CMS Самая безопасная CMS

[MACTEP]

Задался вопросом о самой простой и безопасной цмске. Или хотя бы просто о самой безопасной, хотя думаю, что самая безопасная должна быть довольно-таки простой, так как ежу понятно, что чем больше нароворото, тем больше дыр.
С форумом вроде проблем нет - здесь выбор падает в сторону SMF, а вот как на счет скрипта портала - давайте подумаем.
У кого какие будут предложения?

 

[[ XStatistic ]]

Самая безопасная и простая это своя. Могу выложить пример.

короче фаил кернел, несколько инклудов и фаил фильтр. ВСЕ!

 

[resourser]

Самая безопасная КМС-ка - это та, которая не пользуется большой популярностью. Следовательно искать в ней дыры меньшим людям прийдёт в голову.

 

[MACTEP]

XStatistic ], что значит своя самая безопасная?
Мамба, джумла, нюк - для кого-то эти цмски свои (а именно для их создателей). Получается, они самые безопасные?

А что-то вроде кернеля с парой инлудов и фильтров - это каждый сделать может, только глупо по-моему, называть это цмской.

resourser, а пример можешь привести? мы и ищем наиболее безопасную.

 

[profeto]

Мамба, джумла, нюк - для кого-то эти цмски свои (а именно для их создателей). Получается, они самые безопасные?

Нет, не получается. Потому что ты вряд ли станешь выкладывать сорцы своей смс, иначе там сразу найдут баги, кому нужно будет. Имеется ввиду та смс, сорцы которой будут доступны только тебе.

 

[n1†R0x]

летом RunCMS была относительно безопасной по сравнению с аналогами, сейчас не знаю даже.

 

[Robin Hood]

хз по моему нету таких, так как сорцы весде открыты = везде можно найти баги нужно только хорошо искать

 

[-SMith-]

Robin Hood +1
RunCMS and DLE ....относительно безопасные

 

[Robin Gud]

Самой безопасной CMS нет, но в принципе есть относительно безопасные
Например Sabdrimer CMS
Она легко расширяется с помощью плагинов, вобщем описание поссмотреть на портале разработчика
В принципе в старых версиях есть баги(в основном XSS и инклуд), месяца три назад смотрели с другом CMS нашли две XSS, в новой версии уже их профиксили
P.S Сколько людей столько мнений

 

[MACTEP]

Хм, ну про RunCMS ничего не слышал, раньше были уязвимости, а сейчас не знаю, однако если покопатся, думаю, можно найти. То же самое и про Сабдример можно сказать. Только вот не устраивает меня как-то эргономичность этих систем.. Хочется самому все настраивать и расширять, а в сабдриме, например, как-то все прям подзапарено. DLE - вещь хорошая в этом плане, я ее и юзал раньше, однако теперь можно сказать, что это еще та большая дыра, особенно последнее время, когда критические уязвимости находят чуть ли не каждую неделю.


Чтож, получается, может, и впрямь лучше тогда свою написать?

 

[MACTEP]

Кстати говоря, заметил только что, что на сайте RunCMS E-XOOPS написано. Так она случайно ли не на XOOPSе написана? Мне кажется, в таком случае с нагрузками у нее тяжеловато будет?!
Надо бы отдать предпочтение именно той системе, которая 5000 хостов могла бы нормально держать.

 

[MACTEP]

Довольно много web-программистов пытаются писать собственные CMS. По самым разным и множественным причинам. Некоторые считают, что написание своей системы управления контентом займет меньше времени, чем изучение чужой. Некоторые думают, что в собственной системе будет меньше дыр, чем в чужой, — постоянно проскакивает информация о новых уязвимостях в той или иной CMS. Чуть ли не каждую неделю появляются сообщения о дырах в nuke-системах управления контентом, другие системы тоже не отстают. Довольно громкое дело — взлом spreadfirefox.com, работающего на движке Drupal: админы просто не поставили новую версию.

Так стоит ли использовать CMS? Дело в том, что в популярной системе управления контентом дыры обнаруживаются потому, что не одна сотня сайтов пользуется ей и соответствующие проекты просматриваются сотнями глаз. А кто будет искать дыру на домашней страничке Васи Пупкина с посещаемостью один человек (его же мама) в месяц?

Чтобы не быть голословным, приведу конкретный пример. Недавно в контору, где я работаю, принесли сайт для сдачи. Мы тестировали его на безопасность. Буквально через десять минут мне удалось зайти в админку этого сайта, так как автор системы управления контентом оставил гигантскую дыру: почему-то при вводе пустого мыла при подписке на новости пользователя переносило в админ-интерфейс, где предоставлялся простор управлять всем сайтом.

Надеюсь, я убедил тебя, что пользоваться готовой CMS, проверенной временем, безопаснее, чем писать собственную.

Автор: Борис Вольфсон
Источник: xakep.ru


Немножко в смятение статья повергла..))

 

[Sanchous]

MACTEP
Ой, да ну ладно... Это ж как надо было извратиться, чтобы при вводе пустого мыла в админку кидать. Так написать можно разве что специально. Можно не фильтровать ввводимые данные, это, в принципе, оплошность. Можно написать так, что при вводе пустого мыла юзера перебрасывает в админку, это, в принципе, криворучие. И, заметь, это две сущности, между собой не пересекающиеся...

 

[SapienS]

Топикстартеру: я тоже задавался этим вопросом, причем немало раз
Вывод: такой не бывает :lol: Долго юзал RunCMS, пробовал e107, Joomla и пр. - все время что-то не нравилось.

Попробуй написать свою. Сначала очень простую, затем расширяй. Больше никак :cry2:

 

[-SMith-]

SapienS+1
Можно взять за основу несколько cms...

 

[MACTEP]

Хех, похоже, придется взяться за разработку самому. Зато, может, ряд цмсок пополнится)