Drupal никогда не взламывался?

Главные вкладки

Аватар пользователя Abdula Abdula 4 декабря 2012 в 23:46

Сегодня услышал такую байку (а может и правду), что Drupal, в отличие от других движков, в за время своего существования якобы еще никогда никем не взламывался.
И назывались разные причины - от благодаря своему тщательно продуманому и отлаженному ядру до модульной структуры и т.д.
(сторонние модули, ессно, в расчет не принимались, и это правильно).

Хочу услышать от знатоков подверждение этому утверждению, потому что в планах есть желание создать один специализированный сайт, главная особенность которого - высокая устойчивость к взлому.
Иными словами - ищу наиболее взломоустойчивый движок! Smile

Комментарии

Аватар пользователя PVasili PVasili 5 декабря 2012 в 1:27

pure HTML без JS на localhost без доступа в интернет и вас точно не сломают Smile

В остальных случаях: в первую очередь сильно зависит от хостинга, самого делателя сайта и его знаниям и аккуратности, ни и только потом от движка.

Аватар пользователя xSPiRiTx xSPiRiTx 5 декабря 2012 в 3:05

ну тут у нас на форуме из раздела с оценками сайтов уже ломали =))) потому что выставили сайт на оценку, а в форматах ввода Full HTML оставили Smile
это скорее не взлом друпала, а взлом по дурости разработчика сайта

Аватар пользователя Abdula Abdula 5 декабря 2012 в 3:35

Тоже понятно. Так что по взломам самого Друпала? При условии, что он установлен на нормальном хостинге, без сторонних модулей (только ядро) и настроен вменяемым админом.

Аватар пользователя gorr gorr 5 декабря 2012 в 4:35

Разработчики ядра Друпала хорошо заботятся о безопасности и тестируют его на уязвимости, также сообщество если находит уязвимости, присылают их описание разработчикам ядра и после внесения правок выходит новая версия друпала. Весь этот процесс вылизывания кода многими разработчиками продолжается достаточно много лет, так что друпал достаточно надежен. Однако все-таки открытый код упрощает поиск уязвимостей специалистам и надо помнить, что всегда остается возможность взлома. Также если при разработке дополнительных модулей и темизации не учитывать все рекомендации от разработчиков друпала, то можно легко сделать сайт весьма уязвимым.

Аватар пользователя kyky kyky 5 декабря 2012 в 5:47

Дыры есть в любых программах, но чаще всего причина взлома -- это кривые настройки, простые пароли, ФТП на Винде из Тотал Коммандера и тд.

Так что советую повышать уровень компьютерный грамотности, а не искать Самый Безопасный Движок™.

Аватар пользователя Crea Crea 5 декабря 2012 в 10:07

чтобы быть уверенным,нужно самому проводить аудит всего кода. К сожалению, бьльшинство модулей на д.о. содержат уязвимости.
Человек, сказавший про отсутствие взломов, некомпетентен.

Аватар пользователя axel axel 5 декабря 2012 в 11:28

В вебе взламывается всё, не обязательно напрямую. Вебсайт он же не сам по себе, а работает через интерпретатор (в нашем случае php), использует СУБД, всё это держится на ОС с кучей сопутствующих програм. На одном из уровней да находится уязвимость. Если рассматривать только уровень кода движка, то по опыту работы защищённость Drupal я оцениваю как высокую, в сравнении с прочими CMS. В проекте изначально ставились приоритеты на меры защиты в коде, есть команда безопасности, следящая за проблемами и фиксящая их. Уязвимости разумеется имели место в разные годы (см. http://drupal.org/security), но явно тупых ляпов по причине кривого кода в ядре не встречалось и проблемы ядра всегда быстро фиксятся. По сторонним модулям отвечают их разработчики, как правило при публикации уязвимости в security-списке предлагается патч или команда безопасности предлагает отключить проблемный модуль до выхода обновлений.

Аватар пользователя nyhm nyhm 5 декабря 2012 в 11:56

"xSPiRiTx" wrote:
ну тут у нас на форуме из раздела с оценками сайтов уже ломали =))) потому что выставили сайт на оценку, а в форматах ввода Full HTML оставили Smile
это скорее не взлом друпала, а взлом по дурости разработчика сайта

или логин/пас admin/admin Smile

Аватар пользователя Kur Kur 5 декабря 2012 в 11:58

"Crea" wrote:
К сожалению, бьльшинство модулей на д.о. содержат уязвимости.

Есть какие то реальные доказательства этого, а не голословные утверждения?

Потому что сказать так - все равно что сказать что все сайты на друпале - дырявые. Т.к. идеология друпала - сбор сайта из модулей.

И разработчик сайта не несет никакой ответственности за дыры в этих модулях, т.к. по коду их изучить не обязан, а большинство и не сможет. И если эти дыры есть, значит сайт небезопасен.

Пример уязвимости в зеленом модуле приветствуется Wink

Аватар пользователя Crea Crea 5 декабря 2012 в 19:48

Kur wrote:
"Crea" wrote:
К сожалению, бьльшинство модулей на д.о. содержат уязвимости.

Есть какие то реальные доказательства этого, а не голословные утверждения?

Потому что сказать так - все равно что сказать что все сайты на друпале - дырявые. Т.к. идеология друпала - сбор сайта из модулей.

И разработчик сайта не несет никакой ответственности за дыры в этих модулях, т.к. по коду их изучить не обязан, а большинство и не сможет. И если эти дыры есть, значит сайт небезопасен.


Все именно так. А вы что думаете, Drupal Security Team все дыры вычищает ? Они только координируют исправление того, что найдено и доложено.

Kur wrote:
Пример уязвимости в зеленом модуле приветствуется ;)

CTools достаточно "зеленый" модуль для вас ?
Quote:
Reported installs: 475654 sites currently report using this module.

Обнаружил и зарепортил недавно http://drupal.org/node/1840992
Даже такие мега гуру, как Эрл Майлз ошибаются.
В модулях неопытных разработчиков ошибок гораздо больше

Аватар пользователя nyhm nyhm 5 декабря 2012 в 12:01

По сути взломать можно почти все, все зависит от того, какие ресурсы готов потратить взломщик, чтобы достигнуть цели.

Аватар пользователя makkon makkon 5 декабря 2012 в 17:17

если по факту ломали или нет - то ломали. и не раз. но как уже сказали выше, там зачастую были косяки разработчика сайта. типа full html для комментариев итд. хостинг тоже может подвести сильно.
а вообще думаю дру одна из самых непробиваемых

Аватар пользователя PVasili PVasili 5 декабря 2012 в 17:34

"Abdula" wrote:
Ну, коли так, то (тссс!) ломаните пожалуйста этот сайт: http://.....net/ :-)

Прочитал:
Quote:
1. Для чего создан этот сайт?
Для надежной защититы переписки Internet-пользователей от посторонних глаз.

и
Quote:
2 ...и уж тем более Skype после его покупки компанией Microsof непригодны по последней причине - всю пользовательскую переписку контролируют владельцы сервисов,

до глубины души улыбнул подход и слово-обороты Smile

Аватар пользователя Abdula Abdula 5 декабря 2012 в 19:36

Кстати, когда пытался настроить свою "песочницу", то пришел к такому неутешительному выводу, что защить приватку от админа, даже при большом желании, в приниципе невозможно.
Но может я ошибаюсь?

Аватар пользователя PVasili PVasili 5 декабря 2012 в 19:29

"Abdula" wrote:
Так ломаем или как?

Детский сад, платим за тестинг вашего сайта на уязвимость или нет?
Порядок цен хоть примерно знаете?

Аватар пользователя Abdula Abdula 5 декабря 2012 в 19:38

Ладно, фиг с ним. Меня больше интересует вопрос, можно ли запретить админу читать приватку в Друпале.

Аватар пользователя graker graker 5 декабря 2012 в 21:10

Abdula wrote:
Ладно, фиг с ним. Меня больше интересует вопрос, можно ли запретить админу читать приватку в Друпале.
В конечном итоге - нельзя.
Если запретить читать в браузере - может прочитать из базы. Шифровать сообщения открытым ключом при передаче - влезет в систему и подправит. Если есть полный доступ к администрированию сайта - не получится запретить. Только через разграничение доступа, что, впрочем, все равно не отменяет существования Самого Главного Человека, который может всё.

Аватар пользователя Abdula Abdula 5 декабря 2012 в 19:42

> "Так что советую повышать уровень компьютерный грамотности, а не искать Самый Безопасный Движок™.

Извините, но это полня ч. Потому правильно буде так - "повышать уровень компьютерный грамотности" И "искать Самый Безопасный Движок™."
И не должно исключать другое, а наоборот, идти в комплексе.

Аватар пользователя Abdula Abdula 5 декабря 2012 в 21:30

«Только через разграничение доступа, что, впрочем, все равно не отменяет существования Самого Главного Человека, который может всё.»

А может, шифрованные файловые системы помогут? Вон их сколько развелось: http://ru.wikipedia.org/wiki/Список_файловых_систем

Аватар пользователя chilic chilic 5 декабря 2012 в 21:31

"Abdula" wrote:
А может, шифрованные файловые системы помогут? Вон их сколько развелось: http://ru.wikipedia.org/wiki/Список_файловых_систем

Не помогут.
Поможет только шифрованный канал, доступ по vpn + https.
И грамотная настройка прав, форматов и прав на файлы... и т.д.

Аватар пользователя sg85 sg85 5 декабря 2012 в 21:53

"Abdula" wrote:
А может, шифрованные файловые системы помогут?

помогут, НО: PHP на это дело не расчитан, и реализовать подобное можно только набором костылей на уровне сервера, вдобавок, от этого довольно сильно пострадает производительность, и все только для того, чтоб закрыть руту доступ к информации.

Аватар пользователя Softovick Softovick 5 декабря 2012 в 22:28

sg85 wrote:
"Abdula" wrote:
А может, шифрованные файловые системы помогут?

помогут, НО: PHP на это дело не расчитан, и реализовать подобное можно только набором костылей на уровне сервера, вдобавок, от этого довольно сильно пострадает производительность, и все только для того, чтоб закрыть руту доступ к информации.

Ага, и бекапы "прощай, ты слишком долго плавал"

Аватар пользователя sg85 sg85 6 декабря 2012 в 0:06

"Softovick" wrote:
Ага, и бекапы "прощай, ты слишком долго плавал"

с бекапами как раз проблем возникнуть не должно, но в любом случае, если и собирать нечто подобное, то наиболее подходящий сервер будет на Windows Server 2008(или выше) - NTFS 5.0(там и шифрование и бэкапы), IIS, AD, MSSQL, ASP, ибо все это дело между собой взаимодействует и без костылей, PHP в эту схему не вписывается, как и друпал(вообще можно, но это будет всем костылям костыль).

Аватар пользователя Softovick Softovick 6 декабря 2012 в 2:22

sg85 wrote:
"Softovick" wrote:
Ага, и бекапы "прощай, ты слишком долго плавал"

с бекапами как раз проблем возникнуть не должно, но в любом случае, если и собирать нечто подобное, то наиболее подходящий сервер будет на Windows Server 2008(или выше) - NTFS 5.0(там и шифрование и бэкапы), IIS, AD, MSSQL, ASP, ибо все это дело между собой взаимодействует и без костылей, PHP в эту схему не вписывается, как и друпал(вообще можно, но это будет всем костылям костыль).

Насчет Windows надеюсь была шутка? Между прочим в nix есть больше варивантов шифрования данных на разделе, более быстродействующие и надежные. А при правильно настройке все это более защищенное, чем Windows..
Впрочем я солидарен с graker - нафига?

Аватар пользователя graker graker 6 декабря 2012 в 0:40

Не, ну зашифрованная ФС, и что? В любом случае, будет админ, который может расшифровать ФС для доступа к ней.
Единственное что приходит в голову - это сторонний софт для обмена открытыми ключами, которыми потом надо шифровать сообщения, причем, в сторонней же программе, так чтоб в поле текста сообщения вставлять уже зашифрованный текст. То есть - категорически неудобно конечному пользователю, проще имейлы шифровать.

Аватар пользователя sg85 sg85 6 декабря 2012 в 2:44

"Softovick" wrote:
Насчет Windows надеюсь была шутка? Между прочим в nix есть больше варивантов шифрования данных на разделе, более быстродействующие и надежные. А при правильно настройке все это более защищенное, чем Windows..

отчасти, в винде подобное реализовать будет в разы проще, но согласен
"graker" wrote:
В любом случае, будет админ, который может расшифровать ФС для доступа к ней.

Аватар пользователя kyky kyky 6 декабря 2012 в 3:05

"Abdula" wrote:
Извините, но это полня ч.

Грамотность важнее софта.
Когда найдете Самый Безопасный Движок™ — сообщите, договорились?

Аватар пользователя Abdula Abdula 6 декабря 2012 в 4:44

"Грамотность важнее софта."

Смотря в каком деле.
Например, если нужно установить и настроить хорошо задуманный, продуманный, реализованный и защищенный CMS, то и особой грамотности не потребуется - справится средний вебмастер.
При таком подходе такой CMS поставят на многие тысячи сайтов и будут только благодарить за качественный и удобный софт.

А теперь другая систуация - вам, грамотному вебмастеру, впаривают кривой и дырявый CMS. И вы, чертыхаясь, месяц или год вынуждены править его многочисленные косяки, прежде чем чем запустить в работу.

Отсюда вопрос: многие ли повторят ваш подвиг? Да и кому он нужен...

"Когда найдете Самый Безопасный Движок™ — сообщите, договорились?"

Да я бы сообщил, но поскольку на нашем форуме не нашлось убедительных аргументов по стойкости даже Друпала, то в других CMS еще меньше уверен.
Вероятно, свою "песочницу" буду строить всё-таки на основе электронной почты, поскольку она не на PHP, и в плане взлома, как мне кажется, защищена больше.

Аватар пользователя kyky kyky 6 декабря 2012 в 5:06

"Abdula" wrote:
Смотря в каком деле.

Ни в каком. Грамотность важнее софта всегда.
Средний вебмастер включит анониму ПХП-фильтр и плакала ваша Защищенная® CMS™.

"Abdula" wrote:
поскольку она не на PHP

Можно, пользуясь случаем, уточнить, на чем написана электронная почта?

Аватар пользователя xSPiRiTx xSPiRiTx 6 декабря 2012 в 5:29

вообщем если брать друпал без сторонних модулей, настроенный грамотным админом на хорошем хостинге. Были ли истории взлома? имеется ввиду не кража паролей от фтп через трояны для винды, не социальная инженерия на лоха и т.п. - походу такого не было и нет!

Аватар пользователя Crea Crea 6 декабря 2012 в 6:43

На самом деле, для создания 100% защищенного сайта его надо писать самому, с нуля или на фреймворке. Причем писать должен эксперт с пониманием задачи.
Ключ к надежности - в простоте, и Друпал здесь в пролете с самого начала. Большинство модулей Друпала легко заменяются в несколько раз меньшим кодом, адаптированным под конкретный проект. В результате размер кодовой базы станет настолько мал, что будет легко проводить ее аудит. Проводить аудит модулей Друпала очень дорого.
При таком подходе сразу избавляемся от лишнего кода, который в проекте не нужен, но заложен в модуле (ведь модуль поддерживает еще +100500 конфигураций), а значит является источником дыр.

Аватар пользователя Crea Crea 6 декабря 2012 в 9:32

Забыл сказать - в случае самописного кода почти* полностью исчезает еще одна проблема - контроль за чужим кодом. В Друпале модули очень трудно сохранять в "замороженном" состоянии - в большинстве случаев новый функционал добавляется вперемешку с багфиксами (в том числе закрытием дыр). В результате при обновлении имеем постоянные регрессии и новые дыры. Это вынуждает тех, кому безопасность сайта критична, проводить новый аудит кода (хотя бы аудит изменений) при каждом обновлении модулей.

Разработчики ядра не зря разделяют обновления на 2 типа - только закрытие дыр, и новый функционал. По идее, этот подход стоило бы распространить на все модули и темы на drupal.org. Однако, этого не происходит и не видно тенденций. Впрочем, одна из причин известна - повышенная нагрузка на разработчиков от поддержания 2 веток своего софта.

* - почти, потому что все равно будет использоваться чужой код - как минимум, базовые библиотеки и фреймворк

Аватар пользователя Abdula Abdula 6 декабря 2012 в 15:47

> Можно, пользуясь случаем, уточнить, на чем написана электронная почта?

Если брать sendmail, то вероятнее всего на C, в те времена других масовых языков. и уж тем более PHP еще не было.
Если говорить о новых, типа Postfix, то вероятнее всего картина та же.

Аватар пользователя Alexei91 Alexei91 6 декабря 2012 в 18:11

Quote:
что Drupal, в отличие от других движков, в за время своего существования якобы еще никогда никем не взламывался.

Откройте FTP-аккаунт по паролю, забросьте сайтик на полгодика. 99,(9)% - будет лом.

Аватар пользователя NaZg NaZg 6 декабря 2012 в 18:52

Это всё, конечно, прекрасно. Но зачем?

пользуясь случаем хочу спросить - Вы реально считаете, что на ПХП можно написать полноценный почтовый сервер?

Аватар пользователя sg85 sg85 6 декабря 2012 в 18:56

"Abdula" wrote:
Если брать sendmail, то вероятнее всего на C, в те времена других масовых языков. и уж тем более PHP еще не было.
Если говорить о новых, типа Postfix, то вероятнее всего картина та же.

а как Вы думаете, на чем написан интерпретатор PHP? и что же вообще такое C, в сравнении с остальным?

Аватар пользователя Abdula Abdula 6 декабря 2012 в 19:49

> а как Вы думаете, на чем написан интерпретатор PHP? и что же вообще такое C, в сравнении с остальным?

Вы почти ответили на свой вопрос сами. Мне нечего добавить, кроме чуть-чуть:
- поскольку PHP является итерпретатором, то код исходного текста программ на нем доступен каждому (если не закрыть его Zend´ом), а значит, анализировать его легче;
- и попробуйте анализировать бинарный код, полученный от компилятора Си - трудоемкость несопоставима.

Аватар пользователя NaZg NaZg 7 декабря 2012 в 0:15

"Abdula" wrote:
- и попробуйте анализировать бинарный код, полученный от компилятора Си - трудоемкость несопоставима.

это же *nix системы, в которых исходники доступны

Аватар пользователя sg85 sg85 7 декабря 2012 в 0:36

"Abdula" wrote:
и попробуйте анализировать бинарный код, полученный от компилятора Си - трудоемкость несопоставима.

"NaZg" wrote:
это же *nix системы, в которых исходники доступны

а если еще учесть, что частенько для того, что бы этот самый бинарный код получить, необходимо сперва скомпилировать исходники...(тот же eaccelerator, к примеру)

Аватар пользователя kyky kyky 7 декабря 2012 в 2:16

"Abdula" wrote:
поскольку PHP является итерпретатором...

За все время в Апаче с открытыми исходниками было найдено меньше уязвимостей, чем в проприетарном IIS. И таких примеров масса.

"Abdula" wrote:
Вы в самом деле интересуетесь, или это стеб?

Стеб конечно, но все-таки?

Аватар пользователя sg85 sg85 7 декабря 2012 в 2:53

"kyky" wrote:
За все время в Апаче с открытыми исходниками было найдено меньше уязвимостей, чем в проприетарном IIS. И таких примеров масса.

чье решение будет эффективнее? 1 оплачиваемого программиста, которому пофиг на свою работу - лишь бы деньги платили, или же 1000 энтузиастов, которые тратят на это немного своего свободного времени, однако делают это с душей(ибо для себя)?

Аватар пользователя Abdula Abdula 7 декабря 2012 в 4:01

> За все время в Апаче с открытыми исходниками было найдено меньше уязвимостей, чем в проприетарном IIS. И таких примеров масса.

У меня нет по этому вопросу данных, поэтому промолчу.
Но такое сравнение неправомерно. А если бы коды везде открыли?

> чье решение будет эффективнее? 1 оплачиваемого программиста, которому пофиг на свою работу - лишь бы деньги платили, или же 1000 энтузиастов,

А вот кто его знает. Программист по крайней мере будет дорожить местом и зарплатой, часто немалой, а энтузиаст - вольная птица: сегодня у него настроение и он пишет тыщу строк на день, а завтра меланхолия, и он все забросил.

Аватар пользователя kyky kyky 7 декабря 2012 в 3:45

"sg85" wrote:
чье решение будет эффективнее?

Не нужно крайностей. Один оплачиваемый программист может быть эффективней тысячи волонтеров. А бывает и наоборот. Это зависит.

"Abdula" wrote:
А если бы коды везде открыли?

Тому, кто строит архитектуру на прозрачных, открытых решениях — *nix/*BSD, Apache/NGinx, PHP/Python/Ruby, Mysql/Postgres — волноваться не о чем. В отличии от проприетарщины семейства Windows и Oracle.

«Весна покажет, кто где срал» ©.

Аватар пользователя Abdula Abdula 7 декабря 2012 в 4:00

> Тому, кто строит архитектуру на прозрачных, открытых решениях — *nix/*BSD, Apache/NGinx, PHP/Python/Ruby, Mysql/Postgres — волноваться не о чем.
> В отличии от проприетарщины семейства Windows и Oracle.

Так-то оно так. Тем не менее, сайты (которые как раз на PHP, т.е. на открытом коде), ломают, и очень часто, это просто болезнь веба какая-то.
А вот сами операционки (которые на скомпилированном Си, хотя тоже с открытым кодом) ломают очень редко.
Почему?

PS. Блин, кнопки на тулбаре нет, какие тут теги используются для цитирования? Wink

Аватар пользователя NaZg NaZg 7 декабря 2012 в 9:51

"Abdula" wrote:
Так-то оно так. Тем не менее, сайты (которые как раз на PHP, т.е. на открытом коде), ломают, и очень часто, это просто болезнь веба какая-то.

потому что понаберут по объявлению 30_баксов_сайт_под_ключь и удивляются

Аватар пользователя Abdula Abdula 7 декабря 2012 в 14:19

Те сайты, которые за 30, обычно помалкивают. А вот когда ломают государственные сайты, которые вроде бы должны быть самими защищеными.....

Аватар пользователя sg85 sg85 7 декабря 2012 в 15:29

"kyky" wrote:
Не нужно крайностей. Один оплачиваемый программист может быть эффективней тысячи волонтеров. А бывает и наоборот. Это зависит.

это не крайности, в случае с энтузиастами - у 1 программиста появилось желание поделиться своими наработками, выложил свою работу в открытом доступе, её посмотрело 999 человек, нашли в ней дыры, отправили автору багрепорт да еще и со способами заткнуть эти дыры, в этом варианте, пока автор не залечит эту дыру про неё будут знать все(это главный минус опенсорса), однако, если человек 1, пусть даже его работа в сотню раз качественнее, но если кто случайно наткнется на дыру или баг, ликвидировать это будет в разы сложнее, а то и вовсе нереально(в майкрософт, как его не ругали бы, это проявляется не так сильно, но вот, например, в продуктах 1C(во всех) полный ппц, и если там находится баг, то до его фикса можно состариться), ибо зачастую максимум что можно отправить в багрепорте - это "у меня все плохо, помогите!" или "у меня коллапс в стеке заднего процессора!".

Аватар пользователя sg85 sg85 7 декабря 2012 в 15:31

"Abdula" wrote:
Те сайты, которые за 30, обычно помалкивают. А вот когда ломают государственные сайты, которые вроде бы должны быть самими защищеными.....

от ботнетов защиты толком нет, особенно в России или Китае, и не важно на сколько надежен сервер.

Аватар пользователя PVasili PVasili 7 декабря 2012 в 15:37

"kyky" wrote:
За все время в Апаче с открытыми исходниками было найдено меньше уязвимостей, чем в проприетарном IIS. И таких примеров масса.

Словесная каша какая то Smile
ну про массу примеров вообще Smile пока ни одного...

"kyky" wrote:
строит архитектуру на прозрачных, открытых решениях ...... волноваться не о чем. В отличии от проприетарщины семейства Windows и Oracle.

ни что ни из чего не вытекает. При том - абсолютно :).
Почему мне, например стоит волноваться, если я сделал сайт и он работает на IIS под Win?
Или если я залил дамп базы в Oracle, то у меня точно не будет глюков с зоопарком кодировок, кучей настроек как в MySQL.
По PHP - вообще молчу. Сколько сайтов на 5.3 начали варнингами сыпать? Ни одна прориетарщина в пьяном угаре не сможет такое соорудить Smile
Тот же Drupal при обновлении JQ на последнюю версию валит "красоту" и часть функционала админки.
Назовите хоть один проприет. продукт(драйвер, SP, ...) , который после обновления на новую версию урежет половину функционала приложения Smile

Аватар пользователя sg85 sg85 7 декабря 2012 в 15:47

"PVasili" wrote:
Почему мне, например стоит волноваться, если я сделал сайт и он работает на IIS под Win?

потому, что nginx под никсом на нетбуке будет работать быстрее Smile потому, лично мое мнение, Win+IIS простая трата ресурсов железа, хотя про безопасность... тут где-то была статья про настройку nginx, так там в этих конфигах я насчитал 2 дыры(возможно их больше), эта статья на drupal.ru, соответственно может оказаться уже и на нескольких продакшн серверах, так что IIS, может оказаться в разы безопаснее, если администратор сервера ламер(вообще для этого лучше юзать апач, вот в нем надо еще постараться насоздавать дыр).

Аватар пользователя PVasili PVasili 7 декабря 2012 в 15:56

"sg85" wrote:
потому, что nginx под никсом на нетбуке будет работать быстрее

Вы много видели продакш серверов на нетбуках? Я понимаю на балконе, в тазике, оно конечно надёжнее и быстрее, чем в нормальном дата-центре.
Затраты на железо уже давно в порядки дешевле, чем время (соответственно и стоимость) работы хорошего админа. А если админ ламер то насоздавать он может что в апаче, что IIS с одинаковым успехом. Могу предположить, что IIS с настройками по умолчанию - довольно хорошо все закрывает.

Аватар пользователя kyky kyky 7 декабря 2012 в 16:01

"PVasili" wrote:
ни что ни из чего не вытекает. При том - абсолютно :).

Моя реплика относилась к тому, что случится, если откроются исходные коды продуктов (гипотетически). Никто не знает, сколько индусского говнокода скрывает IIS и иже с ним.
Но коды не откроются, так что адепты Микрософта (R)(TM) могут спать спокойно.

"PVasili" wrote:
Словесная каша какая то :)

Предложение выстроено верно.

"PVasili" wrote:
ну про массу примеров вообще Smile пока ни одного...

Апач - IIS, Осел - Огнелис.

Аватар пользователя PVasili PVasili 7 декабря 2012 в 16:38

"kyky" wrote:
к тому, что случится, если откроются исходные коды продуктов (гипотетически) ..... Но коды не откроются, так что адепты Микрософта (R)(TM) могут спать спокойно.

Что-то вы всё в плену своих мифов живёте. Ни каких гипотетически.
Кому нужно - коды открыты и открываются. Ещё в бытность Ольги Дергуновой (лет 10 назад) и в России. Иначе MS,например в России, не смогла бы сертифицироватья. Могу организовать и сделать это для вас, если вы будете представлять для MS хоть какой то интерес Smile

Аватар пользователя sg85 sg85 7 декабря 2012 в 17:05

"PVasili" wrote:
Вы много видели продакш серверов на нетбуках? Я понимаю на балконе, в тазике, оно конечно надёжнее и быстрее, чем в нормальном дата-центре.

Конкретный пример: на агаве в качестве дедика можно получить десктопное железо(конфигурация еще хуже чем на моем нетбуке) за 100 баксов в месяц, и серверное за 600 без учета аренды софта(там около 700 в сумме получится), если на десктопный вариант(на нем 2003 сервер попадает под минимальные сист требования, при этом на IIS ресурсов не останется) поставить nginx, а на серверный IIS, то скорость работы и надежность у них будут примерно на одном уровне, собственно вопрос - "нафига козе баян?"

Аватар пользователя sg85 sg85 7 декабря 2012 в 17:11

Хм, думал у них больше нет таких серверов, ан нет... Celeron 2,66GHz CPU, 512Mb RAM, 750Gb HDD как Вам под продакшн? и что будет, если поставить на него винду?)

Аватар пользователя kyky kyky 7 декабря 2012 в 17:22

"PVasili" wrote:
Что-то вы всё в плену своих мифов живёте. Ни каких гипотетически.

Василий, вы вообще не в тему пишете. Меня спросили, что случится, если откроются коды проприетарных продуктов. Я ответил, что люди массово начнут искать в них уязвимости и обязательно найдут. У вас есть чем возразить?

"PVasili" wrote:
Могу организовать и сделать это для вас, если вы будете представлять для MS хоть какой то интерес :)

У меня встречное предложение: умерьте ЧСВ, а я уведомлю вас, когда Микрософт станет представлять для меня интерес.

Аватар пользователя PVasili PVasili 7 декабря 2012 в 18:44

"sg85" wrote:
на агаве в качестве дедика можно получить десктопное
вы ещё мак-хост вспомните :).
Вас насильно заставляют идти на такой хостинг? На nic.ru до сих пор домены ru за 500руб/год продают. Равнятся на них?
В разы дешевле использовать ITпатруль, чем такие дедики для додиков :).

з.ы. на 1gb, например цена за win и nix сервера одинаковая.

"kyky" wrote:
люди массово начнут искать в них уязвимости и обязательно найдут. У вас есть чем возразить?

Массово - врядли. Кому нужно и кто соображает - закрытость абсолютно не помеха. А идиотам в чём смысл от нескольких Gb исходников?
Что найдут, находят и будут находить - кто же будет возражать :). Что в опен, что не в опен. И тут то, что система опен-соурс - вовсе не гарантия от отсутствия багов, кривой защиты и кучи глюков.

Аватар пользователя sg85 sg85 7 декабря 2012 в 18:48

я не отрицаю, что я ламер, но:

"PVasili" wrote:
Могу предположить, что IIS с настройками по умолчанию - довольно хорошо все закрывает.

в случае с друпал, там как минимум можно будет заразить ядро\модули вредоносным кодом, на это в последнее время было довольно много жалоб, но тут еще круче - можно из-за дыры в визивиге(правда её уже вроде бы законопатили) выйти за пределы ядра и заразить саму ОС, это по Вашему хорошо закрывает?

В случае с apache, именно под *nix, например, на debian, базовые конфиги apache php mysql по умолчанию безопасны(там запрещено вообще все, что может представлять хоть какую то угрозу), но их все равно придется немного подправить(как минимум разрешить чтение .htaccess)

С nginx проблема в том, что по умолчанию он будет отдавать только статику(апач тоже, но стоит подключить mod_php и он сразу начнет с ним работать), и php к нему нужно прикрутить ручками, причем это самое прикручивание уникально, а если писать конфиги не понимая последствий своих действий...

В случае с IIS же, как мне кажется, его настройка будет еще сложнее чем у nginx(вообще сама по себе настройка Windows Server сложнее, чем, например, FreeBSD), по умолчанию он создаст видимость(вообще это касается почти всего под виндой) офигенности и безопасности, однако попробуйте закрыть доступ пыху куда не следует, сколько у Вас уйдет на это времени?

Из всего этого: администрирование винды(по хорошему), Вам обойдется около 80 тыр(это средняя ЗП среднего админа, который не ламер, хотя с nginx иметь ламера в админах тоже не желательно), а на lamp можно вообще взять поддержку дата центра за 2.5 тыр(опять же агава), при этом безопасность будет примерно на одном уровне.

Аватар пользователя sg85 sg85 7 декабря 2012 в 18:57

"PVasili" wrote:
В разы дешевле использовать ITпатруль, чем такие дедики для додиков :).

Так зачем же Вам тогда IIS?

Вообще, этот целерон был выбран по одной простой причине - какого то соседа на шареде ДДОСили, по этой причине в течение нескольких недель(2-3) на сайт было невозможно зайти.