https://www.opennet.ru/openforum/vsluhforumID3/102193.html В открытой платформе для организации электронной коммерции Magento (https://github.com/magento), на основе которой работает более 240 тысяч интернет-магазинов, выявлена (https://ma.ttias.be/magento-ecommerce-php-remote-code-execution/) критическая уязвимость, позволяющая атакующему выполнить произвольный PHP-код на сервере и получить полный доступ к данным интернет-магазина, включая информацию по кредитным картам клиентов. Атака может быть совершена без совершения аутентификации. Проблема присутствует в базовой части движка Magento и проявляется в конфигурациях по умолчанию.<br><br><br>Проблема была выявлена в феврале и уже исправлена в обновлении SUPEE-5344 (https://ma.ttias.be/wp-content/uploads/2015/04/PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh.txt), при этом из-за соглашения о неразглашении информация об уязвимости обнародована публично только сейчас. Проблема состоит в том, что релизы Magento и патчи с устранением уязвимостей поставляются отдельно, т.е. пользователь должен установить релиз, а потом https://www.opennet.ru/openforum/vsluhforumID3/102193.html#20 Sun, 26 Apr 2015 19:54:09 GMT Magento не хранит данные банковских карт в открытом виде.<br>Более того, крайне мало интернет-магазинов вообще обрабатывают реквизиты банковской карты непосредственно на своём сайте: как правило, они это делают на сайте платёжной системы или банка. При это платёжная система или банк зачастую дают интернет-магазину возможность настроить внешний вид платёжной страницы таким образом, что у посетителя складывается иллюзия, будто он не покидает сайт интернет-магазина (при этом, в частности, платёжная страница может загружаться в блоке IFRAME с домена банка или платежной системы).<br>Возможность обрабатывать реквизиты банковской карты на своём сайте интернет-магазины теоретически имеют, если банк или платёжная система даст им такую возможность. Но на практике банк или платёжная система дают такую возможность крайне редко и только крупным и надёжным интернет-магазинам и сервисам.<br>---<br>Описанная уязвимость угрожает скорее владельцам интернет-магазинов, чем клиентам.<br>Клиенты лишь могут попасть в базу данных спамеров (ещ https://www.opennet.ru/openforum/vsluhforumID3/102193.html#19 Fri, 24 Apr 2015 03:00:10 GMT У меня Hertz (аренда авто) снял с карточки 36 ойро через ПОЛГОДА после того как я из отпуска вернулся. Пожаловался в банк, вернули, но хз может банк терпилой остался, а не ХЕРц.<br><br>Так что храните деньги в банке, стеклянной. И карточку перевыпускайте раз в полгода-год на всякий ;)<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#18 Thu, 23 Apr 2015 07:49:15 GMT Не по российским законам, а по стандартам платёжных систем<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#17 Wed, 22 Apr 2015 23:28:15 GMT Может я что-то путаю но по законам РФ хранить инфу о кредитках НИЗЗЯ?<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#10 Wed, 22 Apr 2015 10:38:39 GMT Если лень бросить гуглю пару слов - ни в жисть не узнать, конечно.<br>http://magento-forum.ru/topic/4642/<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#9 Wed, 22 Apr 2015 10:14:21 GMT Там by design всё делает программист, от и до. <br>Как оказывается ещё и апдейтить должен программист o_O<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#4 Wed, 22 Apr 2015 07:37:18 GMT &gt; Конечно используют, на нём 30% всех интернет-магазинов работает.<br><br>Но конкретики нам, конечно, не узнать. Жаль.<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#2 Wed, 22 Apr 2015 07:34:29 GMT Конечно используют, на нём 30% всех интернет-магазинов работает.<br> https://www.opennet.ru/openforum/vsluhforumID3/102193.html#1 Wed, 22 Apr 2015 07:15:02 GMT Из российских интеренет-магазинов кто-нибудь использует, интересно?<br>А то переживаю, вдруг данные моей QVV уведут.<br>