Проверка безопасности модулей

Блог им. CheshireCat
Работа идет, модули пишутся и раздаются — где-то за рубли, где-то бесплатно, не суть важно…

Меня интересует вопрос безопасности этих самых модулей и «хаков». Учитывая растущую популярность движка и желание людей «сделать» что-то издали похожее на сами знаете что, интернет постепенно наполняется всякого рода обществами сайтами на движке LS.

Вопрос к Администрации Проекта: каким путем расширения для LS попадают в каталог на официальном сайте?

Мне, да и многим другим, хотелось бы иметь уверенность в том, что устанавливаемые расширения не имеют скрытый функционал в виде бэкдоров, собирателей информации о пользователях, ботнетов и прочих радостей.

Кто-нибудь занимается изучением кода новых расширений?

26 комментариев

avatar
к сожалению у меня нет возможности делать 100%-ую проверку модулей, тем более они часто меняются
avatar
вопрос правильный — вот только как это может выглядеть на практике? :)
avatar
я думаю от бесплатного движка требовать подобное просто хамство.
Хотите на 100% безопасное — заказывайте у разработчиков с них подобное можно требовать и грантию за одно.
Для кталога разработок будет првильным указать, что за содержание кода администрация отвествтенности не несет.
avatar
Я никому не хамил, а достаточно четко и ясно обозначил интересующий меня вопрос, который никак не относится к требованиям или хотя бы пожеланиям.
avatar
уважаемый CheshireCat, так как я часто занимаюсь сборкой этих самых модулей в кучу так сказать :) я каждый из модулей видела в «глаза» и уверяю вас, ничего из того, что вы перечислили у них нет :)
Люди, которые покупают эти модули, часто обращаются ко мне для произведения установки. Так вот если бы я заметила что-то не ладное — я бы сразу сообщила бы заказчику, а он, в свою очередь тут бы раздул скандал ;)
avatar
Именно это я и ожидал услышать.
avatar
оо вы такой специалист что можете усмотреть бекдоры и дыры в коде?
чтобы такое усмотреть нужно достаточно долго разбираться, профессиональные «дыры» достаточно трудно найти.
avatar
Неужели для того, что бы заметить сомнительную часть кода необходимы профессиональные знания?
Мой род деятельности мало связан с программированием, скорее вообще не связан, но даже я при необходимости могу разобраться в коде.
avatar
Не обращайте внимание. Самое интересное то, что человек не зная возможности, круг общения и знания другого человека уже делает заключения :) Вместо того, чтобы оказать помощь другим людям продолжает флудить по сайту :)
avatar
я не флужу, я просто вас попровляю в том, что не нужно так однозначно говорить, что ваши возможности в поиске узких мест в коде достаточно велики. Думаете те, кто разрабатывает большие порталы в том числе и Хабр дурнее вас?
Тем не менее примеры взлома их сайтов существуют.
Недостаточно просто проверить код на лазейки (которые в открытом виде почти не публикуются), нужно уметь защититься от различного рода атак, это важно и это н прямую зависит от кода!
avatar
Причем тут вообще хабр и те, кто его разрабатывает? :\
Не надо мешать целенаправленный взлом с недомументированными возможностями…
avatar
Думаете те, кто разрабатывает большие порталы в том числе и Хабр дурнее вас?
я где-то это написала?
avatar
да представьте себе, написать код одно дело, совсем другое дело его обезопасить. Я не говорю про 10 строчек кода конечно…
avatar
Лариса, а вы можете провести аудит безопасности сайта? В смысле не самого движка LiveStreet, а сторонних решений которые были написаны на заказ?
avatar
а я бы еще добавил сюда вопрос о проверке на качество кода. Причем решать можно и силами пользователей :) Что, здесь сидит мало народу, кто разбирается в PHP?
avatar
Боюсь, что в бОльшей части это вызовет споры и разбирательства.
Уровень знаний у всех разный, поэтому кому-то легче решать поставленную задачу экзотично, сложно, коротко; а другим наоборот — подробно и разбивая задачу на множество более мелких.
avatar
Ну так в споре и рождается истина :)
если есть более простой и качественный способ улучшить код, то почему бы и не подсказать? Я вот постоянно сомневаюсь в качестве своего кода.
avatar
А Вам кто-то мешает скачать модуль, поработать над ним и связаться с автором? :)

«Я вот постоянно сомневаюсь в качестве своего кода.»
Значит Вам есть к чему стремиться ;)
avatar
Значит Вам есть к чему стремиться ;)

ну так я и не пхп-прогер. я больше админ :)
А Вам кто-то мешает скачать модуль, поработать над ним и связаться с автором? :)

у меня пока слишком мало опыта. я сам то еще плохо представляю, как правильно делать. потому и спрашиваю совета у более опытных товарищей :)
avatar
Cоздаем сертификационную комиссию :)
avatar
И выдаем справки клиентам за нн-ую сумму :-)
avatar
А вообще по теме…
Скажу со своей стороны. Я тут уже давно, продал достаточно много решений.
Сложно представить ситуацию, когда я ради 20 забэкдоренных компов (а по сути, вероятность нахождения такой части кода даже выше чем раз на 20 пользователей) пожертвую репутацией.
avatar
К сожалению, не все разработчики так ценят свою репутацию,
да и сам интернет дает возможность иметь «сотни лиц»…
avatar
Как вариант что делать в сложившейся ситуации я предлагаю пользователям скачивать модули и перед установкой давать своим программистам на проверку. Я думаю это не очень дорого будет стоить и появится уверенность в том что нет дыр.
avatar
Угу, это придаст уверенности, но не даст гарантий.
avatar
Теоретически в модулях могут быть и злонамеренные «закладки», и случайные «дыры». Гарантий безопасности на 100% никто не даст и дать не может в принципе («честное пионерское» от разработчика — это не гарантия). И не только в модулях — в ядре ЛС может быть то же самое. Лучший способ предохраняться от «случайных связей» — их не иметь. Лучший способ уберечься от дыр и закладок в софте — не использовать софт.
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.