Dla kod w pehapie wygląda syfiasto, nie dałbym rady tego czytać i w tym pisać.
1
3
Ale tylko w przypadku jakiegos szajsu pokroju wordpressa, exploit jest tak szeroki, ze wystarczy ze jakis bot przeszukuje internet w poszukiwaniu podatnej wersji WP i calkowicie automatycznie "pol internetu" (hiperbola) ma zhakowane strony
To normalne, że system zawiera błędy i to normalne że błędy w systemie są poprawiane. Jako przykład podam google. Mimo ogromnego budżetu i programu bug bounty nadal znajdowane są błędy typu 0-day.
Nie ma co ukrywać, że klientami którzy używają wordpress są w większości klienci z niskim budżetem i ostatecznie nie ma budżetu aby po prostu zaktualizować system i pozostałe rozszerzenia do najnowszych wersji.
Jak w Javie byl log4shell, to bylo ogromne poruszenie w internecie. A kolejna luka w PHP-owym CMS-ie (albo wtyczce) to wywoluje co najwyzej reakcje "hehe, znowu?"
Na ten moment nie ma żadnych dowodów ani informacji, że źródłem problemu był sam CMS lub zewnętrzne rozszerzenie. W tej skali projektu zakładam, że znajduje się tam dosyć sporo customowo napisanych rozszerzeń dedykowanym tylko dla tego systemu. To właśnie w tym obszarze podejrzewam, że znajduje się źródło problemu.
Oczywiscie to nie jest kwestia jezyka per se (chociaz ten tez jest zj****y, ale to nie dlatego ze WP istnieje, tylko z innych powodow), ale po prostu ten caly ekosystem to jest porazka
To nie jest tak, że każdy może sobie wrzucić rozszerzenie do oficjalnego magento marketplace co chce. Każde rozszerzenie przechodzi m. in technical code review, wymagane są testy etc.
https://developer.adobe.com/commerce/marketplace/guides/sellers/extension-create/
Oczywiście, możesz wrzucić do sklepu rozszerzenie spoza marketplace na własną odpowiedzialność.
I dlatego to jest problem. Jak stawiasz na magento, to bedzie "latwo", ale spodziewaj sie problemow j.w.
Magento to inna skala projektów ecommerce. Nie jest to system dla niskobudżetowych klientów (chociaż czasami jest dla takich klientów sprzedawany). Jak w każdym systemie spodziewaj się problemów i najlepiej raz na jakich czas zrób audyt bezpieczeństwa. Aktualizuj wersję CMS oraz rozszerzeń do najnowszych wersji. IMO w tak przetestowanym i zaawansowanym CMS'ie prawdopodobieństwo występowania 0-day'ów jest absolutnie niższe niż w przypadku full custom, niezależnie od języka.
Gdzie krytyka na administratorów IT? Holding 1, AIUT, Atende. Bo tam, mówimy o zupełnie innej skali wycieku danych.
W sieci znalazło się ogółem 1,2 TB danych. Wyciekły m.in. skany umów zawieranych przez Atende z firmami i jednostkami administracji publicznej w latach 2000-2012 i 2015-2020, archiwa poczty elektronicznej oraz dokumenty zawierające informacje wrażliwe (w tym dane osobowe i numery PESEL pracowników) i dane logowania (w tym pary login-hasło i klucze prywatne do logowania z użyciem SSH).
Wykradzione przez cyberprzestępców informacje mogą obejmować: dane osobowe; zawarte umowy; zapytania ofertowe; informacje o realizowanych przetargach; dane dostępowe do kont serwisowych u klientów; specyfikacje techniczne projektów i inne.
https://www.money.pl/gospodarka/kolejny-wielki-wyciek-danych-chodzi-m-in-o-kupujacych-samochody-7060047379606336a.html
https://cyberdefence24.pl/polityka-i-prawo/wyciek-danych-z-polskiej-firmy-ostrzezenie-pelnomocnika-rzadu-ds-cyberbezpieczenstwa
https://www.computerworld.pl/article/3580426/wyciek-danych-z-atende-firma-nie-zaplacila-okupu.html
1
Update:
Na ten moment nie ma żadnych dowodów ani informacji, że źródłem problemu był sam CMS lub zewnętrzne rozszerzenie. W tej skali projektu zakładam, że znajduje się tam dosyć sporo customowo napisanych rozszerzeń dedykowanym tylko dla tego systemu. To właśnie w tym obszarze podejrzewam, że znajduje się źródło problemu.
Nadal nie znamy źródła wycieku danych, ale wiemy, że już od dawna nie były wgrywane aktualizacje systemu CMS dotyczące bezpieczeństwa. Aktualna dostępna wersja dla 2.4.5 security patrz to -p10 https://experienceleague.adobe.com/en/docs/commerce-operations/release/notes/security-patches/2-4-5-patches
W tym przypadku widzimy -p1. O ile zaktualizowanie wersji np. z 2.4.5 do 2.4.6 może być problematyczne i czasochłonne (może, ale nie musi). o tyle wgranie patch'y bezpieczeństwa przebiega raczej krótko i bezproblemowo. Tym bardziej dziwi brak aktualizacji dla klienta tej skali.
1
Dla jasnosci: Jak cos, to ja tam dalej nie mowilem o tym konkretnym przypadku, a generalnie o skali exploitowania wordpressa
A tak poza tym, to nieaktualizowanie CMS-a jest czescia tej "kultury", tak samo jak wrzucanie plikow po FTP na pierwszy lepszy hosting. Jest prosto, tanio i dziala. Az do momentu jak bede klopoty.
Ale to tylko taka moja uszczypliwosc - nie bierzcie tego posta na powaznie ;)
1
Ja nie znam php, ale to przeczytałem i już zostało ze mną po wsze czasy http://bash.org.pl/4862470/
<mikmas> a co masz do pehapowcow?
<squ> a to, ze jestescie brudasy, syfiarze
<squ> nie dbacie o pamiec chyba w ogole nie wiecie co to jest
<squ> widzieliscie wy w ogole malloca? macie wy w ogole godnosc i rozum czlowieka?
2
To po prostu język który kiedyś znał każdy gimnazjalista i nikt go poważnie nie traktował.
To w ogóle nawet nie miał być język programowania tylko język szablonów, który rozrósł się do tego stopnia że dorobił się własnego języka szablonów który wyglądał jak młody php, a sam twórca php powiedział że nie planował pisać języka programowania i nie wie jak pisać kompilator.
Język poszedł do przodu ale dalej ciągnie za sobą syfiastą przeszłość, niekonsekwencje w nazwach i kolejności argumentów podstawowych funkcji no i promowanie w tutorialach i dokumentacji mieszania logiki obsługi wejścia (na bardzo niskim poziomie zbliżonym do czystego HTTP), logiki aplikacji, odwołań do bazy i wypluwania html w jednym pliku. Poza tym to język używany w najgorszego sortu januszexach.
Sam język jest obecnie zbliżony do innych współczesnych, jest chyba w miarę szybki i nie taki zły, ma dobre frameworki, ale społeczność, legacy code, pracodawcy i typowe zadania w tym języku to inna sprawa.
Chyba jednak w 2024 roku mniejsza siara przyznać się do programowania w php niż w pascalu czy visual basicu.
3
2
@ledi12: W PHP jest przesyt juniorów, ale na pewno nie seniorów. Senior może liczyć na więcej niż 120 zł na godzinę, szczególnie jeżeli jest Freelancerem pracującym dla zagranicznych klientów. W USA bardzo popularny jest Laravel, średnia płaca za godzinę dla programisty MID Laravela (to nie jest Senior) to koło 197 zł na godzinę, biorąc pod uwagę medianę $95K rocznego zarobku programisty Laravela.
Żródło danych:
https://www.glassdoor.com/Job/us-laravel-developer-jobs-SRCH_IL.0,2_IN1_KO3,20.htm
Patrz: Base pay range
Edit: w Polsce taka płaca dla Seniora PHP też jest w zasięgu ręki dla wielu osób