Where communities thrive


  • Join over 1.5M+ people
  • Join over 100K+ communities
  • Free without limits
  • Create your own community
People
Activity
Aleksander Dyomin
@aleksanderd
как по мне, так вообще в хтмл-коде должно быть минимум упоминаний про друпал... дурная у него репутация... даже если дыры все закрыты, у меня вот на сервере дофига чудаков тыркает разные друпаловские урлы(на предмет уязвимостей)... хз как в 8м, но хуже не будет, если всякие там кулхуцкеры просто мимо пройдут, не распознав мой сайт как друпаловский...
Ivan
@Chi-teck
а че дурная то?
Aleksander Dyomin
@aleksanderd
дыр дофига было, при чём одна была - ваще сразу админский доступ с логин формы :)
Sergey Bril
@brilsergei
чтобы распознать друпаловский сайт, достаточно попробовать зайти на node/add и получить 403 ошибку. для достоверности попробовать еще пару специфичных урлов. так что сокрытие мета спасет только от самых тупых )
Aleksander Dyomin
@aleksanderd
чуть не в два клика...
@brilsergei вот, поэтому кроме всего прочего планирую урлы нахер поменять все, чтобы ничего похожего на /node* и тд не было
но на практике, думаю, большинство идёт в автомате ботами по генератору и каким то стандартным урлам
Alan Bondarchuk
@fortis
для того и нужны обновления) а прятать только если не обновлять, но сравнительно с другими системами дыр не так уж и много))
Aleksander Dyomin
@aleksanderd
и самое интересное, что там эта уязвимость была описана и её не фиксили более полугода чтоле... до тех пор пока эксплоит не появился и не пошла чехорда. я сильно не в теме, но тогда статейку читал со ссылкой на обсуждение
Alan Bondarchuk
@fortis
ну у джумлы был факап пару месяцев назад все версии начиная с 1.5 которой уж года три уязвимы
Aleksander Dyomin
@aleksanderd
ну жумлу я ваще не смотрю :)
Sergey Bril
@brilsergei
@aleksanderd тогда еще и http хедеры нужно алтерить. друпал там тоже свои заголовки отсылает )
Ivan
@Chi-teck
да, там день рождение дриса
Aleksander Dyomin
@aleksanderd
так, я последнее время на yii2, но он для чего то заказного... а надо бы иметь инструмент для быстрого создания сайтов на любую тему, без особых требований к производительности... а тут как раз 8ка - решил заново поглядеть... а то на 7ку как бы уже забил :) 8ка вроде ничего, хоть сущности в ядро нормально впилили и тд...
@brilsergei спс, возьму на заметку
KarmaBot
@KarmaBot
Спасибо (+1) для @brilsergei принято! Текущая карма +1.
Ivan
@Chi-teck
@animan01 ^^^
Alan Bondarchuk
@fortis
уязвимости которые снифаются решаются обновлениями а уж прятать друпал имхо только если аудитория/конкуренты специфичные или сайт очень кому то нужно сломать)
Aleksander Dyomin
@aleksanderd
@fortis да так то да :) и вообще хз когда руки до этого дойдут - полно еще не изученного... так что это пока что просто бзик
где то на друпал ру был срач на эту тему
Zulljin
@animan01
@Chi-teck пасиба)
KarmaBot
@KarmaBot
Спасибо (+1) для @Chi-teck принято! Текущая карма +7.
Ivan
@Chi-teck
хм, на друпал.орг нету этого тега
тоже прячутся наверное )
@animan01 Я бы на твоём месте тогда не убирал его совсем, а подкорректировал.
<meta name="generator" content="Bitrix (http://www.1c-bitrix.ru)" />
Zulljin
@animan01
@Chi-teck тонкий троллинг :smile:
Наверное так и сделаю :smiley:
Zulljin
@animan01
@Chi-teck странно но генератор остался, кеш чистил
Zulljin
@animan01
А как в 8 при добавлении ноды термины списком выводить? копаюсь не могу найти
Нашел. Точно в отображении формы находится.
Alexandr.Poddubsky
@AlexandrPoddubsky
@brilsergei на 403 делается редирект вообще то
Sergey Bril
@brilsergei
@AlexandrPoddubsky не совсем понял, что вы имеете ввиду. Но для редиректа используются коды 3хх, а если сервер не может отобразить страницу клиенту, то возвращает код 4хх
Alexandr.Poddubsky
@AlexandrPoddubsky
ну так сервак то отдает 404 или 403. делается редирект на нужную страницу и все
или на авторизацию например. я делал на авторизацию
Sergey Bril
@brilsergei
Это совсем другое, это уже логика друпала, а не сервера, которую вы сами настроили. На голом друпале никакого редиректа не происходит.
Alexandr.Poddubsky
@AlexandrPoddubsky
а скрыть можно на само деле. нужно постараться. был сайтец грохнул, лень было поддерживать его
определял автоматом относится ли сайт к дру или нет
один из параметров был Expires:Sun, 19 Nov 1978 05:00:00 GMT
https://www.drupal.org/node/1968624 тоже решается
node/add тоже меняется
/node сразу делаю редирект на карту сайта например
и тд и тд
Alexandr.Poddubsky
@AlexandrPoddubsky
это из простых
из более сложных
это например замена в жабе слова drupal
Sergey Bril
@brilsergei
скрыть можно, но сложно и бессмыслено. помимо скрытия стандартных путей, http заголовков, переписывания js и всех хуков темизации, нужно еще и скрыть то же самое для популярных контриб модулей. а сколько займет замена пути, который используется для автокомплита в модулях? одного hook_menu_alter недостаточно.
Alexandr.Poddubsky
@AlexandrPoddubsky
вы про стулса ?
вьювки удобны на начальном развитии проекта