1. Главная
  2. Форумы
  3. Общие
  4. Обзоры и сравнения CMS

Безопасность и Друпал

Главные вкладки

Аватар пользователя Hempwaffe Hempwaffe 18 февраля 2012 в 0:43

Я увидел на этом сайте сайдбар с багтрекером безопасности Друпала где постоянно находят новые ошибки. Это меня очень сильно озадачило так как мне нужна высокая безопасность в моих проектах. А я много раз слышал о проблемах с безопасностью. И что некоторые уязвимости не закрывают по несколько недель/месяцев/лет.
По этому хочу узнать мнения экспертов.

Можно ли использовать Друпал из коробки и стандартными обновлениями безопасности для серьезных проектов?

Занимался ли ктото обеспечением безопасности сайта на Друпале? Какие действия проводили с движком, сервером?

Где можно посмотреть на не закрытые уязвимости?

Комментарии

Аватар пользователя xxandeadxx xxandeadxx 18 февраля 2012 в 0:49

"Hempwaffe" wrote:
Можно ли использовать Друпал из коробки и стандартными обновлениями безопасности для серьезных проектов?

нет конечно

Аватар пользователя Айдар Айдар 18 февраля 2012 в 1:27

"Hempwaffe" wrote:
Можно ли использовать Друпал из коробки и стандартными обновлениями безопасности для серьезных проектов?

Нельзя.

Аватар пользователя K0r5hun K0r5hun 18 февраля 2012 в 2:38

На друпале почти нет серьёзных сайтов...

Ну whitehouse.gov не в счёт - у них там команда программистов специально ковырялась, чтобы все дыры залатать... да и ненашенский он Smile нерусский)

Аватар пользователя alex_shut alex_shut 18 февраля 2012 в 2:39

"K0r5hun" wrote:
На друпале почти нет серьёзных сайтов...

точняк... все школота всякую херню лепит на коленке. Серьезное на друпале сделать попросту нереально.

Аватар пользователя bsyomov bsyomov 18 февраля 2012 в 3:51

Вполне нормальный вопрос, что так накинулись-то?

http://drupal.org/security
http://drupal.org/security/contrib
http://drupal.org/security-team

В большом проекте и огромном количестве мелких проектов - модулей ошибки есть и будут, в частности влияющие на безопасность. И находят потому, что этим занимаются, постоянно и профессионально. Плюс поддержка от большого сообщества.

Если вам важна безопасность, следите за обновлениями, используйте активно поддерживаемые модули. Назначайте правильно разрешения, и.т.п.
Почитайте о том, как по возможности обезопасить сайт на том же drupal.org
Если пишете свои модули, почитайте о фильтрации данных, CSRF и прочем. Почитайте те же бюллетени безопасности и посмотрите, какие были допущены ошибки и как они исправлены.

Аватар пользователя Ch Ch 18 февраля 2012 в 10:43

Полгода назад нашёл баг из разряда Access bypass. Как написано в инструкции отправил багрепорт в security-team. Ответа не получил. Через некоторое время связался с webchick в IRC по поводу этого багрепорта. Он оказывается просто «затерялся», но она его всё таки нашла и создала issue на security.drupal.org. После нескольких сообщений обсуждение в issue прекратилось. За это время вышло несколько новых релизов Друпал и все с этим багом...

Имхо, один из главных недостатков open source проектов это отсутствие каких либо обязательств.

Аватар пользователя Alexei91 Alexei91 18 февраля 2012 в 12:48

Hempwaffe, лучше над тем как довести проект до реально «серьезного» сконцентрируйтесь.

Пример того к чему приводит излишняя паранойя http://www.drupal.ru/node/76278. Конечно там сателлит, но все же.

Модулей кривых от сторонних полуграмотных разработчиков-одиночек не устанавливайте. Со своим кодом поаккуратней и т.д. и т.п.

Аватар пользователя Hempwaffe Hempwaffe 18 февраля 2012 в 13:05

как я понял мнения разделилис
но большынство против

что кто может сказать о таких движках как МОДх и ТУПО3?
и насколько сложно залатать все дырки в Друпале?

Аватар пользователя K0r5hun K0r5hun 18 февраля 2012 в 14:41

Hempwaffe wrote:
что кто может сказать о таких движках как МОДх и ТУПО3?

Typo3 мне показался сложноват.
modx - вполне понятная, лёгкая CMSка

Аватар пользователя xxandeadxx xxandeadxx 18 февраля 2012 в 15:41

берите ТУПО3, не прогадаете. как говорил про друпал один местный гуру - "в нём находят сотни уязвимостей каждый день"

Аватар пользователя sibero sibero 18 февраля 2012 в 15:50

"Hempwaffe" wrote:
как я понял мнения разделилис
но большынство против

что кто может сказать о таких движках как МОДх и ТУПО3?
и насколько сложно залатать все дырки в Друпале?

А вы не заметили иронии? Drupal одна из самых зашишенных cms, на базе которой сделано много известных сайтов. Если дырки находят, то их исправляют.

Аватар пользователя bsyomov bsyomov 18 февраля 2012 в 16:52

Мнения не особо-то и делились, выше моего первого комента вас просто тролили.

С Typo3, я не очень знаком, а вот про ModX, могу рассказать.
Evolution годится для небольших сайтиков - там убогое кеширование и проблемы с производительностью, при большом кол-ве материалов. Но надо признать, что когда их мало, всё весьма шустро, довольно удобная админка, и низкий порог вхождения, при реализации несложных сайтов.
Revolution, в котором-таки заложили немало хорошего, всё ещё очень сырой, плохо документирован, и построен на весьма неудобном фреймворке. В нём, кстати уже находили очень серьёзную уявимость и она была вызвана не ошибкой реализации, а непродуманностью архитектуры.
Ну и на последок, в массе код дополнений, кроме дополнений двух-трёх авторов, очень сомнительного качества.

Аватар пользователя ihappy ihappy 18 февраля 2012 в 19:50

"bsyomov" wrote:
А незачем тролить в ответ на вполне нормальные вопросы. =)

Я сначала подумал, что это решили д.ру протроллить немного.