали так часто... |
Есть и другое мнение. "Заброшенность" движка в данном случае не влияет на его характеристики безопасности. Это не сторонний движок, который надо обновлять при выходе новых версий, а самописный.
|
Заброшеность сайта влияет на психологию взломщика, мне так кажется.
| CaptainFlint wrote: |
| flm wrote: | | Заглядывать раз в день на сайт, читать логи и проверять на наличие взлома - не такая уж и сложная задача, имхо. |
1. Заглядывал — мой каспер и Опера ничего про взлом не сообщали.
2. Читать логи — это какие конкретно? Апача что ли? Да я долбанусь эти мегабайты ежедневно перерывать.
3. Проверять на наличие взлома — научи. Я не умею это делать достаточно эффективно. Ежедневную ручную проверку нескольких сотен страниц на наличие вредоносных вставок я не считаю приемлемой для себя методикой.
|
Мне кажется, что для вставки левого фрэйма на сайт, нужно иметь как минимум админский доступ. Если кто-то заходил "под админом" - это будет отражено в соответствующих логах. Хотя бы по f3 апачевский лог просмотреть на предмет таких заходов с левых ip - не такая уж и сложная задача, имхо. Научить не могу, потому как не специалист и опыта в данном деле у меня нету.
| CaptainFlint wrote: |
| flm wrote: | | Почему такая система не подходит для wincmd - я не понимаю. Чем пост "новостей" принципиально отличается от поста/обновления плагина - не пойму, хоть убей. На каких таких концепциях построена организация работы wincmd.ru - тоже для меня загадка. |
Разница в том, что с точки зрения блогового движка каждая новость существует сама по себе. А плагины могут ещё и обновляться. Править старую новостную запись бесполезно, т.к. она не выйдет на главную страницу. Хачить движок так, чтобы обновлялась текущая дата, — требуются навыки и знание архитектуры конкретной CMS, чтобы не порушить внутренние зависимости, плюс неизбежное огребание проблем при обновлениях движка. Ставить движок, который сам обновляет дату (если такой и есть) тоже некорректно, т.к. нужна возможность исправлять текст без поднятия соответствующей записи наверх (какую-нибудь опечатку пофиксить).
|
Опять блоговый движок... Не блоговый он, НЕ БЛОГОВЫЙ.  Обновляемая новость таки выйдет на главную. По крайней мере на ланзоне такое было реализовано. Остальное также мне кажется вымышленными проблемами...
| CaptainFlint wrote: |
Сейчас на wincmd.ru всё чётко подчинено исходной задаче. В админке есть специальные поля для адресов закачки файлов, отдельные поля для исходников, для скриншота, для форумной ветки обсуждения плагина, каждую плагиновую запись можно как отредактировать "втихую", так и объявить это изменение обновлением. Для блогового движка все эти понятия совершенно чужды. Авторам придётся самим организовывать в сообщениях ссылки на скачивание, вставлять скриншоты, истории версий и т.д., загромождая текст исходного сообщения и усложняя его правку в будущем. Плюс ко всему разнобой в оформлении, что бьёт уже по пользователям. Я не говорю, что всё это смертельно и невыносимо. Но лично мне таким сайтом было бы пользоваться куда менее удобно, чем текущим кривым движком.
|
Мне кажется, что задача wincmd.ru - донести до юзеров информацию о имеющихся плагинах, в какой форме эта информация доносится - не суть важно. Есть поиск, есть полный список плагинов, есть rss для обновлений - этого уже практически достаточно для комфортного поиска нужного плагина.
Касаемо сложностей для авторов - не понимаю о чём речь. Даже если вдруг в каком-то гипотетическом новом движке не будет специальных полей для вставки того или иного содержимого, думаю, авторы смогут оформить всё красиво и вручную, если захотят.
По поводу "разнобоя в оформлении, что бьёт по пользователям" - давай посмотрим последние 5 плагинов на wincmd.ru:
1). QuickSearch eXtended
-описание английское
-ссылка на англ. форум
-ссылка на скачивание
-ссылка на сорс
-две ссылки на левый сайт с доками в pdf на англ. и немецком.
-скриншот отсутствует
-история изменений
2). TCFS2 1.4.2
-описание русское
-ссылка на рус. форум
-ссылка на скачивание
-отдельная ссылка на сорс отсутствует
-скриншот отсутствует
-история изменений
3). btdir 0.1 beta2
-описание руссское
-кроме ссылки на скачивание нету ничего
-история изменений
4). Syn2 2.3.720
-описание рус.
-ссылка на левый сайт с экзешником
-ссылка на рус. форум.
-ссылка на скачивание 1 шт.
-скриншот
-история изменений - НЕТУ
5). Total SQX Content 2.0
-описание рус.
-ссылка на скачивание 1 шт.
-скриншот
-история изменений - НЕТУ
Итого: имеем полнейший разнобой. В половине случаев нету скриншотов, в половине - списка изменений, ссылки на скачивание какие попало. Описания не всегда на русском, а если и на русском - попадаются малоинформативные. Ссылки на форумы - иногда, причём на разные форумы. И это всё при распрекрасном для своей задачи движке, где специальные поля и т.д. Если автор захочет оформить нормально - он оформит, на любом движке.
| CaptainFlint wrote: |
| flm wrote: | | Ergo в нашей вселенной находится? Конктакты у него имеются? В чём же тогда проблема? Пусть уделит часик времени на проверку этого всего безобразия, вроде бы не сложный процесс. |
А почему ты мне задаёшь этот вопрос? Я не знаю, в чём у Эрго проблема.
|
Ну, раз ты занимаешся его по сути сайтом, то, думается, и связь тебе с ним легче держать... У меня, к примеру, нету его контактов, остаётся тут в рельсу звонить. 
| CaptainFlint wrote: |
| flm wrote: | | С другой же стороны - можно относиться к сайту как к любительскому (фан-) проекту, где заниматься всем можно по мере возможностей, привлекая коммунити, организовывая конкурсы на лучшу кнопку, дизайн и т.д. |
Дизайн кнопок на функциональность не влияет.
|
Речь идёт не только и не столько о функциональности, сколько о внешнем виде и содержании. В т.ч. и о дизайне.
| CaptainFlint wrote: |
А допиливать движок средствами комьюнити — проще сразу опубликовать рутовый пароль на радость всем хакерам.
|
Можно движок вообще не трогать. Залатать дыры, убить всякое дохлое на сайте, обновить некоторые разделы и т.д. А "рутовый пароль", судя по взломам у хакеров и так имеется.
| CaptainFlint wrote: |
| flm wrote: | | Кстати, вот возник такой вопрос, как англоязычные пользователи http://www.totalcmd.net/ узнают способ заведения аккаунта для аплоада плагинов и т.д. на сайт? |
Блин, постоянно забываю об этом. Как помню — так нет времени сделать. Как появляется время, не удосуживаюсь вспомнить.  |
И так на протяжении долгих лет...
_________________
cogito ergo sum
http://www.yakimchuk.ru/questions.htm - Как правильно задавать вопросы |
|
Rules
Search
FAQ
Memberlist
Usergroups
Register
Profile
Log in to check your private messages
Log in
