Коммерческие движки гарантируют безопасность?

Тема в разделе "Мегафлуд", создана пользователем newbigmir, 4 янв 2009.

Статус темы:
Закрыта.
  1. newbigmir

    newbigmir

    Регистр.:
    31 июл 2007
    Сообщения:
    283
    Симпатии:
    23
    Коммерческие движки гарантируют безопасность?

    CMS которые идут под GNU лицензией ничего не гарантируют.

    А что написано в лицензиях комерческих движков типа Bitrix EE и т.д. дают ли они гарантию на то что никто не взламает их движок?

    И вообще есть ли критерии безопасности движков или какие то тесты?
     
  2. drop

    drop

    Регистр.:
    1 янв 2007
    Сообщения:
    412
    Симпатии:
    190
    на такое дать гарантияю ИМХо никто не сможет, сам посмотри сколько всего здесь хорошего платного выложено?
    От взлома никто не застрахован и в случае взлома тебе ничего возмещать никто не будет.
    Что касается безопасности, да, она получше будет, но опять таки не всегда
     
  3. vallmind

    vallmind

    Регистр.:
    22 фев 2008
    Сообщения:
    184
    Симпатии:
    82
    согласен, не всегда
    заметил особенность - в распространенных движках(как платных так и бесплатных) гораздо меньше дыр, чем в самописных и малораспространенных
     
  4. Tias

    Tias

    Регистр.:
    26 дек 2007
    Сообщения:
    438
    Симпатии:
    147
    тем не менее самописы взламывают намного реже, потому что любая дыра в популярном движке сразу выходит в массы
     
  5. demmy

    demmy

    Регистр.:
    13 ноя 2006
    Сообщения:
    330
    Симпатии:
    96
    Открытый код это палка о двух концах, за "надежность" коммерческих движков говорит
    а)малопопулярность (относительно бесплатных)
    б)относительная труднодоступность (не все будут покупать двиг, что бы искать в нем дыры)
    НО и устранение дыр происходит со значительным опозданием

    С другой стороны в бесплатных движках дырки находятся в разы чаще, но и латаются на порядок быстрее.

    В итоге выбор так и остается. А в соглашении производители скриптов за дырки в своих продуктах ответственности не несут вообще иначе их затаскали бы по судам с миллиардными исками.
     
  6. invader

    invader Серый кардинал в отставке :)

    Moderator
    • Супермодератор
    Регистр.:
    3 апр 2006
    Сообщения:
    2.736
    Симпатии:
    5.714
    Любое коммерческое предложение предполагает наличие лицензии.
    Вот в ней всё и расписано.
    Никто и никогда вам не сможет дать гарантии от взлома.
    Если дадут - по определению бред и кидалово.
    Нельзя гарантировать того, чего не знаешь.
    ПО пишется ведь не для того, чтобы его взломали.
    Но технологии не стоят на месте.
    Гарантировать можно только:
    Исправление всех программных ошибоки уязвимостей в течении гарантийного срока, если таковые найдутся

    Вообще непонятно, с какого такие вопросы всплывают...
    Вы купили в магазине телевизор и вам дают гарантию.
    Гарантию что он никогда не сломается?
    Или скажете - так то ж телевизор! А какая хер разница? :D
     
    newbigmir нравится это.
  7. Лариса

    Лариса Читатель

    Заблокирован
    Регистр.:
    21 сен 2007
    Сообщения:
    390
    Симпатии:
    128
    мухи отдельно, котлеты отдельно...
    разрабам не то что дыры..а свои ошибки часто трудно латать - я о функционале.
    Недаром в той же джумле создана отдельная команда, которая занимается только безопасностью. и знаю двух, кто по одиночке эту команду все же переиграл.

    Что касается безопасности скриптов - обращаются ПОСЛЕ того как...
    Вот тогда (м.б.) и будет актуален для жертв отдельный сервис по аудиту ИБ веб-приложений. С какими то гарантиями...
    ===
    Ну а по поводу соглашений...Из жизни.
    Я делаю сайт под ключ. И предлагаю отдельной строкой за доп. плату проверку скрипта посторонними кодерами, специализирующимися на взломе сайтов.
    "А зачем"?- спрашивает заказчик. (сам при этом ищет криптора для собственной связки сплойтов).
    Смешно...

    А вот 2 история. Известные в рунете кодеры хвастаются мне в приватной беседе, что их движок - суперзащищенный. Комар носа не подточит...
    минут 10-15 профи хватило найти нефильтруемый параметр - и локальный инклуд дает искажение данных. Это так..шутки ради. Если бы взялся всерьез...А кодеры и правду классные. Вот вам и гарантии.
     
Статус темы:
Закрыта.