У Вас в настройках PHP register_globals=ON? какеры идут к Вам!!!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Old  
буратино
На доске почёта
Болван полнейший.
 
banned nax
Default Несколько простых вопросов по лицензии и версиям. 0

Здравствуйте.

Меня интересуют вопросы версий форума.
1. Ценовые пакеты.
Зашел на vBulletin.com, но у меня проблеммы с английским. Увидел там два пакета, один за 160 баксов, другой за 85 американских президентов. В чем разница?
2. Там последняя версия на скачивание написана 3.5.4, релиз кандидаты как я понимаю не продаются? Тоесть пока не будет финала 3.6.0 то продавать будут 3.5.4 ?
3. Если я покупаю версию, допустим 3.6.0, потом выходит 3.7.0, я могу ставить последнюю или моя лицензия только определенно привязана к данной версии? Понял на сайте то, что лицензии продляются на год с доплатой, так это на ту которую купил или на любую - в смысле оплатил лицензию и ставишь любую версию? То что можно ставить даже обнуленные я слышал, но можно ли ставить разные?
4. Стою перед выбором: ставить 3.5.4 серьезно уже, а не тестировать, или ставить 3.6.0 кандидат 2, что более безпроблемно обновить с выходом финального релиза, 3.5.4 русскую или 3.6.0 кандидат 2 DGT ? Вопрос в том, что пока не видел полностью русской версии 3.6.0 от zCarotа, и обновится ли 3.6.0 кандидат 2 DGT безпроблемно и без потери различной информации до финального русского 3.6.0 от zCarotа?
5. Предусмотрена ли в 3.6.0 действенная и реальная защита от XSS атак и закрытие некоторых других "дырок", имеющих место быть в 3.5.4 ? Только не говорите пожалуйста, что XSS атака - это несерьезно и SQL инъекция это "фигня".

Спасибо.
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
Xrobak
Продвинутый
Default 1

Quote:
1. Ценовые пакеты.
Зашел на vBulletin.com, но у меня проблеммы с английским. Увидел там два пакета, один за 160 баксов, другой за 85 американских президентов. В чем разница?
пользуйся поиском по форуму - тема обсмоктана до "нимагу"!
Quote:
2. Там последняя версия на скачивание написана 3.5.4, релиз кандидаты как я понимаю не продаются? Тоесть пока не будет финала 3.6.0 то продавать будут 3.5.4 ?
если ты купишь лицензию, то в разделе для скачки тебе будет доступна самая последняя текущая версия (сейчас это 3.6.0 РЦ2)
Quote:
3. Если я покупаю версию, допустим 3.6.0, потом выходит 3.7.0, я могу ставить последнюю или моя лицензия только определенно привязана к данной версии? Понял на сайте то, что лицензии продляются на год с доплатой, так это на ту которую купил или на любую - в смысле оплатил лицензию и ставишь любую версию? То что можно ставить даже обнуленные я слышал, но можно ли ставить разные?
пока у тебя есть доступ к обновлениям, тогда можешь ставить себе какую угодно версию, только доступ закрыли (истек срок), то пользуешься тем что есть. Ты покупаешь лицензию, а не номер версии, купил лицензию - и ставь хоть древнюю 2.х.х версию
Quote:
4. Стою перед выбором: ставить 3.5.4 серьезно уже, а не тестировать, или ставить 3.6.0 кандидат 2, что более безпроблемно обновить с выходом финального релиза, 3.5.4 русскую или 3.6.0 кандидат 2 DGT ? Вопрос в том, что пока не видел полностью русской версии 3.6.0 от zCarotа, и обновится ли 3.6.0 кандидат 2 DGT безпроблемно и без потери различной информации до финального русского 3.6.0 от zCarotа?
1) пока 3.6.0 не финал, то полного перевода и не будет, но перевод юзерской части сделан вроде понлостью, так что на пользователях перевод никак не отразится. А ставить думаю лучше 3.6.0 РЦ2, а далее обновишься до 3.6.0 финал, вот. Хотя тут нужно учитывать ситуацию с хаками, если у тебя есть хаки на старой версии, к-рые тебе очень нужны, но нет еще их порта на 3.6.0 - то лучше подождать с их выходом и тогда уже ставить себе 3.6.0
Quote:
5. Предусмотрена ли в 3.6.0 действенная и реальная защита от XSS атак и закрытие некоторых других "дырок", имеющих место быть в 3.5.4 ? Только не говорите пожалуйста, что XSS атака - это несерьезно и SQL инъекция это "фигня".
100% защиты тебе никто не даст, защита есть в каждой версии, вот только на каждую умную голову находится еще одна, а то и более, умных голов, к-рые находят уязвимости, к-рых не видели разработчики. Посему, вопрос несколько глуп, вот, да и логичнее подумать - если выходит новая версия, то дырки старой версии латаются (у джелсофта вроде с этим пока норма)
 
Old  
VipeR
Private Person
Developer
 
VipeR's Avatar
Default 1

  1. $160 - Пожизненая лицензия + $30 каждый год для доступа к патчам и БД хаков (по желанию)
    $80 - Лицензия на год + доступ к патчам и БД хаков на год. После надо продливать.
  2. Последняя версия 3.5.4 - это последняя стабильная версия форума. 3.6.0 финала (т.е. стабильной версии) пока нет. Скачать его можно в vBulletin Members Area, доступ в который, ты получишь после покупки лицензии.
  3. Оплатишь лицензию - ставить vB 1.1.x/2.3.x/3.0.x/3.5.x/3.6.x - решать тебе
  4. Мой совет - ставь Английскую версию 3.6.x и обновляйся до финала после того, как он выйдет. Да и к тому времени поспеет перевод от Макрови.
  5. Защита от различного рода XSS атак проводится, Jelsoft регулярно исследует ее, и выпускает патчи. От сиего рода атак обновляется не только последнии версии vB; но и версии прошлых лет. Не так давно (месяцев 6 назад ) они очередной раз обновили линейку 2.3.x; 3.0.x и 3.5.х от XSS. Как наверно ты понял, они обновляют всю серию своих продуктов, включая и старые версии.
 
Old  
oxibest
Простоузер
Default 1

Я недавно купила лицензию. Сразу скажу, что были "проблемы" с оплатой. Т.е. кредитную карточку он не захотели принять. Написали, что недавно чуть было не были оштрафованы на 50 тыс. долларов за принятие оплат по кредиткам. Поэтому мне пришлось искать пути оплаты через перевод через банк на счет юр. лица за границу. У нас в Украине это было проблематично. Но это так, отступление-предупреждение. После этого доступна панель для скачивания любых версий: хоть 2.х.х, хоть 3.6.0 (который еще не финал). Они на данный момент рекомендуют ставить еще 3.5.4. Потом в течение года можно обновлять до любых версий, которые доступны. Потом продлевается лицензия на год за 30 долааров и опять доступны все версии для скачивания. Если в рассрочку, то можно заплатить сначала 80 долларов, а потом опять платить 80 и80 и т.далее. Если вы не знаете английского, можно воспользоваться переводчиком Промт. Суть перевода понятна.
 
Old  
буратино
На доске почёта
Болван полнейший.
 
banned nax
Default 0

Спасибо, сейчас попробую поставить 3.6.0 .
VipeR, Вы считаете что 6 месяцев это "не так давно"?! За это время появились статьи на тему уязвимостей.
Xrobak, я имею ввиду 100% защиты на момент известной уязвимости, или быстрое решение проблемы уязвимости как таковой, никак не в указанные VipeRом шестимесячные сроки. На самом деле, глупо спорить о том, что не найдется тот, кто придумал бы нечто новое в методах взлома, пока есть люди, которые делают программы, найдутся и те, которые приложат усилия для их взлома. Вопрос состоит в своевременном реагировании на проблему уязвимости.
Еще учитывая тот момент, что Jelsoft Enterprises Ltd - это разработчик, серьезная "контора" с немаленьким колличеством занятых разработкой, отобранных по заслугам и знаниям специалистов, а взламывающий профи как правило один, ну максимум несколько человек - это если брать за вариант небольшие фирмы, занимающиеся на абсолютно законных основаниях тестированием "прочности" веб-ресурсов, то возникает вопрос: неужели серьезный разработчик не может сразу сам протестировать свой продукт и закрыть все "дырки"? Ответ: конечно может! И наглядный пример тому SLAED CMS, в статье о безопасности наглядно приведены примеры тестирования данного продукта! Вот ссылка на статью: http://www.slaed.net/index.php?name=News&file=article&sid=43
Если многими "умными головами" разрабатывается новый метод атаки, то ничего не мешает "умным головам" разработчика максимально защитить свой продукт именно от этого типа атаки, как от такового!
Известна атака XSS, у указанного выше разработчика разработана защита от XSS.
Если придумают новую, например "от винта" GDJFIEIVIINLC - атаку, вовремя необходимо разработать защиту от GDJFIEIVIINLC - атаки как от таковой в принципе.
В этом и заключается мой вопрос по безопастности: работает ли Jelsoft Enterprises Ltd в данном направлении? И насколько у разработчика реально получается обезопасить предлагаемый продукт, за который клиенты платят деньги?
Насколько мне, буквально недавно принявшемуся изучать продукт с целью покупки, известно - XSS -атака, как метод, появилась не вчера и не позавчера, а в продуктах Jelsoft Enterprises Ltd данная уязвимость имеет место. Хотя в продукте другого, указанного выше разработчика, данная уязвимость устранена в принципе.
Мне лично нужен продукт имеено компании-разработчика Jelsoft Enterprises Ltd, так как он мне нравится и удовлетворяет мои требования, также я согласен с параметром "цена-качество" за исключением характеристик безопасности продукта на данный момент времени известных мне - незалатанные уязвимости.
Думаю я подробно объяснил суть своего вопроса.
 
Old  
Xrobak
Продвинутый
Default 0

Quote:
У нас в Украине это было проблематично. Но это так, отступление-предупреждение.
согласен, но можно же найти посредника, к-рый за тебя сделает покупку (я так и сделал), я проплатил посреднику деньги и тот сразу же оформил покупку и через пару часов у меня было логин+пасс в мембер эриа. Вобщем, если захотеть - то можно сделать, но в целом - действительно все сложно, что нет представительства их в странах СНГ и спосбо оплаты забугорный.

буратино,
уязвимости джелсофты латают быстро, в этом убедились уже многие, посему я не думаю, что стоит особо переживать по этому поводу. Другое дело - это хаки, хаки если ты юзаешь, могут быть криво написаны, и благодаря им тебя могут поломать. Вобщем, когда купишь илцензию, на оф.форуме почитаешь рекомендации, чтобы свести к минимуму взломы.

Слушай, не поднимай панику, лучше джелсофта, форумные двжики мало кто защищает, уж ИПБ явно и рядом по защите/уязвимостям и не стоит. Все довольны вбюлетнем, давай, харе дергаться, вступай в ряды пекарей (вБулочников).
 
Old  
VipeR
Private Person
Developer
 
VipeR's Avatar
Default 0

Quote:
Originally Posted by буратино
VipeR, Вы считаете что 6 месяцев это "не так давно"?!
Может меньше... я не помню когда точно последний патч вышел
Quote:
Originally Posted by буратино
Xrobak, я имею ввиду 100% защиты на момент известной уязвимости, или быстрое решение проблемы уязвимости как таковой, никак не в указанные VipeRом шестимесячные сроки. На самом деле, глупо спорить о том, что не найдется тот, кто придумал бы нечто новое в методах взлома, пока есть люди, которые делают программы, найдутся и те, которые приложат усилия для их взлома. Вопрос состоит в своевременном реагировании на проблему уязвимости.
Jelsoft своевременно реагирует на них. А взломать можно что угодно, и уязвимость необязательно окажеться именно в форуме я могу тебе сказать тебе как человек, который этим занимается.
Quote:
Originally Posted by буратино
неужели серьезный разработчик не может сразу сам протестировать свой продукт и закрыть все "дырки"? Ответ: конечно может!
Они это и делают + подключают к этому еще и пользователей. Выявить абсалютно все только им, jelsoft'ам, без чьей либо помощи, в рекордные сроки просто нереально. Пользователи помогают им выявить все гоораздо быстрее.
Quote:
Originally Posted by буратино
Если многими "умными головами" разрабатывается новый метод атаки, то ничего не мешает "умным головам" разработчика максимально защитить свой продукт именно от этого типа атаки, как от такового!
Известна атака XSS, у указанного выше разработчика разработана защита от XSS.
Ты говоришь о булке так, что сломать ее как 2 пальца об осфальт. Это далеко не так. Чаще всего самым слобым звеном в общей безопасности ресурса - это его админ.
Quote:
Originally Posted by буратино
В этом и заключается мой вопрос по безопастности: работает ли Jelsoft Enterprises Ltd в данном направлении? И насколько у разработчика реально получается обезопасить предлагаемый продукт, за который клиенты платят деньги?
БУЛКА, МЛЯ, САМЫЙ БЕЗОПАСНЫЙ ФОРУМ, МЛЯ, ВО ВСЕМ ИНЕТЕ. НИКТО НЕ МОЖЕТ ДОБИТСЯ ЧЕГО-ЛИБО ПОДОБНОГО.
Quote:
Originally Posted by буратино
Насколько мне, буквально недавно принявшемуся изучать продукт с целью покупки, известно - XSS -атака, как метод, появилась не вчера и не позавчера, а в продуктах Jelsoft Enterprises Ltd данная уязвимость имеет место. Хотя в продукте другого, указанного выше разработчика, данная уязвимость устранена в принципе.
НЕТУ ТАМ XSS УЯЗВИМОСТЕЙ! НЕТ! В IPB ИХ ОКОЛО 20!!!, А В БУЛКЕ, МЛЯ, НЕ НИОДНОЙ НА ДАННЫЙ МОМЕНТ!
 
Old  
kerk
k0t
 
kerk's Avatar
Default 1

буратино,
(о ник то какой!)
тебе десять раз ответили на одни и теже вопросы, а ты их все так же продолжаешь мусолить...
 
Old  
буратино
На доске почёта
Болван полнейший.
 
banned nax
Default 0

kerk, причем здесь мой ник? Если Вам интересно, буратино - любимый герой моей двухлетней племянницы, меня она называет также, и, честно говоря, мне абсолютно все равно кто и как его воспримет.
Что касается темы вопроса, Вы правы, я задал подобный вопрос в нескольких топиках. Причиной того, что я включил его и в данный перечень вопросов является то, что ни в одном топике я не получил реальный аргументированный ответ.

VipeR, Xrobak, ребята, я с Вами полностью согласен насчет того что "булка" - это лучший форум, в этом не сомневайтесь, и это не паника и ничего такого. В ряды "пекарей-вБулочников" нахожусь на стадии вступления. И еще раз выражаю благодарность данному форуму за информационную поддержку. С другими форумами "булку" сравнивать считаю глупым и бесполезным занятием.
Причиной моих вопросов является изучение всех возможностей форума, а ни в коей случае ни его дискридитация!

По поводу темы безопасности, тоже самое. Булка лучшая в любом случае. Но этиология моих вопросов берет начало в темах о уязвимостях и направлена на получение полной информации как мной (по поводу защиты), так и разработчикам лишний раз не помешает напомнить (ведь данный форум реально является форумом поддержки русскоязычным потенциальным и реальным клиентам, и где же писать об этом и спрашивать как не здесь).

Если отбросить неграмотность администраторов, форумы которых ломают (хотя далеко не все неграмотные и новички), остается один реальный топик, опубликованный администратором КотЪ, вот он http://www.vbsupport.org/forum/showthread.php?t=5096
Суть данного топика:

КотЪ
Администратор
Неадекватный

3.5.4 - Уязвимость HTTP Response Splitting в vBulletin

Уязвимость HTTP Response Splitting в vBulletin
Удаленный пользователь может произвести XSS нападение.

02 мая, 2006
Программа: vBulletin 3.5.4
Опасность: Низкая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

POST /vb354/inlinemod.php HTTP/1.0Cookie: bbpassword=a5c3d9e61bcb8dea99105143c772bcd9; bbuserid=1Content-Length: 93Accept: */*Accept-Language: en-usUser-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)Host: www.vulnerable.comContent-Type: application/x-www-form-urlencoded
do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a
Уязвимость обнаружил Агиевич Игорь aka Shanker (shanker@mail.ru)

И пара интересных комментариев по теме:

netwind
Посетитель

я так понимаю, inlinemod.php это еще и редактирование постов через ajax,
видимо вставить код все-таки реально.

zCarot
zМарковь
Хочет третью строчку =)

джелсофт о дырках знает но как мы видим 3.5.5 всё-таки нет

Думаю комментарий zCarot, в ответ netwind самый реально значимый в этой теме, Никто не будет оспаривать знания zCarot и его профессионализм.
Со 2 мая прошло много времени, и если есть патч, информации о нем в топике нет. Так же суть моего вопроса, насчет 3.6.0, заключается именно в этом - как с XSS у 3.6.0 ?

Не надо воспринимать написанное мной в штыки, все-таки я выбрал для своего форума именно "булку", и вопрос для меня актуальный, как для потенциального клиента думающего о безопасности. Знал бы английский - задал бы на офф-сайте данный вопрос, но английского не знаю.

Я так понимаю и здесь не стоит его больше задавать, пока не приняли меня за какого-нибудь диверсанта и не забанили из-за вопроса, который меня волнует больше всего. Но если найдется Человек, который меня реально просветит в этом плане, и научит, то я позволю себе повториться - буду благодарен в как в устно-письменной, так и в материальной форме.

Надеюсь форум Демократичный и за вопрос мне бан не дадут, все-таки я пользователь данного продукта и будущий покупатель, информация форума мне очень полезна.

Всем спасибо за информацию.

Last edited by буратино : 07-28-2006 at 01:44 AM.
 
Old  
VipeR
Private Person
Developer
 
VipeR's Avatar
Default 0

буратино,
Обрати внимание на 2 факта:
Quote:
Originally Posted by буратино
Опасность: Низкая
&
Quote:
Originally Posted by буратино
с помощью специально сформированного POST запроса
POST по умолчанию отключен!
Quote:
Originally Posted by zCarot
если в админке запрещены внешние POST запросы (а это стоит по умолчанию) ничё не получится...
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 12:22 AM.


Powered by vBulletin® Version 3.0.10
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.