Система управления сайтом "Фасайт"
 

Пишу новую CMS. Оф. сайт http://fasite.ru

Прошу ваших содействий в нахождении допущенных мной просчетов в защите моего продукта. Архив с исходным кодом:
http://fasite.ru/temp/test.zip

Инсталлятор пока еще не делал, инструкция по установке внутри архива. В настоящее время отлажены и работают:
Регистрация первого администратора с возможностью одновременной регистрации первого пользователя с теми же параметрами;
Авторизация администратора;
Авторизация пользователя;
Настройки системы в админке;
Управление модулями в админке;
Система шаблонизации.

Если возникнут трудности с установкой, пишите :)

Вообще-то демо-контент бы не помешал.
рубрики, новости, поля поиска, комментариев

смотреть пока почти нечего, имхо

http://fasite.ru/images/misc/
зачем там такие права?

именно на оф. сайте, да пока неначто... тему разрешили, теперь сегодня или завтра выложу архив с текущим исходным кодом, сможете ковырять его в свое удовольствие ;)
lisa99, вот видите, уже косячок нашли))) спасибо! забыл я туда пустой файлик index.html засунуть)))

лучше .htaccess'om доступ к папкам прикрой ;)

http://fasite.ru/user/login - XSS в aname.

З.Ы.
Передача нехешированного пароля - плохо.

имеет ли смысл для категорий с картинками? =)
XSS прикрыто! :)

можно подробнее про методы передачи хешированного пароля? с чем это едят?

имело в виду, что пароль надо шифровать хотя бы в md5

так при сохранении в базу именно это и происходит =)

ЗЫ
добавил ссылку на исходник в первом сообщении темы

имелось в виду, что при передаче пароля в плеин-тексте от пользователя к серверу его могут отснифать

понятно! ну и как с этим бороться? как захешировать его до передачи серверу? JAVA? в жабаскрипте я не силен (

{%MNAVI%} зачем это?

http://fasite.ru/ajax/global_func.js
http://fasite.ru/ajax/tool_box.js
просмотр скриптов. хотя хз что это может дать.

метка вывода блока для системы шаблонизации. самого блока пока нет, вот и светится)
ничего не может дать) жабаскрипты в любом случае закачиваются клиенту и всегда доступны для просмотра.

http://pajhome.org.uk/crypt/md5/md5src.html

что-то не то =\
продублируй, плз куда-нибудь архив.
Уж очень интересно...

Скачай тот-же vBulletin и забери оттуда md5.js посмотри в файлах которые его подгружают, как использовать. Там всё элементарно.

Qwazar, спасибо!

А что изменится от того, что перехвачен будет не plain-text пасс, а его хеш? Точно так же залогиниться можно будет. )

Add: А с другой стороны, если хранить, допустим, в базе пассы в виде md5-хеша, то можно генерировать при каждой попытке логина случайую соль и втавлять в хидден-поле страницы авторизации, а на стороне клиента генерировать хеш вида md5(md5(pass).salt)). Потом проверять на сервере...

Digimortal, разница в том, что в случае перехвата шифрованного пароля, данные для авторизации придется отсылать уже не через не через сайт, а при помощи какого либо инструмента методом POST. а с "солью" это дело можно усложнить прибегнув к помощи переменных сессии, как при проверке секретного кода к примеру... :)

Отличные мысли генерите, спасибо! :)

>> разница в том, что в случае перехвата шифрованного пароля, данные для авторизации придется отсылать уже не через не через сайт, а при помощи какого либо инструмента методом POST.

Т.е. можно считать, что разницы, в целом, никакой. +)

Да, и учти, что более-менее безопасным будет предложенное мною решение, только если сессия юзера будет привязана к его ip.

сижу делаю регистрацию новых пользователей... вот думаю, имеет ли смысл приделывать список запрещенных e-mail адресов?

А нафига?

В принципе оправданная идея, учитывая, что существуют сервисы типа asdasd.ru, mailinator.com, которые предназначены для моментального получения активационных ссылок при регистрации (все письма складываются в общую кучу, а пользователи сервиса открывают лишь интересующие их письма)

ну к примеру, запретить пользователю указывать ящик admin@yandex.ru
или запретить все ящики с домена mail.ru
вот сижу и думаю, нафига? паранойа %)

ну и что, это их дело... к примеру:
я в курсе, что на сайте обязательная рассылка, а мне ну просто необходимо зарегистрироваться для получения нужных файлов! ввожу свой ящик с mailinator.com, а он забананен... регистрирую ящик на "яше", ввожу его, регистрируюсь и забиваю на этот ящик :)

список запрещенных ников я сделал, вещь полезная! а вот запрещенные e-mail, да нахрен не нужно :D

мда... в таком случае можно вообще убрать поле email при регистрации, зачем пользователям осложнять жизнь?

без крайностей - ящик нужен! а список запрещенных ящиков не нужен, не имеет смысла...

а по поводу упрощения жизни пользователям, я делаю дополнительную функцию быстрой регистрации "в один клик"! логин и пароль генерится автоматом и сразу происходит автологин. все остальные данные, в том числе и е-мейл, юзверь сможет указать потом :)

Улыбнуло)

Blagotvor, потом все свои сайты переведешь на эту cms или на слаеде останешься? :)

просто зарезервировано местечко :)
конечно переведу, но не все))

ЗЫ
архивчик с исходником обновлен!
Добавлены фукнции администрирования блоков в панели администратора.
Отлажена система вывода содержимого блоков на страницах сайта.
Добавлены функции регистрации новых пользователей.

какая-то фигня по адресу админки...
http://fasite.ru/admin

UPD:Ну лан, пусть не админка, но все равно варнинги и раскрытие путей.

а кто сказал, что это адрес админки? )))) но мусор почистить надо, согласен

архивчик с исходниками обновлен:
оптимизированы функции протокола;
отлажена функция проверки имени пользователя при регистрации;
усилены меры безопасности записи сессий посетителей.

если в исходниках есть какие либо тупые решения или дыры, хочу знать их заранее :)

еще раз оптимизировал архитектуру протокла;
прикрутил капчу!

теперь кто сможет зарегаться ботом 9.95 раза, тому ничего не будет! :D

обновил архивчик с исходниками еще разок

другие модули планируются?
кроме регистрации и новостей?
(я имею ввиду - в паблике)

в базовый комплект будут входить несколько необходимых модулей, примерно таких как Новости, Страницы, Опросы, Файлы и Портал

ЗЫ
модуль user(авторизация и регистрации) является системным
модуль portal будет нечто большее, чем обычный форум

Имхо, не нужная вешь, нафиг узеру нуна знать за сколько и чего, это же не брутер какой то, пережытки прошлого,
лутчше на этом месте - добавить баннер, или рекламу, и в админке сделать соответсвуюший модуль для его добавления и изменения.
Имхо не плоха было бы использовать опережаюший ввод, туже форму я заполняю, нету валидации данных без отсылки на сервер.

эта строка мне нужна, пока пишу этот двиг во всяком случае... к примеру, эта строка полезна в отслеживании лагов провайдеров - если сайт тормозит, но время генерации в норме, значит лагает не хостинг ))) и вообще, эта строка отключается опционально в настройках системы!
по поводу "модулей для бананеров", вы бы лучше скачали архивчик и поковыряли код прежде, чем советовать что и куда воткнуть. для банеров и прочих мелочей предусмотрены четыре вида блоков, которые можно разместить в любом месте сайта! это позволяет сделать удобная система шаблонизации. а модули предназначены для вывода основного содержимого.
мелочь не первой необходимости! можно будет потом сделать... я еще не добрался до организации AJAX-ной системы)

ММ, улыбнуло
Чесно скажу не ковырялся, по тому как таких проектов я видел 100, если не 1000, и я этим тоже страдал, 1,5-2 года назад, ну че это пройдет, просто дал совет вот и все.

разница именно в том, что я не страдаю... я делаю! :)

ЗЫ
организовал систему ajax и прикрутил предварительную проверку вводимых данных.

раскрытие пути
http://fasite.ru/user/http: