Воскресенье, 17 августа 2014 00:00

О многочисленных уязвимостях Joomla, Drupal и WordPress, а также о супер-верстальщике Антоне Фадееве

Оцените материал
(0 голосов)

Joomla ругают не часто, а - очень часто.

Dev banner 2

 Мне даже начинает казаться, что неким признаком "хорошего" в кавычках тона, в кругу людей, имеющих весьма отдаленное представление о предмете разговора, но тщащихся выглядеть иначе... безотказным средством служит ряд резких критических замечаний в адрес этой молодой, амбициозной, активно развивающейся cms. Вроде бы со стороны это выглядит, будто ты и огонь, и воду, и медные трубы программирования прошел, ну и выстрадал, бедолага, в огне пожарищ вот такой вот безрадостный взгляд на вещи. Не правда ли? - глядишь, и профит какой получишь; в глазах собеседника, впервые услышавшего позаимствованное из языка суахили слово Joomla - звучит оно ни дать ни взять магическим заклинанием, почти что в духе легендарного кастанедовского дона Хуана, ну а негативный отзыв все повидавшего (разумеется!) крутого программера автоматически приравнивает последнего к категории полубогов; или на крайняк - удачливых алхимиков, коим удалось наконец получить из тривиального свинца - золото.

Супер кодер Антон Фадеев

Но недавние события показали, что возможно и иное развитие событий, вполне реализуема и иная их подоплека. Получаю я, попросту говоря, письмо от руководительницы одного из петербургских интернет-агентств, содержащее следующие строчки...

 

Здравствуйте, Алексей!
Я все переживаю по поводу Джумлы.
Помните, я говорила, что наш верстальщик не очень ее жалует?
Вот его комментарий: в ней постоянно во всех версиях, даже в новых, находятся уязвимости, которые позволяют злоумышленникам загружать вредоносный код на сайты под джумлой. Среди бесплатных она одна из самых частозаражаемых.

 

Предистория такова; речь идет о небольшом web-проекте, разработку которого в недалеком прошлом реализовал автор этих строк. В качестве движка мной было предложено на выбор несколько различных cms, и в частности Joomla; в силу ряда обстоятельств именно Joomla представлялась руководителю проекта оптимальным выбором, но ее смущало... мнение верстальщика. Среди аргументов последнего превалировали три тезиса: "Joomla не поддерживает HTML5", "Joomla кишит уязвимостями", "Joomla легко взломать".

Первый из аргументов мы с вами вообще пропустим мимо ушей; аллах его ведает, что там высокомудрый верстальщик (помните гениального слесаря из "Двенадцати стульев"?) имел в виду. А вот на втором остановимся и чуть-чуть в нем разберемся, ок? - именно чуть-чуть, совсем немного; тема такова, что предопределяет, скорее, некую литературную юмореску или фельетон, но никак не серьезное исследование. Также оставим в стороне следующее непреложное обстоятельство: если верстальщика столь глобально озаботили не проблемы верстки, а проблемы безопасности web-ресурса - это означает, что мир рухнул, и не работают законы ни Эйнштейна, ни даже Ньютона... ну и перво-наперво откроем хотя бы пару web-страничек, содержащих в своем url словечко security; для начала это будет сайт проекта Drupal.

На момент написания статьи я насчитал за последние полтора года семь security-релизов, перекрывающих те или иные уязвимости движка. Скажем, январскому патчу - SA-CORE-2014-001 - Drupal core - Multiple vulnerabilities присвоен статус Security risk: Highly critical, июльскому - SA-CORE-2014-003 - Drupal core - Multiple vulnerabilities - статус Security risk: Critical, etc.
Аналогичная картинка отображается и на web-страничке проекта WordPress: только за 2014 год уже прошло два security-релиза WordPress: 3.8.2 и 3.9.2.

Что означает данная статистика? - возможно, и Drupal и WordPress также изобилуют проблемами безопасности, перманентно подвержены попыткам взлома, не уступая в этом Joomla? - хм, думаю все же, дело в другом. А именно - в том, что ареал распространения всех трех названных движков, без преувеличения - all the world. В отличие от той или иной самописки или даже пресловутого 1С-Битрикса... огромное количество энтузиастов ежедневно тестят, проверяют на прочность, анализируют код, что представляет резкий контраст с той или иной самоделкой, на которой сделаны, как правило... всего лишь десяток web-проектов очередного гениального вебмастера-самоучки. Иными словами - отличие здесь обусловлено, целиком и полностью, только интенсивностью и тщательностью тестирования; любая самопальная cms остается неуязвимой и невзломанной лишь до тех пор, пока... да, вы угадали: пока какой-либо юный хакер-пятиклашка не вздумает попробовать таковую взломать. Помните анекдот "про неуловимого Джо"?

Пожалеть здесь стоит лишь о том, что профессиональный уровень юного хакера-пятиклашки все чаще и чаще свойственен сегодня, по моим наблюдениям, штатным и вполне себе взрослым сотрудникам вполне себе респектабельных фирм и кампаний; в обиходе эти люди с гордостью именуют себя "кодерами", "программистами", "верстальщиками"... в контексте проектной работы я встречаю таких, без преувеличения, весьма нередко. Совсем недавно, к слову, мне позвонил представитель одного весьма неплохо раскрученного петербургского бренда, и предложил организовать синхронизацию интернет-магазина с 1С посредством SOAP-сервера... в ходе дальнейшего разговора выяснилось, что в штате предприятия имеют место быть два профильных специалиста: программист php и программист 1С. На мой недоуменный вопрос - "а что, сами они не могут??" - последовал невеселый ответ: "ну вот не могут, и чего тут делать - не знаем"... Без комментариев.

-----

Эпилог. Собственно, разгадка предсказаний гениального провидца-верстальщика объяснилась весьма вскоре: невзирая на них, руководитель проекта принял решение все же в пользу связки Joomla + kunena, вот тут и выяснилось, что верстать данный алхимик умеет лишь в статичный HTML, и то с грехом пополам. Отсюда и нелюбовь к Joomla... да и к иным cms. Пустая его болтовня, попытки манипулировать мнением администрации предприятия обошлась нам в месяц рабочего простоя и срыв сроков, пришлось отстранить его от проекта и привлечь к работе иного верстальщика... одним словом, если попадется вам на пути некий супер-кодер Антон Фадеев (по ссылке - его linkedin-профиль), прежде чем пригласить в тот или иной проект - очень рекомендую проверить, насколько далеко простираются его профессиональные познания... а еще лучше - не связывайтесь; впустую потратите время и нервы.

Последнее изменениеВоскресенье, 14 сентября 2014 14:45

Оставить комментарий

Добавьте ваш комментарий

Linux для вас. Аутсорсинг и консультации

Линукс для вас. Аутсорсинг и консультации.

SEO-оптимизация. SEO-услуги

В блоге

Комментарии в блоге

Заказать сайт

Веб-разработка. Заказать сайт

Вы можете заказать сайт-визитку, блог, корпоративный сайт, интернет-магазин или коммерческий web-портал.