Битрикс : за и против.

cmsmaster,
Цитата ("tvv"):

Это примерный сценарий, я не знаю как устроена такая фича в битриксе, и есть ли защита от такого переполнения БД. Я просто пример привел вопросов-ответов.

Пожалуйста, внимательнее

Вот и я продолжаю этот примерный сценарий ;-)

Вобсчем смс'ка держится только из-за принципиальности товарисчей "нуллеров".
alex_gall, я не дизайнер, показываю только "Под ключ".
И кстати там не только обменники.

Цитата ("lyoxa"):

Один Зарегался чтобы напостить

Кстати, так и есть. Действительно, увидел тему и зарегистрировался "чтобы напостить", наивно полагая, что в этой теме нужны аргументы с обеих сторон. Оказывается, нет. Здесь рады слушать и высказывать только негативные отзывы, так называемое "фе".

А такие "фе-дискуссии", как известно, никогда не являются конструктивными и ни к чему не приводят. Лишь пустая трата времени.

Жаль...

Vagir, о "плюсах" системы пользователи могут прочитать на сайте - вы нового ничего не привносите. А вот о минусах разработчики "скромно" умалчивают (впринципе, правильно делают).

Цитата ("SolNikolay"):

Vagir, о "плюсах" системы пользователи могут прочитать на сайте - вы нового ничего не привносите. А вот о минусах разработчики "скромно" умалчивают (впринципе, правильно делают).

Хм... Довольно странный подход к дискуссии... Спасибо, что подтвердили моё подозрение про "однобокость" данного обсуждения.

Кстати, в Вашем случае, по идее, нужно создать совершенно другую тему. С названием "Битрикс: аргументы против".

Vagir, +1

Vagir, ну если будет что-то конкретнее
Цитата:

сертификаты "Positive Technologies" (на которые, как я понял, Вы даже не удосужились взглянуть), информация в разделе "Безопасность" на сайте Битрикса, слова директора Битрикса Сергея Рыжикова, которые я сам лично слышал и в которых нисколько не сомневаюсь

то все с удовольствием вас выслушаем. Так что какая однобокость?

Насчёт поддержки я с вами согласен - это плюс.

Есть конкретнее.
Слова Сергея Рыжикова по этому поводу сегодня:

Цитата:

Но судя по теме форума и методу "тестирования", который видится господам, это не тестирование на безопасность С улыбкой а тестирование на размер дискового пространства.

Цитата:

Если есть кто-то из экспертов, я готов тестироваться и даже платить за это.
Но им надо будет доказать, что они что-то понимают в этом.

У нас как раз не голые слова, а процесс, проекты и результаты.
А вот у них, как раз голые слова.

Есть и правда есть специалисты, пусть пишут мне, я готов буду с ними пообщаться.

А спорщику, мое мнение, просто не хватает $200 на пиво и на потанцевать. Уж слишком активно он их выпрашивал ;-)

Цитата ("cmsmaster"):

Есть конкретнее.
Слова Сергея Рыжикова по этому поводу сегодня:

Цитата:

Но судя по теме форума и методу "тестирования", который видится господам, это не тестирование на безопасность С улыбкой а тестирование на размер дискового пространства.

Цитата:

Если есть кто-то из экспертов, я готов тестироваться и даже платить за это.
Но им надо будет доказать, что они что-то понимают в этом.

У нас как раз не голые слова, а процесс, проекты и результаты.
А вот у них, как раз голые слова.

Есть и правда есть специалисты, пусть пишут мне, я готов буду с ними пообщаться.

А спорщику, мое мнение, просто не хватает $200 на пиво и на потанцевать. Уж слишком активно он их выпрашивал ;-)

Кстати да, 200 USD лишними не будут. Я бы с удовольствием бы связался с представителем Битрикса, только боюсь что мне скажут "пшел вон", так как я не имею именитых сертификатов и не смогу доказать этим способом что я действительно эксперт в безопасности веб приложений (вряд ли администрация Битрикса станет тратить время на собеседование меня, а другого способа показать знания у меня нет).

Насчет спорщика - мое предложение участвовать в пари все еще в силе. И если не хотите мне код показать - не надо, я предлагал другой путь. Я предлагаю типовые сценарии хакерских атак, подобно как я описал в примере выще для alex_gall в сообщении на этом типике от Вт, 10 Апреля 2007 19:49, в Вы говорите как будет Битрикс на это реагировать или как можно от такой атаки защититься не внося изменений в исходный код Битрикса (Вы ведь утверждаете что он защищен идеально, что подтвердили некие профессионалы).

Если Вы признаете, что один из сценариев, который я привожу, вызовет сбой работы сайта или нарушение системы безопасности, значит Вы мне выплачиваете 100 USD. Или 200 USD если для Вас 100 USD мало. Заодно тем самым я докажу что являюсь экспертом, после того как найду уязвимость, и будет повод связаться с администрацией Битрикса. Идет?

Цитата:

Я бы с удовольствием бы связался с представителем Битрикса, только боюсь что мне скажут "пшел вон", так как я не имею именитых сертификатов и не смогу доказать этим способом что я действительно эксперт в безопасности веб приложений (вряд ли администрация Битрикса станет тратить время на собеседование меня, а другого способа показать знания у меня нет).

tvv, читайте внимательнее:
Цитата:

Есть и правда есть специалисты, пусть пишут мне, я готов буду с ними пообщаться.

По деньгам: для некоторых авторитет гораздо дороже денег. Вы, надеюсь, к такой категории людей относитесь?

> Но судя по теме форума и методу "тестирования", который видится господам, это не тестирование на безопасность С улыбкой а тестирование на размер дискового пространства.

Ничуть. Это именно вариант поиска уязвимости, когда любой зарегистрировавшийся через интернет пользователь может переполнить БД, вызвав тем самым креш системы. Если код Битрикса не содержит проверку предельных значений (лимитов), и не поддерживает менеджмент квот - это уже дает возможность любому хакеру (маньяку, конкуренту, etc.) завалить сайт. Если Битрикс это содержит - тогда эта проблема не грозит.

И таких способов поиска и анализа уязвимостей масса. Если бы в моем распоряжении был бы исходных код, было бы проще. Но дела ради, я могу и в слепую, не видя кода, провести анализ. Только мне нужна будет обратная связь от тех, кто может честно отвечать на мои вопросы и говорить что в коде есть, а чего нет (если уж не хотите мне кода показывать, тогда другого способа дать мне возможность искать уязвимости не ломая какой-либо живой сайт, что для меня неприемлемо так как я не хакер, я не вижу).

Цитата ("cmsmaster"):

Цитата:

Есть и правда есть специалисты, пусть пишут мне, я готов буду с ними пообщаться.

По деньгам: для некоторых авторитет гораздо дороже денег. Вы, надеюсь, к такой категории людей относитесь?

Я прочитал очень внимательно. Только Вы уж приведите что было написано перед этим: "Если есть кто-то из экспертов, я готов тестироваться и даже платить за это. Но им надо будет доказать, что они что-то понимают в этом. У нас как раз не голые слова, а процесс, проекты и результаты. А вот у них, как раз голые слова.".

То есть именно необходимость доказать ставит меня в тупик. Как я докажу то? Именно об этом я и написал мое сообщение, пожалуйста еще раз прочитайте повнимательнее мое сообщение, на которое Вы так поспешно ответили что я якобы что-то не прочитал.

Цитата:

Как я докажу то?

Не здесь ;-) Сергей ясно сказал - свяжитесь со мной. Вот там он и предоставит Вам возможность доказать свои знания. Просто напишите ему, и все. С его позволения, дам адрес почты.

Цитата ("cmsmaster"):

Цитата:

Как я докажу то?

Не здесь ;-) Сергей ясно сказал - свяжитесь со мной. Вот там он и предоставит Вам возможность доказать свои знания. Просто напишите ему, и все. С его позволения, дам адрес почты.

Очень хорошо, пожалуйста дайте контакт, свяжусь. Пишите или в личку, или можете связаться со мной по E-mail или ICQ (у меня в профайле они указаны).

Отправил в личку.

Спасибо, контакт получил. Свяжусь с ним. Потом сообщу о результатах

Ок, удачи ;-)
Искренне надеюсь, что Вы специалист, и реально можете то, что описали.

Господа... держался как мог.. но все таки....

1) темплейты демо версии (качество которых вы обсуждаете) строго говоря не являются частью системы реализующей API... это не что иное как одежка конкретного сайта... которая от сайта к сайту может в корне отличаться... и делаются эти темплейты верстальщиками, которые как правило и программистами то не являются...

2) если уж обсуждать качество кода, то нужно как минимум брать код модулей и четко по пунктам перечислить недостатки... а не говорить типа "мне этот код не нравится потому что я так никогда не делаю и значит он плохой"...

3) при обсуждении кода модулей необходимо брать в расчет что большая часть функционала Битрикса писалась в 2002-2006 году... и нет ничего удивительно что вы не видите в коде __autoload, паттернов и т.п...

С уважением.

P.S. уже давно не в теме, но ностальгия берет свое....

Цитата ("romanos"):

tvv, ты крут в прямом смысле этого слова, уважаю

Аналогично, tvv мой герой