подписка
Подписаться

Подскажите. Мне предлагают изготовить ИМ купив скрипты на http://www.shop-script.ru. Хорошо это или плохо? Нужен простой ИМ.

Подписка на RSS
Папа Кастет
14/03/2006
Andrex, на заказ только. Под свои нужды затачивая. Или ОСК. Шлифануть можно за 100-300 так, что мама родная не узнает.
Скопировать ссылку на сообщение
Ответить
Andrex
14/03/2006
2Владимир: насчет лицензионных пользователей - понимаю и одобряю. А вот насчет "пожалуйста, обращайтесь к нас по электронной почте" - никак не понимаю :(

Если все на самом деле не так, как написал Папа, то в чем проблема-то запостить тут, что, дескать, все описанные уязвимости, на самом деле, не существуют, Папа Кастет глубоко заблудился?

А на почту писать, например, мне, который не программист, а простой менеджер, особого смысла нет. В письме Вы скажете, что вопросы безопасности строго контролируются и чуть что находится, то сразу и фиксится. И как я это буду проверять? Буду нанимать специального человека, который проведет специальное тестирование... Что обойдется мне, видимо, недешево. Так почему бы не подискутировать тут, и не избавить потенциальных покупателей от лишних расходов?



2Папа Кастет: на счет "на заказ". Прикол в том, что я убежденный сторонник коробочных продуктов :( Просто имею у себя в активах некое "авторское" чудо-юдо, в котором кроме его создателя никто ни в жисть не разберется. И прервись вдруг наше сотрудничество с этим челом, я стану щасливым обладателем нескольких тысяч строк кода, которые другому "творцу" будет проще переписать заново, чем разбираться в чужой логике.



Поэтому, по моему глубокому убеждению, программы для длительной и серьезной работы должны быть максимально независимы от конкретного человека. Потому, собственно, и гляжу на "коробки".



Плюс, конечно, цена вопроса. Разработчику "с нуля", за функционал типа Шоп-скрипта я заплачу пару тысяч баксов. А потом выяснится, что у него руки кривые были...
Скопировать ссылку на сообщение
Ответить
Тупоршин Владимир
14/03/2006
Я предложил обращаться в службу поддержки для того, чтобы не разводить дискуссию на тему безопасности здесь. Такое обсуждение может занять (и займет) очень много времени. Для подобных обсуждений существуют специализированные форумы.



К сожалению, у меня нет возможности участвовать в таком обсуждение в связи с нехваткой времени. Приношу свои извинения.



Специалисты нашей службы поддержки же будут рады ответить Вам по всем вопросам, которые Вас интересуют. Если Вы считаете, что будете получать какие-то шаблонные ответы и/или "отписки", то заблуждаетесь. По каждому обсуждаемому пункту будет дан комментарий.



Andrex, могу Вас уверить, за разработку функционала проекта по объему сродни Shop-Script или osCommerce Вы заплатите значительно больше, и времени на разработку уйдет значительно больше, чем Вы можете предположить.
Скопировать ссылку на сообщение
Ответить
Andrex
14/03/2006
2Владимир: про затраты времени и денег на разработку с нуля я в курсе. Собственно, о чем и написал.



Относительно дисскуссий про безопасность - воля Ваша, удобнее Вам по почте, можно и по почте. Письмо отправил. Хотя, имхо, с Вашей стороны это не очень верное решение.



Что же касается специализированных форумов - то вот же он, сайт, посвященнй электронной торговле. Специализированнее некуда. Что может быть важнее для электронного коммерсанта, чем вопрос безопасности его магазина? Это же самая что ни на есть Ваша целевая аудитория. А Вы оставляете ее без информации.
Скопировать ссылку на сообщение
Ответить
Вячеслав
14/03/2006
Andrex, прошу выложить ответы от службы поддержки Шоп-скрипта сюда, я думаю, что всем будет интересно и полезно их прочитать.



Владимир, логично было бы тогда сразу скинуть ссылку службе поддержки на эту дискуссию, если Вы отношение к ней не имеете.
Скопировать ссылку на сообщение
Ответить
Andrex
14/03/2006
Щас криминальную мысль выскажу. Разработчик мог бы круто себя обелить и продвинуть, предложив присутствующим запросто хакнуть какой-нить из магазинов на лицензионном SHop-Script. Под свою ответственнность. Так сказать, следственный эксперимент. И все, никаких дисскуссий о безопасности. Просто - можно это сделать запросто, как пишет Папа, или нельзя.
Скопировать ссылку на сообщение
Ответить
Папа Кастет
14/03/2006
Andrex, а вам не хватило приведённых мной примеров. УЖЕ крякнутых магазинов ?



А по поводу нелицензионных версий скрипта - представитель шоп-скрипт лукавит: обнулённые скрипты обнаруживаются невероятно быстро, сделать это элементарно и просто. И хостинги отказывают таким магазинам в размещении.



И разницы между лицензией и не лицензией НЕТ! Просто в лицензии исходник открыт для программера (его можно править), не в лицензионноы - закодирован так, что не видно исходного кода. Разницы в работоспособностях НЕТ.
Скопировать ссылку на сообщение
Ответить
Andrex
14/03/2006
2Папа Кастет:

Нет, как я понял, речь идет о том, что нелицензионные никто не парится уведомлять об обновлениях. Соответственно, у них могут стоять версии трехсотлетней давности, без патчей и затычек. А те, которые на лицензии, типа спят спокойно, так как их надежно защищает служба быстрого реагирования...
Скопировать ссылку на сообщение
Ответить
Andrex
14/03/2006
Вот, действительно получил ответ от техподдержки Shop-Script. Чего им было сразу здесь не высказаться???



=======================

1. Доступ к базе данных с помощью вызова index.php?aux_page=../cfg/connect.inc.php

Эта уязвимость, описанная в февральском номере "Хакер" была обнаружена и исправлена осенью 2004 года.

Да, это было действительно серьезное упущение с нашей стороны, которое сразу же было исправлено.



2. Хранение данных в базе данных в прямом виде.

По умолчанию было установлено, что данные кодируются с помощью встроенной функции PHP (base64).

Однако в состав дистрибутива входят два файла с функциями криптования. Можно использовать описанные методы криптования.



3. XSS при оформлении заказа:

Да, в текущем релизе Shop-Script PREMIUM была обнаружена возможность "отправить" javascript-код на выполнение администратору, и это уже исправлено.

"Ценные" данные в Shop-Script не передаются через cookies, поэтому перехватывать таким образом просто нечего.



4. Загрузка картинки без проверки расширения.

Загрузку картинкок производит администратор. Неужели он станет сам ломать свой интернет-магазин?

=======================
Скопировать ссылку на сообщение
Ответить
Папа Кастет
14/03/2006
4. Загрузка картинки без проверки расширения.

Загрузку картинкок производит администратор. Неужели он станет сам ломать свой интернет-магазин?

------------------------------------------------------

Он не станет, станет умелец, получивший доступ в админку, посредством пряника админа. И ничего ценного ему не надо - лог и пасс от админ интерфейса.



Про aux_page известно не очень давно. Статейку не читал, посмотрю. Но бага заделана недавно.



Andrex, мой вам совет: на форуме ОСК есть персонаж, который продаёт свою сборку за 20$ с последующей поддержкой и обновдлениями. Бесплатно. Там такой навороченный функционал, что вы потеряетесь. Реализовано всё, а что ещё не реализовано - поставится при обновдениях. За 100-150 (можно дешеве, как найдёте) $ можно заказать какой угодно дизайн с его установкой на скрипт. Повторяю - любой. То есть не обяхзательно пресловутые 3 колонки оск. Я всё это сделал сам. За исключением дизайна, который мне нарисовал товарищ. Ну разве это не счастье? =)



ЗЫ. С вас пивасик =)
Скопировать ссылку на сообщение
Ответить
my777
26/03/2006
> Там такой навороченный функционал, что вы потеряетесь.



Только уже который год не могут сделать нормальный модуль доставки почтой России. Хотя формально он там присутствует, и в рекламе упомянут, но ничего не считает. Все равно надо постоянно платить за мелкие переделкки.
Скопировать ссылку на сообщение
Ответить
Папа Кастет
26/03/2006
Почему? Модуль есть, считает. Например, ЕМС.
Скопировать ссылку на сообщение
Ответить
Назар
12/04/2006
Интересно, какие меры принимаются к тем, кто сумел заполучить движок Shop Script совершенно бесплатно... Кто-нибудь что-то ознает об этом?
Скопировать ссылку на сообщение
Ответить
Buka
21/04/2006
О, я смотрю, темка не умерла.

Теперь Папа Кастет будет рассказывать о безопасности OSC и дырявости SS.



Как понимаю, об удобстве программирования Папа решил не распространяться, и это хорошо. Вместо этого Папа последовательно прошелся по тем принципиальным дыркам, о которые сообщество OSC несколько раз последовательно билось головой. Как например перехват сессии в корзинке (перебор чужих корзинок), шифрование паролей, исполнение файлов, доступ к фамйлам и т.д.



Я работал только с нелицензионными SS, так как и сам могу оказать клиенту какую надо поддержку. Поэтому то, что разработчик не извещает магазины, построенные на пиратсвких источниках, как-то не напрягает.



Но они извещают лицензионных клиентов (а я советовал покупать именно лицензию). Уважаемый Папа! Как сообщество OSC извещает своих клиентов (не своих программеров) о возможных проблемах?



Я вот обслуживаю пару-тройку магов на OSC, и что-то не припомню никаких писем в свой почтовый ящик о том, что были проблемы с файл манагером.



Расскажи нам также о том, с какого релиза OSC community сообразило, что хранить в БД пароли клиентов открытым текстом неправильно? Не напомнишь, что предшествовало этому открытию ?))



Чем сейчас шифруются пароли? MD5? Сколько времени потребуется БФ чтобы вскрыть 75 процентов всех клиентских паролей, как думаешь?

Можешь объяснить, почему для шифрования клиентских паролей не используется дополнительных рэндомайзеров?



Теперь скажи нам плиз, если скачать последний релиз OSC и установить по дефолту, сколько претензий к нему будет в плане безопасности у завсегдатаев форума my777?



Стоит ли переименовать кое-какие дефолтные директории, например? А ведь приводимый тобой пример с SS основан именно на дефолтных директориях, к слову.



Резюме: сами же программеры OSC убеждают своих клиентов, что дистрибутив должен быть грамотно установлен, и что часть мероприятий против взлома производится уже на этапе установки. Если вы своим клиентам не советуете ставить OSC по дефолту, то какие претензии к SS?



А сколько проблем с сессиями было у владельцев OSC, это отдельная песня.



Резюме: лицензионная версия SS все-таки для клиента предпочтительней (часть важной поддержки осуществляет компания), либо добросовестный программер-OSCшник на постоянном саппорте. Только я что-то не припомню в России добросовестных OSC-шников - каков поп, таков и приход.
Скопировать ссылку на сообщение
Ответить
Папа Кастет
21/04/2006
"Как понимаю, об удобстве программирования Папа решил не распространяться, и это хорошо. Вместо этого Папа последовательно прошелся по тем принципиальным дыркам, о которые сообщество OSC несколько раз последовательно билось головой. Как например перехват сессии в корзинке (перебор чужих корзинок), шифрование паролей, исполнение файлов, доступ к фамйлам и т.д."

--------------------------------

Билось головой в каком году? Откуда сессии в дефолтном магазине? Они отключаются одним нажатием клавиши. И если я получу клиентский пароль - что я с ним сделаю? позавидую покупкам?



Удобство программирования? А что сложного в ООП? Включай новое в готовый код.



Сообщество и не должно извещать клиентов =) Я не знаю, как устроена моя машина - для этого есть сервис. Так и тут - есть программер. (ну, если, конечно, Вы не имеете ввиду ИМы из 2-х студентов).



Файл менегер и прочие проблемные файлы сносятся при установке. Просто просматривай форум, там всё популярно) (если обслуживаешь и беспокоишься о клиентах).



Брутфорсить нынче не выход, хотя вскрываются на ура. Это не только тут. Однако, у меня были сборки и на первых версиях... Не ломали. А может и не пытались. Я про практику рассказываю.



Ещё раз про дефолт: отключаем сессии на этапе установки. Хотя я это делаю ТОЛЬКО для лучшей индексации в поисковиках.



Переименовывать - возможно стоит. Не делал. Паролю старым добрым .htaccess



Про убеждения грамотной установки - это они делают, чтобы бабла срубить =)))



Я своим клиентам не советую ОСК. У меня вообще клиентов нет. Я по жизни немного другим занимаюсь) Просто ОСК - это отличное решение, хотя бы по причине его глобальности и в то же время бесплатности)



А программер нужен всегда, если хотите бизесом заниматься, а не подработкой между сессиями в институте). И последнее - продукт БЕСПЛАТНЫЙ, то есть AS IS ) Лучше взять бесплатно, чем дыру за зелёные рубли =)) А разницу потратить дизайн.



ЗЫ. А сообщество на ОСК нынче не то. Появляются Пупкины, которые орут - парни, сделайте мне магазин. Скажите, что тут нажать?! А подумать - уже никому в голову не приходит. И на крики "магазин сломали!" спрашиваешь - ты админку запаролил? - "Нет, а как???". Да и темы там последнее время такие...
Скопировать ссылку на сообщение
Ответить
Ответить
Разделы форума
Открытие бизнеса
Привлечение клиентов
Удержание клиентов
Ведение бизнеса
Работа с маркетплейсами
Тенденции развития
Специальные форумы