<a href="mailto:volocuga@drupal.org">volocuga@drupal.org</a> wrote:

Таки Дрис гнал и Друпал сосёт?

Дрис с запуском Аквии давно смотрит в сторону корпоратива, и чхать он хотел на все остальное.
Он даж вордпресс конкурентом не считает. Вон как агитирует, типа ребята, давайте вместе мочить энтерпрайз. Так что не удивительно.

Rizen wrote:

Это не шкура неубитого медведя, это элементарное планирование. В том числе планируется постепенно и дальше увеличивать посещаемость (и нагрузку), поэтому вопрос стоит достаточно остро.

Арендуйте слабенький сервак или VPS для начала, НО сайт и все окружение устанавливайте в виртуальную машину внутри. При росте посещаемости просто переносите вирт. машину на более мощное железо.

Забыл сказать - в случае самописного кода почти* полностью исчезает еще одна проблема - контроль за чужим кодом. В Друпале модули очень трудно сохранять в "замороженном" состоянии - в большинстве случаев новый функционал добавляется вперемешку с багфиксами (в том числе закрытием дыр). В результате при обновлении имеем постоянные регрессии и новые дыры. Это вынуждает тех, кому безопасность сайта критична, проводить новый аудит кода (хотя бы аудит изменений) при каждом обновлении модулей.

На самом деле, для создания 100% защищенного сайта его надо писать самому, с нуля или на фреймворке. Причем писать должен эксперт с пониманием задачи.
Ключ к надежности - в простоте, и Друпал здесь в пролете с самого начала. Большинство модулей Друпала легко заменяются в несколько раз меньшим кодом, адаптированным под конкретный проект. В результате размер кодовой базы станет настолько мал, что будет легко проводить ее аудит. Проводить аудит модулей Друпала очень дорого.

походу xSPiRiTx не в теме вообще!!!!!!!1111!!!1!!!!!11211!11111!!!!

Kur wrote:

"Crea" wrote:

К сожалению, бьльшинство модулей на д.о. содержат уязвимости.

Есть какие то реальные доказательства этого, а не голословные утверждения?

Потому что сказать так - все равно что сказать что все сайты на друпале - дырявые. Т.к. идеология друпала - сбор сайта из модулей.

вкусняшка

чтобы быть уверенным,нужно самому проводить аудит всего кода. К сожалению, бьльшинство модулей на д.о. содержат уязвимости.
Человек, сказавший про отсутствие взломов, некомпетентен.

gorr wrote:

Правда он только под 6-ку.

Есть и под семерку аналогичный там же - поищите.

Quote:

Система отдачи друпалом приватных файлов не использует такие вещи

Ядро много чего не умеет из коробки. В моем понимании, такой крупный проект, как фотобанк, может использовать любые кастомные модули, а если надо, и похакать ядро, или написать свой обработчик файловой системы, который не делает полный бутстрап.
Готовые решения есть http://drupal.org/project/xsend правда я сам не пробовал. Не было такой задачи..

gorr wrote:

На мой взгляд, если не надо, чтобы права доступа для скачивания картинок были различные для различных пользователей, то подойдет, если же перед тем как отдать каждую картинку надо права проверять, то только если относительно немного запросов на скачивание картинок, ибо на каждую скачку весь друпал будет загружаться (если конечно это его штатными средствами реализовывать - drupal private files system).

Во-первых, есть x-sendfile и подобное.

Ручной спам от анонимов фильтруется так же, как и автоматический. Излишне усложнять защиту нет смысла - все равно какое-то кол-во спама будет проникать. Если стоит задача полностью убрать анонимный спам - как вариант, можно отказаться от анонимных постов вообще. Для многих сайтов это вполне приемлимо.
Ручной спам от зарегистрированных пользователей нужно только модерировать. Если, конечно, вам дороги ваши пользователи и вы не хотите их потерять из-за ложных срабатываний.
Вообще, полностью ручного спама ничтожная доля. Никаких проблем с модерированием он обычно не вызывает.

Нужно включать капчу только при регистрации. Если спамер прошел ее при регистрации - так же пройдет и при постинге.
Ручной спам не победить полностью - нужна модерация.
Бороться нужно только с автоматом и полу-автоматом (где капчу разгадывает человек). Самое простое, что можно сделать:
1) включить nofollow для всех внешних ссылок от пользователей (новых, или всех). Тогда через некоторое время ваш сайт исключат из спамерских dofollow списков. Он перестанет быть "лакомым кусочком".

Есть один более-менее рабочий способ оценить влияние моллома на аудиторию. Для этого надо на протяжении достаточно долгого времени проводить A/B тест - с молломом и без. Но я уверен, что никто с этим не заморачивается. Проще записать отказников в "неправильные пользователи"

А зачем вам сайтмап, если не секрет ? Очень большой сайт с запутанной навигацией ?

если статистика умеет вычислять такой параметр, как "количество легитимных пользователей, отказавшихся пройти капчу" - значит -
1) это сверх инновационная методика определения спама
2) ее надо использовать вместо капчи

Смешно.

darkdim,
статистику кофейной гущи ? для вашей статистики живой человек, ушедший с сайта от спамбота ничем не будет отличаться - оба не прошли капчу.
унылый слив в общем )

darkdim,
Вы вообще уверены, что не ошиблись темой ? Здесь обсуждается спам от зарегистрированных пользвателей. Если пользователь зарегистрировался - значит он прошел капчу при регистрации (которая там обязана быть). Далее, возникает 3 вопроса:
1) Если он ее прошел на полуавтомате (хрумер или аналог провел регистрацию, а сам пользователь вбил капчу) то что ему мешает так же пройти капчу на полуавтомате и при постинге ?
2) Если он прошел капчу на полном автомате, какого <нецензурно> у вас такая слабая капча при регистрации ?

Quote:

я отслеживаю это.

Поделитесь методикой отслеживания..

Quote:

что нормальным людям моломская капча не проблема.

Проще всего ушедших людей записать в ненормальные...Вы сами то с головой дружите, чтобы всех так, не глядя, записывать ? Корона не давит ?

Вы измеряли, сколько вы теряете постов из-за Моллома, или балаболите просто ?

Думаю, что вы вообще понятия не имеете, насколько вредите себе.
https://www.google.com/search?client=ubuntu&channel=fs&q=mollom+false+po...
http://drupal.org/node/353588

Не всегда можно выдернуть термины таксономии. Часть информации все равно должна быть в URL.
Навскидку могу сказать 2 случая
1) Если надо в robots.txt закрыть часть материалов - там только URL. Обойти можно через мета тег robots но все же, в robots.txt закрыть целый раздел 1 строчкой гораздо удобнее.
2) Яндекс составляет в сниппете хлебные крошки на основе структуры URL, разделяя его на "директории". Т.е. вы сразу теряете хлебные крошки у Яндекса - а значит часть посетителей (за счет снижения CTR сниппета).

Я когда вижу молломовскую капчу там, где я уже зарегистрирован, у меня всякое желание писать исчезает. Тот, кто истязает своих легитимных пользователей этим орудием пыток, идет нах...

Хаха...моллом - отличный способ потерять вообще все комментарии, вместе со спамом

Адреса страниц в виде цифры зря сделали. Это выстрел себе в ногу. Аукнется, когда захотите задавать различные правила, в зависимости от раздела/тематики и т.д. Между идентификатором страницы и адресом сайта должно быть хоть что-то.

А так, понравилось. Тексты человеческие, интересные. Про дизайн соглашусь - лучше никакого, чем "так себе".

Ну для опенсорс-модуля не грех и в ридми послать.
Кто хочет и бесплатности и полного сервиса - по-моему, находится в плену иллюзий.