abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    BleachBit 5.0.0
    včera 22:33 | Nová verze

    Byla vydána nová major verze 5.0.0 svobodného multiplatformního nástroje BleachBit (GitHub, Wikipedie) určeného především k efektivnímu čištění disku od nepotřebných souborů.

    Ladislav Hagara | Komentářů: 2
    Vývoj webového prohlížeče Ladybird (04/2025)
    2.5. 22:22 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za duben (YouTube).

    Ladislav Hagara | Komentářů: 0
    TikTok dostal v EU pokutu 530 milionů eur za nedostatky při ochraně dat
    2.5. 19:11 | IT novinky

    Provozovatel čínské sociální sítě TikTok dostal v Evropské unii pokutu 530 milionů eur (13,2 miliardy Kč) za nedostatky při ochraně osobních údajů. Ve svém oznámení to dnes uvedla irská Komise pro ochranu údajů (DPC), která jedná jménem EU. Zároveň TikToku nařídila, že pokud správu dat neuvede do šesti měsíců do souladu s požadavky, musí přestat posílat data o unijních uživatelích do Číny. TikTok uvedl, že se proti rozhodnutí odvolá.

    Ladislav Hagara | Komentářů: 3
    Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source
    2.5. 11:22 | Zajímavý projekt

    Společnost JetBrains uvolnila Mellum, tj. svůj velký jazykový model (LLM) pro vývojáře, jako open source. Mellum podporuje programovací jazyky Java, Kotlin, Python, Go, PHP, C, C++, C#, JavaScript, TypeScript, CSS, HTML, Rust a Ruby.

    Ladislav Hagara | Komentářů: 2
    Kali Linux má nový klíč pro podepisování balíčků
    2.5. 09:11 | Bezpečnostní upozornění

    Vývojáři Kali Linuxu upozorňují na nový klíč pro podepisování balíčků. K původnímu klíči ztratili přístup.

    Ladislav Hagara | Komentářů: 2
    Redis je opět svobodný
    1.5. 20:00 | Komunita

    V březnu loňského roku přestal být Redis svobodný. Společnost Redis Labs jej přelicencovala z licence BSD na nesvobodné licence Redis Source Available License (RSALv2) a Server Side Public License (SSPLv1). Hned o pár dní později vznikly svobodné forky Redisu s názvy Valkey a Redict. Dnes bylo oznámeno, že Redis je opět svobodný. S nejnovější verzí 8 je k dispozici také pod licencí AGPLv3.

    Ladislav Hagara | Komentářů: 3
    Ceny Raspberry Pi Compute Modulů 4 klesly o 5, respektive 10 dolarů
    1.5. 19:22 | IT novinky

    Oficiální ceny Raspberry Pi Compute Modulů 4 klesly o 5 dolarů (4 GB varianty), respektive o 10 dolarů (8 GB varianty).

    Ladislav Hagara | Komentářů: 0
    openSUSE Leap 16 Beta
    30.4. 22:33 | Nová verze

    Byla vydána beta verze openSUSE Leap 16. Ve výchozím nastavení s novým instalátorem Agama.

    Ladislav Hagara | Komentářů: 0
    Kultovní hra Brány Skeldalu je na Steamu
    30.4. 17:44 | Zajímavý článek

    Devadesátková hra Brány Skeldalu prošla portací a je dostupná na platformě Steam. Vyšel i parádní blog autora o portaci na moderní systémy a platformy včetně Linuxu.

    karkar | Komentářů: 0
    Linux v Excelu
    30.4. 12:11 | Humor

    Lidi dělají divné věci. Například spouští Linux v Excelu. Využít je emulátor RISC-V mini-rv32ima sestavený jako knihovna DLL, která je volaná z makra VBA (Visual Basic for Applications).

    Ladislav Hagara | Komentářů: 7
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaký filesystém primárně používáte?
     (58%)
     (1%)
     (9%)
     (21%)
     (4%)
     (2%)
     (2%)
     (0%)
     (1%)
     (3%)
    Celkem 513 hlasů
     Komentářů: 19, poslední 30.4. 11:32
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Zprávičky / Masivní útoky na WordPress
    Štítky: PHP, programování, skript, WordPress

    Masivní útoky na WordPress

    Od začátku února se zvyšuje počet infikovaných WordPress webů s vloženou cizí reklamou. Jedná se o útok připravovaný několik měsíců, který využíval více starších bezpečnostních chyb a na weby propašoval skript pro vykonávání libovolného PHP kódu. V ČR bylo zatím nalezeno zhruba 400 napadených webů, počet však dále stoupá - podrobnosti o nákaze.

    4.2.2016 15:43 | smíťa | Bezpečnostní upozornění


    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    4.2.2016 17:54 Jardík
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Jak vůbec může někdo tyhle redakční systémy používat. Je to všechno nabobtnaná patlanina všeho možnýho, jenom aby tam bylo všechno, co by mohl nějakej Franta potřebovat. Mnohem lepší si něco napsat na koleni, kde bude jen to, co potřebuju. Dneska je hroznej problém napsat si webovku, kde jsou 4 divy, tak si každej vezme tu nejpřeplácanější šablonu, zkombinuje ji s nejpřeplácanějším CMS a pak se diví. Nedávno třeba root.cz, koukali jste na ten jejich nový vzhled a ten přeplácaný design s nechutně nabobtnaným DOMem.
    4.2.2016 18:52 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Já jsem naopak velký příznivce tohoto opensource řešení. Pokud se používá rozumně, tak funguje velmi dobře a zvládají ho jednoduše ovládat i laici. Už sem se setkal v velkým množstvím CMS psaných na koleni, které obsahovaly velmi závažné bezpečnostní problémy, ale narozdíl od WP nebyl nikdo, kdo by měl zájem je opravit. Bohužel WP "profesionál" je dnes kde kdo, stačí stáhnout nějakou pěknou prémiovou šablonu někde z torrentu a je to...
    4.2.2016 21:40 R
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Tiez som videl nejake tragicke veci... Napr. upload suborov urobeny tak, ze sa dali uploadovat aj PHP subory (a potom spustat). "Oprava" spocivala v zakaze uploadu suborov *.php, akurat sa zabudlo na funkciu premenovania. Takze stacilo skript premenovat na .jpg, uploadnut a premenovat na .php.
    5.2.2016 08:45 j
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    A on wordpress byl za celou doby svy existence aspon jeden jedinej den bez zavazny diry? To by se ovsem melo oslavovat vyroci ...
    5.2.2016 11:28 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Je třeba rozlišovat co jsou opravdu chyby WordPress a co jsou chyby vzniklé nekvalitně napsaným doplňkem, nebo nevhodným nastavením.
    svido avatar 6.2.2016 22:20 svido | skóre: 28
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    blbost, WP je jedna velka dira. Sorry, ale umožňovat normálním BFU hrabat do PHP je blbe. CMR / CMS apod mají být především blbuvzdorné. Používat jakýkoliv "oblíbený" opensource je hloupost, akorát si zahráváte s bezpečnostní. Útoky se dělají především na podobné opensource. Nehlede na to, že WP není ani v OOP, coding standards jsou totální výsměch.

    Njn, bohužel dnes každý amatér (zámerně nechci psát b*b) si hraje na programátora a pak "programuje" haluz ve WP... :-(
    7.2.2016 20:36 smíťa | skóre: 9 | blog: Zápisky z Lyntu
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Nevím, proč by měl běžný mít běžný uživatel WP možnost hrabat do PHP, toto rozhodně není vlastnost, kterou by se dal WordPress charakterizovat. Na druhou stranu může do PHP běžný uživatel hrabat u libovolého PHP webu... V tomto kontextu je Linux také jedna velká díra - umožňuje běžnému uživateli spouštět příkazy.

    Oblíbený prověřený opensource je pro mě naopak z hlediska bezpečnosti často důvěryhodnější než kód, jehož základ psal jeden člověk/menší skupinka. Sebelepší programátor někdy udělá chybu. U oblíbeného opensource vím, co můžu čekat a být na to připraven. Pokud se objeví nějaký vážný problém, tak se o něm velmi rychle dozvím a mohu si ověřit, zda se mne také týkal. Co si počnu s exotickým systémem, když se problém objeví a původní tvůrce již není k dispozici? V případě oblíbeného opensource jsou k dispozici tisíce dalších lidí, kteří problém umí vyřešit. Co udělá menší web studio, které vyrobilo stovku webů na svém vlastním CMS, když se v něm najde bezpečnostní chyba? V lepším případě v tichosti chybu na všech webech opraví a zákazník se o ní nikdy nedozví, přestože již třeba nějakou škodu způsobila. Minimum vývojářů na rovinu obešle všechny své klienty a přizná jim, že udělali chybu...

    Kód WP také nemám rád, ale jelikož se jedná především o systém pro uživatele a ne framework pro vývojáře, dokáži s tím žít. Coding standards vychází z původního určení PHP jakožto šablonovacího jazyka, vzhledem k historii tohoto systému a důrazem na zpětnou kompatibilitu se s tím těžko bude něco dělat...

    S tvrzením o amatérech bohužel musím souhlasit.
    4.2.2016 18:57 marek_hb
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    třeba někdo, kdo není programátor a živí se něčím úplně jiným...
    4.2.2016 19:51 Tonda
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Takový člověk by ale měl zvážit, jestli není lepší si to nechat udělat od někoho, kdo tomu rozumí, než si stáhnout wordpress a pak ho špatně nastavit, nebo ho neaktualizovat, ...
    4.2.2016 19:57 marek_hb
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    záleží na úrovni - když potřebuju někde vystavit pár fotek a článek, tak proč si to neudělat sám, když budu potřebovat optimalizované firemní stránky, tak to někde zadám
    Hans1024 avatar 4.2.2016 21:24 Hans1024 | skóre: 5 | blog: hansovo
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Jenomze takovy clovek nedokaze rozeznat nekoho, kdo tomu rozumi, od nekoho, kdo jenom stahne wordpress, spatne ho nastavi a necha si za to zaplatit :-D
    Veni, vidi, copi
    Max avatar 4.2.2016 21:25 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Chceš říci, že každý jouda si napíše bezpečnější CMS, než team lidí, co se o vývoj stará za many a zveřejňuje zdrojáky, jejichž bezpečností se ve finále zabývá nemálo lidí?
    Dobrej joke ...
    Zdar Max
    PS: Problém je s údržbou a správou. Těžko budeš platit programátora, aby ti udržoval texty, vydával články apod. Mj. proto CMS existují, aby se o obsah starali lidi, kteří jsou pro to nejvhodnější.
    PPS: ta tvá poslední věta nedává v kontextu žádný smysl, jak design souvisí s CMS?
    Měl jsem sen ... :(
    5.2.2016 08:47 j
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Spis ze kazdej clovek napise web, na kterej mu tezko zautoci nejakej script, kterych denne vidim v logu tisice. A prave wordpress je jeden z nejcastejsich cilu.
    Max avatar 5.2.2016 23:00 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    To ale nemá s bezpečností nic společného. Použití neznámého sw, který je stejně tak děravý, resp. spíše ještě více a spoléhat na to, že si toho nějaký děcko nevšimne, to fakt není řešení.
    Aneb neřešit důsledek, ale příčinu.
    Tzn. vyvarovat se nebezpečným pluginům, pravidelně dělat update + popř. mít vhodně nastavený server.
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 16:47 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Prominte, ale cms psany pro konkretni ucel je mnohem vhodnejsi nez masove nasazovany z mnoha hledisek. Uz napriklad v tom, ze schopnost napadnout znacne mnozstvi webu postavenych na wordpresu, joomle, prestashopu,.... je dana take jeho masovou rozsirenosti, utok ma tak vetsi dopad a vetsi silu a da se lepe automatizovat. Moznosti studovat chyby v kodu jsou pro utocnika take docela cenne. Diky nahledu do kodu je znam mechanismus starych nebo dosud neopravenych chyb. To se u CMS kde zdrojak obecne neni k dispozici tak nejak mnohem hure dela. U CMS na miru vidim take vyhodu v moznosti oslovit primo jeho tvurce a za upravy mu samozrejme zaplatit. Jinak napriklad zakaznicke zmeny v kodu masove nasazovaneho systemu vyjdou stejne tak draho jako zmeny v kodu masivne nasazovaneho systemu. Nedej boze kdyz se komunita rozhodne jit jinym smerem, nez zakaznik potrebuje. Ani jeden z programatoru to nebude delat zadarmo. A kdo preci jen zadarmo nebo za smesnou cenu delat bude, necht se hlasi u me, mam pro nej spoustu prace.
    Max avatar 5.2.2016 17:43 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Pěkný pokus o další flejm. Bezpečnost closed vs. oss source, to je hodně staré téma, ale třeba se ještě někdo chytne ;-)
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 18:56 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Napadlo vas nekdy kolego, ze existuje i věcná a faktická diskuze a ne jen vase domněnky o flamech a obvykle i vasich pocitech o tom jak jsme vsichni trolove? Koukám s vami je ta diskuze docela těžká, jak neni po vašem, tak je zle. No, co uz.... :) by me zajimalo, jestli jste takovy i osobne nebo jen na netu.... to musi byt tedy radost.
    5.2.2016 20:21 Vantomas | skóre: 32 | Praha
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Tehdá jsem na internetu četl něco o útokách na bankomaty, kdy se na platební kartu, do toho magnetického proužku zapsalo prostě něco jinak než ten bankomat očekával, následkem toho tam něco přeteklo a útočník byl schopen vytáhnout peníze i bez jakýchkoliv autorizací. Samozřejmě je otázka jestli útočník náhodou nebyl insider a neměl přístup ke zdrojovým kódům, ale dle útoků jinde (třeba USB host na entertainment systémech v letadlech) bych spíš řekl, že někdo to jen zkoušel tak dlouho, až mu to prostě prošlo a zdrojáky toho kam útočil prostě nepotřeboval. Z tohoto pohledu tedy beru closed-source jen jako pocit falešné bezpečnosti, protože člověk co se na to zaměří spíš ty zdrojáky nepotřebuje.
    Max avatar 5.2.2016 22:49 Max | skóre: 72 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Pročetl jsem nemálo flejmů na toto téma a nikdy to nikam nevedlo, nechápu tedy, proč bych se do takové diskuse měl zapojovat. Nikam to nepovede, oba jsme si své názory sdělili a nemám zapotřebí to nějak dále rozebírat, jak už jsem řekl, nikam to nepovede, jen ztráta času.
    Zdar Max
    Měl jsem sen ... :(
    5.2.2016 19:10 R
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Je to len iluzia bezpecnosti, security by obscurity. Nenapadne ti to sice nejaky skript a neumiestni na web reklamu. Ale ked sa k tomu dostane clovek, ktory ma zaujem to hacknut, tak sa vyskusa skutocna bezpecnost a ta byva velmi pochybna. Kod niekolko takychto systemov som videl a bola to tragedia. A do toho kodu som nepozeral len tak pre srandu - analyzoval som hacknuty server.
    6.2.2016 11:55 Bill Gates
    Rozbalit Rozbalit vše Re: Masivní útoky na WordPress
    Souhlasim s iluzi bezpecnosti kolem security by obscurity a chapu to. Z praxe ale presto radeji pouziju vlastni CMS bez verejne dostupneho kodu (vyvoj od 2005, overeno v produkcnim prostredi nekolika firem) pro projekt uz kvuli rychlosti oprav (ve svem kodu se orientuji mnohem lepe nez v cizim), opravu muzu zaradit do hlavni vyvojove vetve hned a ne az uzna za vhodne komunita, ktera problem nemusi vubec vnimat jako problem, pricemz pro zakaznikuv projekt to muze byt obrovsky problem.

    Vyhody vidim i ve vyvoji uprav na klic, tedy specialit, ktere se me vyviji mnohem rychleji na vlastnim kodu nez na cizim. Chyby seka kde kdo, i ja i kdokoliv jiny kdo se podili na masove vydavanem projektu. Zkusenostmi a letitou praxi v oboru se jim muzeme lepe vyhnout, zkratka vime co delame. Stava se mi ze napisu slozitejsi kus kodu na jeden zatah, ktery po prvnim pouziti bezvadne funguje. I tohle se mi obvykle zda podezrele a funkcnimu kodu napsanemu "from the scratch" take neverim, takze dukladne overuji a trapim ho.

    Souhlasim take s prasackosti kodu ktere jsem take mel moznost videt. Obvykle byli autory mladi lide bez zkusenosti cerstve po studiu, kdy teoreticke znalosti jsou dobre, praxe vsak nulova a mysleni nad tim jak kod funguje, treba kontrola vstupnich dat, osetreni vsech chybovych stavu, vyjimek, atd... to je nekdy opravdu na facku.

    I u nas ve firme takoveho jednoho blba vystudovaneho mame, ktery neni schopen osetrit ani existenci nazvu databaze. Ze mu mysql řve ze DB neexistuje ho nezajima, klidne nasledne provede do neexistujici db select, cimz mu jeho app spadne na hubu na neosetreny exception a opravit to musim ja testy mimo aplikaci, protoze on neni schopen. Takze prvne provedu testy scriptem a pak az (pokud vse projde) pustim tu jeho zprasenou app od ktere nemam zdroje (jinak bych to davno opravil).

    Jinak tedy u meho CMS zakaznik ma zdroje. Muze si je editovat, auditovat, dale vyvijet po konzultaci a ma je zaplaceny. Pokud to i pres zaplaceni hodi na net, nenadelam nic, zpet to nevratim, tim to ale prestava byt "muj kod" a jeho uziti je na vlastni riziko. Klient se tim ale dostava do pozice kdy nakresli / otiskne profil sveho klice od bytu, tento verejne vystavi a ocekava ze mu byt nikdo nevykrade a nikdo si klic nevyrobi. Jako by reze si pod sebou vetev.

    Ono neni vse cerne a bile. Neni jen opensource a closedsource. Existuje mnoho variant mezi tim ktera kazda ma sve vyhodi i nevyhody. Otazka taky jak je co treba klientem preferovano. Jeden preferuje uzavreny kod a security by obscurity, s cimz ja take nesouhlasim, a druhy opensource aplikaci, coz ne vzdy muze byt uplne to nejlepsi reseni, napriklad jako u wordpresu a jeho snadnou hacknutelnosti verejne zdokumentovanymi chybami drive nez klient zajisti upgrade jim vyuzivane aplikace coz take nemusi byt vzdy tak jednoduse pruchozi.

    Založit nové vláknoNahoru


    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.