e107-et nem ismerem, így nem mondhatom egyértelműen, hogy bármelyik is biztonságosabb.
Szerintem egyik sem biztonságos. A fejlesztők akármennyit gürizhetnek, ha valaki már elnézést, de hülye kódot ír (addon, egyedi oldal, akármi), az ellen nincs orvosság.
Bővebben: Biztonsági alapelvek infusion fejlesztőknek
Annyiból itt mindenképp jobb a helyzet (v7.02), hogy a legegyszerűbben sebezhető (url-ben átírható) GET metódusú usertől kapott változókat a PHP-Fusion eleve szűri. De ott van még a post, meg miegymás, amiket szintén lehet módosítani, igaz macerásabb (hát, mondjuk ha valaki botot ír, lehet ugyan annyi macera kb). (google: sql injection)
Összességében mondjuk elég rég láttam itt a fórumon olyan esetet, hogy valakinek feltörték volna az oldalát.
Hát épp te szoktad írni, hogy a Fusion szinte törhetetlen
Ami kuncogásra ad okot mert ugyi ha valaki nagyon akarja felfogja törni de ugyanez áll akármilyen technikával készült bármilyen oldalra is.
Itt még ugyi talán a Fusion v7.01xx napjaiban panaszkodtak arról, hogy feltörték az oldalt.
e107 fórumán van egy tavaly nyári írás amit egy admin eresztett el, hogy ő eztán csak dizájn munkát vállal, de telepítést, karbantartást nem mert a biztonság gyenge lábakon áll s nem mer felelősséget vállalni
Az alapcsomag mindig is törhetetlen volt. Na jó, nem. De legalább ha fény derült valamilyen biztonsági résre (főleg v6 idején), akkor másnapra már kint volt a javítás.
Nemrég is volt egy nagyobb kavarás, hogy a linkek meg mittudommik törhetők v7.02 alatt. Akkor is az egész developer team ráugrott még aznap, aztán talált nagy semmit. Valószínűleg most is kering még a neten, de ezúttal a hackerek nézték be - vagy a verziószámot, vagy a sebezhetőség meglétét (inkább utóbbit, mert nem emlékszek, hogy az érintett fájloknál lett volna az elmúlt x év alatt).
De nem törhetetlen semmi, ez így van. Ha nem az oldalon, akkor ftp-n keresztül, vagy akárhogy meg lehet próbálni bejutni. Legegyszerűbb valamilyen rosszul megírt kiegészítővel rést ütni a pajzson. Valamennyire védve van erre a PHP-Fusion, de azért ez a kiegészítő írók felelőssége. Elérhető egy csomó cikk, hogy mit hogyan. Egy függvénnyel többet kell használni változónként, és kész. Ha erre valaki nem képes, ne írjon kiegészítőt. Légyszi. Minden eszköz adott, kéretik használni. Szerintem nem volt olyan nagyobb verzióváltás, ami nem hozott volna valami újítást a biztonság terén. v8-nál is egy fontos szempont, ahogy mindig is az volt.
És igen, v6 idején volt olyan, hogy volt fusionboard meg ezeregy noname kiegészítő az oldalon. Meg is történt a baj: egyszer csak szembetalálkoztam a jelszó hash-emmel egy másik oldalon (google rulz ). Ez akkor még nagyobb gond volt, mivel akkor még csak szimplán volt hash-elve a jelszó, ergo ha az adatbázisban lévőt bemásoltad a cookie-ba, akkor már bent is voltál. Ez ma már nem működne, ettől függetlenül itt is törekszünk minél kevesebb kiegészítőt használni, ha mégis szükség van rá, akkor sajátot írunk - már ha van idő (nekem momentán nincs, még átnézni sem tudtam a most felkerülteket).
[paranoid] Sőt, mi van akkor, ha nem feledékenységből kerül bele a "biztonsági rés", hanem szándékosan, sőt, adathalász vagy hasonló az a bizonyos más által írt kiegészítő. Na jó, tudtommal ilyenre még nem volt példa PHP-Fusion-nál, ne is legyen.[/paranoid] Az angol oldalon is van már approved addon developer meg hasonlók (nem tudom, hogy van-e olyan, aki a beküldött kiegészítők biztonságát vizsgálja, talán van, de ha mégsincs, akkor is a közösség előbb utóbb megtalálja, és jelenti), próbáljuk minél biztonságosabbá tenni ezt a folyamatot. Arról ezek után meg gondolom nem kell regélnem, hogy mennyi minden kell ahhoz, hogy valaki az alapcsomagot fejleszthesse közvetlenül, felügyelet és miegymás nélkül (azaz SVN hozzáférés etc). [szerénység] Hű de pro vagyok most. [/szerénység]
Amúgy pedig rendszeres biztonsági mentés az adatbázisról és a fájlokról, és akkor az tör be, aki akar, egy kattintás visszaállítani, max a jelszókat kell lecserélni - ja meg megkeresni, hogy hol volt a biztonsági rés.
ui: na azt hiszem ez a téma körbe lett járva, ideje dolgozni is valamit, téma akár zárható is
Üdvözlünk a Hivatalos Magyar nyelvű PHP-Fusion support honlapon.
Belépés
A PHP-Fusion egy nyílt forráskódú tartalom kezelő rendszer (CMS) ami PHP-ben íródott.
Az oldal tartalmát MySQL adatbázisban tárolja, és tartalmaz egy egyszerű, mindenre kiterjedő adminisztrációs rendszert.
Sok beépített funkciót tartalmaz (pl: fórum, szavazás, üzenőfal), és kiegészítőkkel még tovább bővíthető.
A kiegészítők support oldalakról tölthetők le (általában egy ingyenes regisztráció majd bejelentkezés után - ahogyan ezen az oldalon is).
Bejelentkezés
Nem vagy regisztrálva? Regisztrálj!
Ha regisztrálsz az oldalra akkor teljes hozzáférést kapsz az oldal egyéb részeihez. A regisztráció teljesen ingyenes!
Cookie Control - PHP-Fusion - Hungary weboldal néhány funkciója sütiket helyez el a számítógépeden. [A sütik használatáról itt olvashatsz].
Kattints a Sütik engedélyezése gombra, ha elfogadod a sütik használatát.
Hamár az elözö két dologban nem hajlando segitteni senkiakkor azt mondjátok el hogy hogyan tudom ugy telepitteni a 7.01.06 verziot a v7.00.07 verziora ugy hogy a felhasználok ne vesszenek el
[/szerénység] 
