Инфо Уязвимость в JCE Редакторе

Фигня это всё! нет там дыры в JCE, была бы положили бы все жумлы за день, а на следующий обновы бы были.
50% сайтов на джумле неизвестны широкому кругу людей и не представляют интересов для хакеров. У оставшихся 50% лишь у 10% из них установлен JCE, так что не стоит особо переживать. И разрабы слишком увлечены процессом "создания красивой картины", но плохо заботятся о том, из чего сделан "холст и краски".
 
Известны и парсятся ежедневно. Естественно не руками и ломают - цель одна создать ботнет. Но это другая история..
Кроме разрабов миллионное комюнити пользователей. Выложите логи что ломали через JCE, нет дак о чем разговор, о мнимых уязвимостях. Руки если из плеч - то юзайте JCE - никто не ломанет, а заливка с правами админа - это фитча, а не баг.
 
Полностью согласен. Редактор, должен быть редактором, а не универсальной вставлялкой-заменялкой. В результате получился комбайн с кучей уязвимостей и порой трудно понять где именно дыра. По этому считаю, что редактор должен быть простой и удобный, но редактор, а все остальные навороты это дела других плагинов.
Этот редактор расчитан на упрощение работы, чтобы офисному планктону как можно меньше приходилось переучиваться от уже знакомых инструментов работы
Давайте заставьте незнакомого с вебом человека создать статью и накидать туда картинок, если при этом ему еще надо будет попутно установить и обучиться с работой фтп клиента и прочих попутных программ... Он просто скажет - идите вы в жопу со своим сайтом

Если вы разбираетесь в верстке и знаете как заливать файлы по фтп, то можете вообще без редактора работать. Но не нужно за всех говорить, что должен а чего не должен делать редактор
 
Этот редактор расчитан на упрощение работы, чтобы офисному планктону как можно меньше приходилось переучиваться от уже знакомых инструментов работы
Странная у вас логика. Офисный планктон должен занимается своей непосредственной работой в офисе, а не лезть в дебри веб строительства. Пусть пироги печёт пирожник, а сапоги точает сапожник. По этому везде и бардак - все лезут не в свои дела, кругом дилетанты и недоучки. Из-за этого и сайты кругом кривые и косые, работают чёрти как и пишут "вышел ежЫк из туманУ". Подобные программы, как JCE порождают недоучек и поощряют лень и фривольное отношение к делу. А заливать файлы по фтп может любая тупая блондинка, если вы в состоянии ей это объяснить. Ведь как-то в интернет она влезла и с мобильной трубой разобралась. Но не нужно за всех говорить, что все кругом тупые, а JCE избавление от лени и тупости.
 
а наемные контентщики по-вашему тоже обязаны через фтп грузить картинки и разбираться в тонкостях хтмл тегов и верстки?
если и есть такие, то это их плюс. но не обязанность
Подобные программы, как JCE порождают недоучек и поощряют лень и фривольное отношение к делу.
по вашей логике и Delphi с Visual C++ порождают лентяев. пусть все пишут на чистом ассемблере да?

Пусть каждый выбирает то, что ему нужно. Я устал от вашей бесполезной болтовни
 
  • Нравится
Реакции: pvi1
Далеко не каждый хозяин сайта может держать для него веб-мастера. Обычно человека наняли-попросили, он сайт сделал, и расстались, а наполнением сайта занимаются сотрудники предприятия или его хозяин. Им некогда и не нужно вникать в какие-то тонкости, им чем проще, тем лучше. А этот компонент упрощает и ускоряет работу.
 
Недавно столкнулся с проблемой в виде вредоносного кода evan или even... забыл уже. Может кто писал об этом уже, я не вникал - честно. Но решил проблемой своей поделиться. Так как у меня это первый опыт в борьбе с этим вредоносным кодом - я стал читать как от него избавиться, что он из себя представляет. Зашифрованый код практически на всех моих сайтах успел появиться в различных директориях и именно в файлах с расширением .php.
Выглядит вон вот так:

В интернете я конечно нашел решение проблемы автоматизированным способом, в смысле через командную строку, обнаружение кампом и тд... и способ замены кода или его удаление из файлов. Но в некоторых статьях так же писали о случаях что вместе с вредоносным кодом удалялся и код скрипта. По этому я решил старым добрым методом - это поиск тотал, определение уникальности вредоносного кода и замена на всех сайтах (почти 5 гиг) через Dream Weaver. Ну все получилось, все хорошо теперь.
Этот код выполнял спам. Способом сортировки от первого файла нашел уникальный скрипт где как раз писался этот even или eval... не помню точно, удалил и не сохранил к сожалению - где впервые был размещен этот скрипт - он был размещен в одном из сайтов в компоненте JCE Редактора. Не знаю где там уязвимость но это просто мое замечание и вдруг кому может поможет это сообщение.
Добрый день всем.
13 июня 2016 года я обнаружил у себя на сайтах такой вредоносный код и еще другие варианты вредоносного кода, но вот проблема в том, что у меня на одном акаунте хостинга больше 60 сайтов. Большинство сайтов это Wordpress и около 10-ти, - это Joomla. Так вот, после долгого разбирательства было обнаружено, что данный код был записан через один из сайтов написанный на Wordpress, при этом было так-же обнаружено, что разный код был пропихнут через разные плагины Wordpress, а Joomla пострадала уже в последствии работы этого вредоносного кода и была заражена через Wordpress, а не на прямую через сайт Joomla или через отдельный плагин в том числе и не через плагин JCE. Так-что я бы на вашем месте посмотрел еще и в сторону других плагинов, через которые могли залить бекдор, или даже на другие сайты, если они у вас присутствуют в аккаунте хостинга, или могло быть и такое, что параметры безопасности хостинга могли обеспечить заливку бекдора с других сайтов других акаунтов. Сколько работаю с JCE, если вовремя обновлять, проблем с безопасностью на много меньше, чем с другими плагинами и редакторами.
 
Подскажите статью или еще какой либо источник как правильно настроить редактор?
 
Да не гоните. JCE ставил, ставлю и буду ставить! Удобно, быстро! То что код может генерировать не совсем чистый - окупается удобством. Особенно, если редактировать материалы приходится юзерам. А если хотеть чистый код и забивать на удобство , так можно и до Ассемблера дотрахаться )

Подскажите статью или еще какой либо источник как правильно настроить редактор?
Так а что именно настроить то надо ? Там много чего настроить можно.
 
Последнее редактирование модератором:
Подскажите статью или еще какой либо источник как правильно настроить редактор?
основное правило администрирования: дать пользователю только те права, которые ему нужны. все остальное отключайте
 
Назад
Сверху