Безопасность php-Fusion'a (статья 2009г)   

  Vveb.ws / CMS PHP-Fusion и PHP-функции / О сайте About PHP-Fusion /   

php-Fusion — CMS устаревшая и консервативная.

В то время, как остальные пичкают своих монстров аджаксом и студенческими модулями, Коля Иванов (Nike Jones) идет по проторенной тропе.

php-Fusion на самом деле вовсе не php-Fusion, а скорее php-Anachronism.
Но лично меня такое положение дел пока устраивает.

Вообще, идеальную безопасность могут обеспечить лишь собственная закрытая разработка, написанная с нуля либо на CMF.
Пока таких позволить себе не можем, поэтому приходится выбирать готовые решения.

А чего выбирать, если все дыряво ?

Первое полугодие 2008-го года:
http://www.xakep.ru/post/47037/default.asp
И снова в лидерах по дырявости программного обеспечения фигурирует Joomla!. Данное ПО является CMS системой (системой управления содержанием сайтов), написанной на языке PHP и использующей в качестве хранилища базу данных MySQL. Популярность Joomla! вызвана тем, что данная CMS является свободным программным обеспечением, распространяющимся под лицензией GPL. Однако пользователям Joomla! стоит задуматься... 57 уязвимостей с эксплойтами за 6 месяцев – не слишком ли? Показатель-то больше, чем у MS Windows. Любопытно, что на втором месте расположилась CMS Mambo, по сути, являющаяся ответвлением Joomla!. Когда-то обе команды разработчиков работали над одним проектом, но позже разделились из-за несогласованности в экономических взглядах.

С третьего по пятое место расположились Wordpress, Xoops и PHP-Nuke (знакомые все лица :)). Drupal опустился на 6 место в рейтинге, тем самым поднявшись в глазах трудящихся.


Второе полугодие 2008-го года:
http://www.xakep.ru/post/44621/default.asp
В рейтинге Web приложений с наибольшим количеством уязвимостей также как и в первом полугодии лидирует Joomla!. Правда, число ошибок несколько ниже. На втором месте находится Drupal с 19 ошибками. Затем с большим отрывом следуют MyBB, Wordpress и Typo3. CMS Mambo в этот раз набрала всего 4 ошибки по сравнению с 26 в прошлом полугодии, что безусловно является положительным моментом для сторонников этого ПО.


Как видим, все популярные CMS-ки подвержены огласке.
А наш неуловимый Джо Fusion рулит. ;)
Выбор очевиден.

Другое дело, что плагины для Фьюжина надо либо писать самому/по заказу с нуля, либо ставить уже проверенные и обновляемые, а абы какие посылать лесом.

Советую прогуляться по milw0rm.com'y - узнаете о многих дырявых плагах.

(Более того, недавно была обнаружена XSS бага в «любимом» fusionBoard 4, автор ее не затыкает, а все пользователи сидят на бомбе :))

Кароче, все надо делать с умом.

P.S. Открою маленький секрет - уверен, мало кто знает ;).

При установке php-Fusion ставьте свой, уникальный префикс таблиц, а не дефолтный _fusion. Допустим, _12625737638478, _skghjqwtrhjqth, _as87ah9786ah76afhshj076. (хеш md5, например, вместо имени ;))

Это поможет предотвратить мускулъ-инжекции даже в случае наличия эксплойта в паблике (!), т.к. хакер не будет знать имя таблицы. Разумеется, предварительно надо отключить показ ошибок (см. выше).

Считайте, вы в памперсах... :)

About PHP-Fusion
 В 2009 году PHP-Fusion смотрелся лучше других CMS  

  
 В 2009 году PHP-Fusion смотрелся лучше других CMS
 

 Владимир Казаков: Преимущества CMS PHP-Fusion для программиста  

  
 Владимир Казаков: Преимущества CMS PHP-Fusion для программиста
 

 СТРАТЕГИЯ РАЗВИТИЯ PHP-FUSION 7  

  
 СТРАТЕГИЯ РАЗВИТИЯ PHP-FUSION 7
 

 Движок php fusion - преимущества и недостатки  

  
 Движок php fusion - преимущества и недостатки
 

 Получаем выгоду от форума на сайте  

  
 Получаем выгоду от форума на сайте
 

 PHP-Fusion — само совершенство    

  
 PHP-Fusion — само совершенство