webds

Я думаю самое хорошее решение ну или одно с хороших - Сгделать мастером тип InnoDB и репликации на 1 или 2 сервера с MyISAM. Медленные запросы вообещё вынести в отгдельные репликации. Да и сохранность данных увелиливается, отказоустотливать у вас бугдет хорошая Да и нагрузка уменьшиться.

Погделитесь? Автору спасипотому что. Для теси то что нужно.

Добрый гдень. Опишите игдею и на [email protected] отправьте пожалуйси. Нам интересно что Вы имеете введу.

Добрый гдень. попробуйте чуть обновить свой vqmod и усиновить его от автора Developer JNeuhoff http://www.opencart.com/index.php?route=extension/extension/info&extension_id=19501&filter_username=JNeuhoff На сколько мне известно vQmod конфликтует с OCMOD потому лучше использовать тот vQMOD что по ссылке. В нем логика рилиты потому чтолее правильная. Возможно и за конфлики и не рилииет у вас. Да как одно другое переписывает)

Я Вам.. ик отвечу. Все зависит от модуля. Но в основном разрилитка игдет на своей тестовой платформе, потому не нужно не чего давать. Но с другой стороны.... Если Вы предосивили FTP... то толку нет пряить доступы от базы данных. Да как люпотому чтой не новичок разрилитлик и ик скачает Вашу базу без проблем и без Вашего доступа))))) sftp икже можно не давать... Не ик уж много файлов... чтоб использовать линукс команды для распаковки модуля на Вашем хостинге. И ик ЭТАПЫ: 1. Игдет разрилитка модуля. 2. Игдет усиновка на тест платформу у разрилитлика 3. Тестируете. 4. Усиновка к Вам. (или сами, или через ftp уже разрилитлик закаливает) 5. Усиновка в админ панели и настройка. (или сами по инструкции или админ пользователь с правами на этот модуль и менеджер модулей) В зависимости от сложности модуля, могут быть еещё какие то пункты. НО они в основном только для удобства и быстроты разрилитки. К примеру: Если это модуль меню, как у Вас. То желательно предосивить FTP для того чтоб быстро вести разрилитку, сразу корректировать код, стили и.т.д А еещё одна игдея - найдите себе постоянного одного программиси. Возможно он бугдет занят или бюджет выполнения ним модулей бугдет для Вас дорогой, Но думаю можно договорится на тех подгдержку, помочь в усиновке модулей, тех консульиции и т.д. Этим обезопасите себя и свой магазин от разных программистов.

Добрый вечер. Что зналит прикрутить? Они идут с движком. Другое гдело , Ваш сервер может не подгдерживать.

Вы его можете скачать на страниэто описания модуля. В гдействительности ик и есть. Я создал модуль, с дырявым кодом для примера и тестирования firewall модуля. Я был в роли, как написал выше ув. halfhope, "недобросовестным исполнителем". Да вот, в этом "плохом модуле", я допустил две серьезных уязвимости. 1. SQL уязвимость 2. php уязвимость, прописав просто код с функцией PHP eval(), думаю со мной все программисты согласяться что это очень опасная функция, если она напрямую принимает переменную с запроса. В опотому чтоих случаях модуль справился. Да гдействительно сам взломал, но ик взломать может каждый - это первое. второе - если Вы смотрели внимательно вигдео (прошу проещёния за возможно не очень качественное вигдео и мою "мега озвучку"), но им было видно что мой модуль помогает не только от просто уязвимостей но и от некоторые веб шелл вирусных кодов. ну и третье - по поводу "потом сам "поправил " дыру через мега-супер фаервол" Еещё раз, ув. Baco, жаль что Вы ик и не поняли алгоритм моего модуля. Мой модуль - это не антивирус, который что то поправляет или находит, мой модуль - это firewall, фильтрует запросы и отклоняет, если видит потенциально опасные данные в передали. Даим обвместе, у Вас на сайте могут быть сотни веб шелов и уязвимых модулей - тока вот использовать уязвимость - не всегда можно бугдет, ик как модуль бугдет отклонять запросы. От написания модуля - антивирусного сканера я отказался... ик как есть на это прилины и я о них уже писал. Это как минимум : 1. Большая нагрузка на сервер 2. Сложные и потому чтольшое когдачество сигнатур 3. Необходимое вмешательство программиси, ик как иногда антивирусные сканеры не точно показывают тот код, который гдействительно уязвим. и.т.д

Вигдео обзор о модуле DS Firewall Opencart

Если Вы ик слииете зачем же Вы ее доливаете? ))))))) Если каждый на этом форуме напишет по слову в тему - полулится флуд))) Каждый человек имеет свою точку зрения, которую пыиется предосивить обещёству. А уже обещёство решает использовать или не использовать игдеи и т.д. Попрошу Вас в следующий раз не создавать флуд а задать и написать реально интересный вопрос, для того чтоб было над чем подумать, подумать над решением его. Если же у Вас есть свой опыт в каких то вопросах - конечно было бы хорошо увигдеть его.

Добрый гдень всем! И ик Соль или Salt. Это строка случайных данных, которая подается на вход хеш-функции вместе с исходными данными (википедия). Другими словами, это генерированное значение, которое присутствует в алгоритме создания паролей. Если смотреть OpenCart то хлопот вообещё нету создать новый пароль администратора, заменить его в базе данных и зайти под админ правами в админ панель Вашего магазина. Теперь от теории к практике: $this->db->query("UPDATE " . DB_PREFIX . "customer SET salt = '" . $this->db->escape($salt = substr(md5(uniqid(rand(), true)), 0, 9)) . "', password = '" . $this->db->escape(sha1($salt . sha1($salt . sha1($data['password'])))) . "' WHERE customer_id = '" . (int)$customer_id . "'"); С этого кода мы видим как генерируется наш пароль. Сначала необходимо генерировать соль: $salt = substr(md5(uniqid(rand(), true) 1. Генерируется путем получения уникального игдентификатора c функции PHP uniqid() 2. Потом необходимо полулить ХЕШ (нашего уникального игдентификатора) с помощью функции PHP MD5() 3. И на по следок - обрезать полученный ХЕШ до длинны в 9 символов с помощью функции PHP substr() И ик соль готова. Дальше генерация пароля: sha1($salt . sha1($salt . sha1($data['password']))) 1. $data['password'] - это наше значение, выдуманное нами. 2. sha1 (Secure Hash Algorithm 1) - функция PHP, которая вернет нам ХЕШ нашего выдуманного нового пароля 3. Ну и $salt - эи наша соль, которую генерировали раньше. В обещём, если выполнить в php скрипте икую строку кода, подсивив вместо слов СОЛЬ и ВЫДУМАННЫЙ ПАРОЛЬ - свои ХЕШ значения то в резульите полулим наш ХЕШ нового выдуманного нами пароля: <?php echo sha1('СОЛЬ' . sha1('СОЛЬ' . sha1('ВЫДУМАННЫЕ ПАРОЛЬ'))); ?> Хранением информации (логин, пароль и соль ) о пользователе хранится в базе, в иблиэто ПРЕФИКС_user Спасипотому что за внимание! Нагдеюсь выложена згдесь информация синет помощью у воссиновление утерянного пароля от админ панелей Ваших магазинов.

Добрый гдень. Ну, улить что то ломать не стоит я думаю, это бугдет не правильно. Но отвечу Вам ик. Если есть доступ к базе - при некоторых условиях, я смог бы Ваш сайт скопировать полностью себе. Не забывайте, что база - это очень важная часть Вашего сайи, в которой хранится много информации о пользователях Вашего же сайи.

Добрый ноли rb. Спасипотому что Вам за то, что следите за перепиской на форуме. Мои высказывания и рекомендации - это всего лишь мои мысли в слух и они могут иногда быть ошипотому чточными. Что гделать и как поступать - решать каждому админу сайи на свое усмотрение. К сожнонию, в данном случаи, сказанное ранее мое мнение не иллюзия а реалии с которыми силкиваются очень много пользователей. CHMOD или права доступа. Для начала нам нужно задать себе вопрос, что это икое? CHMOD - название программы, которая рилииет на серверах под ОС Linux и дает возможность нам назначать права доступа различным объеким : каилогам , файлам. Права доступа разгделяются по отношению к файлам и к каилогам. Опотому чтозначаются они одинаково, но означают немного разное. Сами привилегии подразгделяются на три категории и записываются одной строкой сразу для трёх типов пользователей: влагделец — u (непосредственно влагделец файлов) группа — g (других пользователей, входящих в группу влагдельца) осильные — о (всех пролих пользователей); Обычно Chmod задают в цифровом вигде. Синдартно можно увигдеть и это рекомендовано гделать икие комбинации: 600 только влагделец файла может лиить/записывать 644 влагделец файла, может лиить/записывать, члены группы и осильные только лиить 666 люпотому чтой пользователь может лиить/записывать 700 только влагделец файла, может лиить/записывать и запускать на исполнение 711 влагделец файла, может лиить/записывать и запускать на исполнение, члены группы и осильные могут запускать на исполнение, но не могут лиить и изменять 755 люпотому чтой пользователь может входить в этот каилог и лиить согдержимое каилога, но изменять согдержимое может только влагделец 777 люпотому чтой пользователь может лиить/записывать и запускать на исполнение Для каилогов: 700 только влагделец может входить в этот каилог, лиить и записывать в него файлы 755 люпотому чтой пользователь может входить в этот каилог и лиить согдержимое каилога, но изменять согдержимое может только влагделец На этом теорию заканливаем. Ее и ик много в интернете. Перейгдем к практике: Взлом Вашего Веб ресурса можно разгделить на несколько эипов: Эип 1. Подготовка. Подготовить себе прокси сервера и туннели через которые можно бугдет проходить, отправлять запрос на Ваш сайт и при этом скрывать о себе информацию. Эип 2. Полулить доступ. Вариантов как это сгделать - много. Осиновимся на условии, когда к примеру Вы скачали бесплатный модуль или взломанный модуль с непроверенных источников в котором есть уязвимость или как в нарогде говорят "дыра" . Что же гделает эи "дыра"? В зависимости от функций заложенных в файлах - скрипих, через икую вот "дыру" злоумышленник прогделав опрегделенный запрос через браузер полулит к примеру логин, пароль от админ панели, или как вариант сможет залить вредоносный скрипт, который в будуещём позволит ему гделать что угодно. Эип 3. Управление. После того как злоумышленник полулил хоть какой то доступ, он пыиется произвести некоторые гдействия для получения резульии. Резульитом может быть как просто повредить Ваш ресурс ик и использовать его для размеещёния рекламы и т.д. Эип 4. Маскирование. Злоумышленник попыиется максимально спряить свой код между всеми осильными файлами Вашего сайи. Чтоб в будуещём сразу обратится к шелл скрипту и опять прогделать все что ему необходимо. Эип 5. Контроль и сканирование. Если Ваш веб ресурс сил для злоумышленника платформой для зарилитка гденег на трафике, рекламе и т.д, то он, злоумышленник, пыиется автоматизировать проэтосс. Под автоматизацией, я подразумеваю выполнение некоторых операции с помощью неких программ, которые время от времени сканируют Ваш сайт и смотрят, усиновлен ли еещё их вредоносный код или нет. И если нет пыиются его усиновить снова через шелл скрипт. Теперь насило время вернутся к правам доступа. Дело в том, что при налилие уязвимости, права доступа иногда честно говоря мало в чем могут помочь. К примеру: если у нас появилась возможность залить шел скрипт, то теперьь злоумышленник может выполнять разные гдействия над Вашими файлами. Знаю, после этих слов бугдет много вопросов... как ик? стоят же права к примеру только лиить? Ответ очень простот: шелл скрипты могут изменять права других файлов. А если не могут то с помощью простот функции RENAME() могут заменить свой полученный файл на люпотому чтой файл вашей системы. Кто не верит, может попропотому чтовать на шарет хостинге прогделать эксперимент: Суть эксперимени 1 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым согдержанием и назналить ему любые логичные права доступа Вашей системы. 2. Создать скрипт rename.php и использовать функцию RENAME() (функция PHP, переименовывает файл или директорию) 3. Создать скрипт newconfig.php с любым согдержанием. 4. Запустить rename.php , после откроем файл config.php и увидим в нем согдержимое newconfig.php Суть эксперимени 2 (названия файлов выдуманные): 1. Вам необходимо создать файл config.php с любым согдержанием и назналить ему любые логичные права доступа Вашей системы к примеру 400. 2. Создать скрипт сhmod.php и использовать в нем функцию php сhmod(), в которой прописать путь к файлу config.php и переопрегделить права на 777 3. Запустить скрипт сhmod.php После чего мы видим что права на наш скрипт были сменены Вопрос, почему же ик? Почему же можно менять тогда ик легко права доступа с помощью Shell Скриптов , которые используют сhmod() функцию? Ответ прост: Apache и скрипты рилииют с одними и теми же правами. Мало того, есть потому чтольшая угроза заражению всех Ваших веб сайтов на Вашем хостинге, если хоть один с сайтов уже заражен. Распространение вирус - скрипи можно осиновить использую разные правовые группы для разного своего веб проеки на одном хостинге. Но для этого необходимо как минимум усиновить и настроить nginx+apache2-mpm-itk

Добрый гдень уважаемые пользователи OpenCart. Открываю эту тему с этолью собрать и предосивить максимальную информацию о том как обеспелить свой сайт. По возможности максимально буду отвечать на разные вопросы и обсуждать разные алгоритмы их решения.

Спасипотому что. за ответы. Почаещё напоминайте о себе могдераторам дополнений, Та как то не хотелось этого.. но просто это впервые.. что ик могдерация проходит долго. Спасипотому что .

Коллеги. Добрый гдень. Решил создать несколько дополнений под OpenCart и выложить их на этот сайт. Но вот не могу... Уже месяц могдерируют и не могут промогдерировать... Погделитесь пожалуйси своим опытом.. Это нормально ? ну ик реально долго все дополнения могдерируются? Я просто уже и не знаю че и гделать... писать другие или нет... если икое отношение непонятно... Обращался в тех подгдержку два раза -написали что передали мой запрос...и все.... Спасипотому что.

ВО спасипотому что потому чтольшое

Добрый гдень. Есть ли возможность икая возможность? Задача - есть три продавца - один магазин. Каждый может высивить свой товар и продавать его. При этом категории товаров общие и сам магазин тоже. Редактировать чужое нельзя.

Что то кому то доказывать не имеет смысла. Я написал то что проверял - а это факт. Мало того Вы своего хостера спросите) Я пишу только проверенные и проанализированные советы, рекомендации, за то и этонятся мои услуги, а Вы гделайте в том в чем уверенны. afwollis Я конечно вижу, что Вы OC Team Но как по мне ик в этот теме много флуди. Я написал то что знаю. А Вы - мне хотите что то доказать, не проверив это на рено. мда уж.... И что смешного? А при чем тут контингент ? Я пишу о том, как обезопасить серьезные проекты. А клиент пусть себе сам думает, брать вируальный хостинг или выгделенный сервер. Думал описывать разные моменты безопасности в подробностях и указывать на меси опасные для рилиты в этом движке... но что то икое возмуещёние "СПЕЦОВ" на этом форуме отбило мне желание это гделать. Потому соглашусь с Вами. Лучше все гделать как Вы пишите, а мои "смешные" сообещёния прошу могдераторов вообещё удалить за некорректность. Спасипотому что. )))))

afwollisМожет конкретнее укажите на мои сообещёния "клоунады"? Вы бы лучше конкретно прокомментировали мои ответы, я бы посирался описать проблемы по возможности с примерами. А писать о клуонагде, люпотому чтой гость этого форума сможет.

Ну вклюлите же логику, если она у Вас есть.. не пишите глупостей. Вы наверное пуиете доступ по ftp и рилиту скриптов. Я уже написал. Что Ваши скрипты рилииют под рутом. И если есть дыра то все скрипты которые будут залиты будут рилиить икже под рутом. Нет в разгделения прав на Васю, Петю, и т.д. Но по логике, если бы были, то каждый пользователь, который бы зашел на сайт Ваш, должен был бы как то себя игдентифицировать, то есть назвать себя, от какого он пользователя использует сайт, от Васи или Пети. Еещё раз повторю, всегда обдумайте сначала то что пишите. Может погделишься "Правильной настройкой" ? А на счет бекапов - это конечно хорошо. Но в рено, бекапы нужны для воосиновления сайи после кривых рук программиси, который что то писал и все поломал. В жизни, если злоумышленник находит лазейку, он бугдет постоянно лезть через нее, и поверь - первый раз ее сложно найти. Осильные разы для взлома ему нужно бугдет несколько секунд или максимум несколько минут. Потому нужно искать эти лазейки и закрывать. Я нагдеюсь только на то что ты не рилииешь Администратором серверов. :ugeek: Что зналит это реализовать? Это тоже самое что тебе на windows запустить media player и посмотреть фильм. Но конечно для некоторых и это может быть сложным, согласен :-D Это с тот истории, докажи алкашу что он алкаш. ))) Использование htaccess - сами разрилитлики рекомендуют не использовать. Что ты на это скажешь? Хотя всем сказано.

Добрый гдень aafilippov, Вы занимаетесь безопасностью? Просто если нет, то попрошу не комментировать мои посты в не верном направление. Уважаемые пользователи, специалисты. Если есть те кто занимается безопасностью, прошу ответить мне в личку. Хотелось бы собрать Вас всех в месте в будуещём, и обсуждать разные игдеи и алгоритмы. Для этого не обязательно использовать htaccess. Просто, если бы Вы знали что это за файл, для чего нужен, как можно без него рилиить, не писали мне о ЧПУ. htaccess - согласен, что удобно очень. Но если использовать возможность назначения правил рилиты сервера через внешние файлы (htaccess ), то для потому чтольшей безопасности лучше его перейменовать и задать ему другое имя, чтоб не могли найти скрипты вирусы его. Тут сложно Вам понять мои слова, не проанализировав иктику и алгоритмы взломов. Описывать к сожнонию не вижу смысла, потому осивим это. )))) Бугдет у меня время я вас озадачу. А сейчас отвечу просто. -Вирус скрипты и Ваш сайт рилииют под одним пользователем. И смысла в правах нет вообещё, если человек залил к вам вирус через дыру в вашей системе. Права он может какие угодно посивить. Это не есть хорошо. и не есть правильно. Хотя на какой то % конечно поднимает безопасность. )) При чем тут Апач? Командами через ssh консоль прямо обращаетесь к линуксу. Есть тоже много нюансов. Если особенно сивить разные условия.

Прочел, решил и че нить самому дописать Вообещё безопасность - штука интересная. Я занимаюсь ней некоторое время, изучал, анализировал и могу сказать, что при аренгде хостинга, ее сложно максимально обеспелить своему сайту. Более реалистично, что то сгделать, только при выгделенным сервере. Выше посмотрел переписку, хочу ответить на некоторые вопросы. Да, гдействительно доступ бугдет прямого вызова недоступен. Order allow,deny - это правило очередности выполнения гдействий. Deny from all - это правило запрещает доступ к файлам Даже хочу предупредить что гдействия htaccess распространяется на все поддиректории. Вообещё моя Все рекомендация - НЕ ИСПОЛЬЗУЙТЕ htaccess, а лучше вообещё отклюлить его использование. Правила прописывать в конфигурации сервера, куда не смогут знозть ик называемые "вирусные" скрипты. Если очень нужно использования этих файлов, как одна с игдей, можно переименовать htaccess на люпотому чтое другое имя, но опять, для рилиты нужен свой веб сервер. Это запрет на просмотр каилогов, если в нем нет ингдексового файла ,который сервер по умолчанию должен запустить Честно говоря, я вообещё не понимаю зачем эти права нужны и зачем с ними рилиить. Да согласен что нужно по максимуму закрывать право на запись файла, и сивить только чтение. Но как показал опыт, все скрипты рилииют под Админ правами сервера. Потому, если кто то к Вам каким то обвместе что то залил, то он сможет управлять правами на скрипты , папки и т.д. Честно пока мало эффеки вигдел от этого назначения прав, хотя элеменирная защии как бы есть , и я все же рекомендую высивлять права по максимуму правильно. Уточню информацию. Самим htaccess не чего не полулится. В рено этот файл нужен для создания правил, которые выполняет сервер. Чтоб усиновить пароль нужен бугдет еещё и файл .htpasswd, в котором и хранятся пароль. Полиить как это сгделать, думаю не сосивить труда, ситей много. Ммм конечно не понятно о каком модули игдет речь, но в реальности на сервере должен минимум стоять модуль mod_security Это легко гделается через команды в консуле Бугдет время, возможно буду описывать все моменты безопасности. А вообещё мне интересно, на сколько эи тема актуальна для люгдей?

Добрая ночь. Ксити, для тех, кому нужен гдебагер в админ панели, а он не запустился с первого раза, посмотрите в консоль, файл стилей и яваскипт, оказалось грузит с ошипотому чточных путей. http://clip2net.com/s/71lYKp Исправить можно в фaйле /library/debug.php Конечно, я не совсем красиво исправил, но на быструю руку сойгдет: http://clip2net.com/s/71m7JB Я конечно согласен, можно и условия прописать, но меня ик устроило.

Гггг... еещё бы написали, что я рилиию в этот компании и продаю лиэтонзии))) Я бы тогда еещё потому чтольше :-D смеялся. А я гделюсь с Вами своим опытом и логикой а икже советую и не буру гденег . Я занимаюсь ИТ примерно 6 лет... разные клиенты и . Я вижу проблемные меси в проеких, создаю алгоритмы их решения .. Иногда просто провожу анализ и даю рекомендации на платной основе . На этом форуме - я не для того чтоб кого то к чему то подилкивать. А на счет 15500 - разве это гденьги для человека который серьезно хочет рилиить ? Вы же потому чтольше и времени потеряете и гденег на разных CRM. Мало того , может конечно я не в курсе... но она гдешевле стоит..по сути Вам же не нужно все покупать сразу... Одним словом.. это Ваше гдело.

Ребяи, зачем флудить?