The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В сетевых хранилищах WDMyCloud выявлен бэкдор"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от opennews on 07-Янв-18, 11:18 
В выпускаемых компанией Western Digital сетевых хранилищах My Cloud (https://www.wdc.com/products/network-attached-storage.html) обнаружены опасная уязвимость и бэкдор, позволяющие (http://gulftech.org/advisories/WDMyCloud%20Multiple...) получить привилегированный доступ к устройству. Уязвимость даёт возможность выполнить код с правами root через отправку удалённого запроса без выполнения штатной процедуры аутентификации. Бэкдор проявляется в наличии скрытой учётной записи администратора с предопределённым паролем, который невозможно изменить. Проблемы присутствуют в прошивках до версии 2.30.165 включительно (кроме ветки MyCloud 04.X) и устранены в обновлении 2.30.174.


Уязвимость присутствует в скрипте multi_uploadify.php и связана с некорректной обработкой параметров. Сервер для аутентификации в скрипте определялся путём использования имени хоста, переданного в HTTP-заголовке Host, который может быть изменён пользователем. В сочетании с отсутствием кода для обработки ошибок при вызове gethostbyaddr(), атакующий может успешно пройти все проверки аутентификации, не зная параметров входа. Атака сводится к отправке POST-запроса к скрипту с изменённым HTTP-заголовком Host и параметрами "Filedata[0]" и "folder" для загрузки файла. В том числе можно записать любой файл в каталог "/var/www/", например, загрузить PHP webshell, который при обращении будет выполнен с правами root.


Дальнейшее изучение прошивки показало, что для внешних запросов доступен скрипт /usr/local/modules/cgi/nas_sharing.cgi, в коде которого жесткой прошит логин "mydlinkBRionyg" и пароль "abc12345cba". Более того, скрипт содержит уязвимость, позволяющую передать и выполнить произвольный shell-код. Например, для запуска команды "touch /tmp/test.txt" от пользователя root достаточно отправить запрос "/cgi-bin/nas_sharing.cgi?dbg=1&cmd=51&user=mydlinkBRionyg&passwd=YWJjMT
IzNDVjYmE&start=1&count=1;touch+/tmp/test.txt;". В ходе изучения прошивки исследователь заметил упоминание несуществующего файла "mydlink.cgi", после чего выяснил, что прошивка устройств WDMyCloud во многом пересекается с прошивкой сетевого хранилища D-Link DNS-320L ShareCenter NAS, в которой аналогичных бэкдор был устранён в 2014 году в обновлении прошивки 1.0.6.


Кроме того, в WDMyCloud найдено несколько менее опасных уязвимостей. В частности скрипты в интерфейсе администратора подвержены возможности подстановки shell-кода, а web-интерфейс не имеет средств для защиты от XSRF-атак. Подобная особенность даёт возможность атакующему встроить запрос iframe или картинки со ссылкой подобной "http://wdmycloud/web/dsdk/DsdkProxy.php?;touch+/tmp/test.txt... и при помещении данной страницы пользователем, у которого не не закрыт сеанс в web-интерфейс  WDMyCloud, на устройстве будет выполнена команда "touch /tmp/test.txt". Также имеется уязвимость в реализации API, позволяющая удалённо посмотреть список пользователей устройства через отправку запроса "/api/2.1/rest/users?".


URL: http://gulftech.org/advisories/WDMyCloud%20Multiple...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47867

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +72 +/
Сообщение от AlexYeCu_not_logged on 07-Янв-18, 11:18 
Собственно, это всё, что нужно знать о «готовых NAS».
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Анчик on 07-Янв-18, 11:50 
этоже хомячковое решение аля внешний диск с примочками.
нетгир и прочие кунапы кто-то исследовал?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

28. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 14:58 
Нахрена вообще готовые NAS, если для однодисковых есть платы на Allwinner A20, а для многодисковых можно взять плату от неттопа?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

31. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от нах on 07-Янв-18, 15:13 
нахрена горбатиться, зарабатывать какие-то там "деньги", когда есть натуральное хозяйство?

автомобиль себе тоже сам собирай, начиная прямо от добычи руды и выплавки стали (потому что уже и там китайцы кривыми руками много чего испортили)

жаль только, жизни тебе отпущено всего лет 60 (с учетом местной медицины)...


Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

36. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от Аноним (??) on 07-Янв-18, 15:32 
> нахрена горбатиться, зарабатывать какие-то там "деньги", когда есть натуральное хозяйство?

Если магазин скатывается и начинает продавать жрат пополам с крысиной отравой, нравится, не нравится, а научишься выращивать сам. Вот сабж оказался с крысиным ядом. И остальные не лучше.

> автомобиль себе тоже сам собирай, начиная прямо от добычи руды и выплавки
> стали (потому что уже и там китайцы кривыми руками много чего испортили)

Подожди, внедрят тебе эру-глонасс стукача в дюзы, почирикаешь.

> жаль только, жизни тебе отпущено всего лет 60 (с учетом местной медицины)...

Собрать NAS на allwinner много времени не займет.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

53. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +5 +/
Сообщение от нах on 07-Янв-18, 18:10 
> Если магазин скатывается и начинает продавать жрат пополам с крысиной отравой

его, в этом случае, вероятно, все же быстро прикроют. И директора - на пару лет.
А вот если под видом мяса - "пищевые фосфаты", под видом масла - пальмовое, то ничего, жрем. Стараемся, конечно, выбирать наименее помойное, но - из наличного в ближайшем ларьке, и за деньги.
Потому что своего мяса, масла, хлеба и пиваса ты не произведешь в достаточном количестве.
И туалетной бумаги тоже не. А жизнь этим не ограничивается, или "разьве ж это жизнь".

Если мне нужен сервис уровня этого недомайклауда - именно в виде отдельного диска, который из розетки дернул и на другую квартиру унес в кармане(специфическая нишка, надо заметить) - скорее всего я пойду и куплю готовый. Ну, разьве что сигейтов, про которые уже хорошо известно как они "мигают синим и не работают" брать не рискну. "универсальный пароль" и забытый вебшелл - прикрою файрволом, хер в общем-то с ними. Все равно я не особо доверяю ни его авторизации, ни его скриптам.

> Собрать NAS на allwinner много времени не займет.

ну так, пару дней провозишься. fulltime. Надо ж не только собрать в одном месте корпус (чтобы оно жило не до первого интереса твоей cраной кошки), питальник, диск (спасибо если все и сразу достается в одном месте, а не ценой пяти пробежек по городу), линyпс какой взгромоздить, навернуть сверху...что? owncloud вроде тяжеловат для такой коробочки, хз что у нас еще есть (добавь время на сбор совершенно ненужных знаний из интернетиков), как-то минимально потестировать, чтоб уехав завтра в соседний пригород не обнаружить, что фоточки-то, ради которых затевалось, не скидываются.

Хм, кажется, нащот всего пары дней я погорячился - если только ты не занимаешься горожением подобной херни постоянно за зарплату. Я вот - нет. Кстати, как там у owncloud с уязвимостями?

Ну и на закусочку, цена вопроса - 4хтеровый mycloud стоит $160 (дальше цена почти удваивается, неинтересно). Это примерно тебе только сам диск в эти деньги обойдется. Плюс ты проcpал в результате выходные, а наверное и не одни (потому что приходилось отвлекаться еще и на изготовление туалетной бумаги...э...ну ладно, мыла. Мыло уже многие варят на кухне).

Оно тебе вот - надо было ради такой херни, в которой, по преимуществу, бэкап фоток с телефона вида "я и обратная сторона патчпанели #240"?

P.S. коробочка, кстати, довольно симпатичная. dlink, с которого его содрали, был неописуемо уродлив. Так что я бы уж скорее думал не в сторону самодельного убожества на allwinner, а где для этой хрени devicetree найти и есть ли у нее jtag.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

66. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 21:57 
> вероятно, все же быстро прикроют. И директора - на пару лет

Почему-то не прикрывают.
> owncloud вроде тяжеловат

Для 650МГц/256Мб не тяжеловат, а для 1ГГц/1ГБ тяжеловат.
> как там у owncloud с уязвимостями

Этот owncloud надо засунуть его авторам туда, откуда он у них вышел. Мне его фичи тыщу лет никуда не вдулись, мне нужны NFS, Samba и Bacula. Нужен будет WebDAV - найду что поставить, тот  же LeoFS хотя бы.
MyCloud 4TB (в DNS 14тыр это ~$240, уж извините, HDD я беру только там, куда можно его принести с чеком) совпадает по цене с WD RedPro, а Вы уверены, что там внутри RedPro? Сами WDшники о начинке не распространяются, даже RPM (7200 или 5400) не указали.
> есть ли у нее jtag

Так горячо убеждал, что надо хавать что дают - и так нелепо спалился :D

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

78. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от нах on 08-Янв-18, 00:23 
> Мне его фичи тыщу лет никуда не вдулись

ну тогда просто не стоило звездить, как ты за пять минут с легкостью заменишь то, в чем ни ухом, ни рылом.

"мне нормальная еда тыщу лет никуда не вдулась, жру (самодельную) туалетную бумагу, и буду жрать", вот как это переводится в доступные вам аналогии.

> MyCloud 4TB (в DNS 14тыр это ~$240, уж извините,

я понятия не имею, сколько у вас оно стоит. Диски, как и хипстонасы(если уж вдруг приспичит именно бэкап ипхона) я покупаю не там, куда мне придется звиздовать "с чеком", а там, где просто работает.
там оно https://www.amazon.com/Cloud-Personal-Network-Attached-Stora.../ как-то вот так (4T, увы, уже нет, расхватали в рождественские распродажи, но он не вдвое дороже был).

> Вы уверены, что там внутри RedPro?

я очень надеялся, что там внутри что-то 2" и может даже вовсе 4800, но действительность оказалась, как обычно, гoвнянее (не мог же wd поставить в свою собственную коробку что-то приличное):
https://community.wd.com/t/teardown-report-my-cloud-2nd-gen-...
4T такой стоит 130 (там же).
redpro в такой коробке a) сварится b) будет вполне внятно жужжать. А это, напомню, вовсе не ваш "дебиан с сасамбой", а вполне бытовая техника, для нормальных людей предназначенная.

> Так горячо убеждал, что надо хавать что дают - и так нелепо спалился :D

одно дело - хобби, когда просто интересно извлечь необычных бонусов из серийной железки, не считаясь с затратами, другое - когда для решения реальной (пусть и не твоей) задачи предлагают заведомо более неудобное, кривое, да к тому же, как по ходу пьесы выясняется, еще и вовсе не ту задачу решающее подобие, и рассказывают что они де круче wd.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

88. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 04:12 
> то, в чем ни ухом, ни рылом

А кто сказал, что я не в курсе функционала owncloud? "Не нуждаюсь" - не значит "не знаю". Не подменяйте понятия.
> "мне нормальная еда тыщу лет никуда не вдулась, жру (самодельную) туалетную бумагу, и буду жрать", вот как это переводится в доступные вам аналогии.

Нет. В доступные Вам аналогии это переводится так: вы жрите то, что вам из чана на лопате подадут, а я себе возьму то, что мне нужно и там, где сочту нужным, и постоять полчаса над плитой - не бог весть какая тягость.
> там, где просто работает

Ога. Техника, прошедшая через Amazon обретает неуязвимость и никогда не ломается.
> заведомо более неудобное, кривое

Более кривое, как только что выяснилось - это именно решение WD.
> круче wd

Чего стОит "крутизна" WD тоже выяснилось - скопировали "продукт" D-Linka со всеми его косяками, и к тому же не потрудились провести аудит после того, как в длинковском аналоге нашли дыру. Такое пусть жрут "нормальные люди" вроде Вас.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

95. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от нах on 08-Янв-18, 12:04 
> А кто сказал, что я не в курсе функционала owncloud?

судя по писанине - вы не в курсе функционала упомянутой железки, а не то что owncloud. "читал на опеннете", да?

> а я себе возьму то, что мне нужно

к сожалению, самодельная туалетная бумага, да еще и в качестве еды, нужна только вам.

Остальным "нужно" уже довольно много всего, что натуральным хозяйством не воспроизводится.
Вот, кстати, в аптеках полно поддельных лекарств (и еще не поддельных, а произведенных в РФ известно откуда растущими руками). Как у вас с химическим синтезом? За пару вечеров насинтезируете мне десяток таблеток хоть банального сумамеда (не знаю, зачем у нас массово подделывают копеечный антибиотик, но факт)? В отличие от электронной игрушки, далеко не первой необходимости, это-то востребованная задача, и на амазоне не купишь.

> Такое пусть жрут "нормальные люди" вроде Вас.

да, нам совершенно похрен. Нашли очередную дыру - спасибо, ну прикроем еще одним слоем или обновимся, если будет на что. Свое время потратим на что-то более забавное, чем домашнее производство туалетной бумаги. А вы продолжаете тратить время на переизобретение велосипеда, причем получается исключительно с квадратным колесом.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

107. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 19:46 
Туалетная бумага - как раз таки Ваш рацион, а не мой, я предпочитаю еду из натуральных продуктов.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

108. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от Аноним (??) on 08-Янв-18, 20:00 
> насинтезируете мне десяток таблеток хоть банального сумамеда

Вам - нет, а  себе, если с фармацевтикой всё станет совсем плохо - да. Не впервой посылать задоруких "профессионалов" лесом (что сантехников, что ITшников, что пищевиков). Если не азитромицин, то хотя бы стрептоцид. Или пенициллин по Флемингу. Короче - найду. А Вы сидите и тратьте свою жизнь на ожидание, если так боитесь потратить день-другой на изготовление велосипеда, который не будет разваливаться в дороге.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

119. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от нах on 09-Янв-18, 13:26 
> Вам - нет, а  себе, если с фармацевтикой всё станет совсем
> плохо - да. Не впервой посылать задоруких "профессионалов" лесом (что сантехников,
> что ITшников, что пищевиков). Если не азитромицин, то хотя бы стрептоцид.
> Или пенициллин по Флемингу. Короче - найду. А Вы сидите и

имеющие хотя бы парамедицинское образование - печально ухмыльнулись. В общем, примерно так же у вас и с заменой wd самоделкой. Не то, не так, и вообще толком не работает. По причине отсутствия как минимума знаний предметной области, так и физических возможностей.

> тратьте свою жизнь на ожидание, если так боитесь потратить день-другой на
> изготовление велосипеда, который не будет разваливаться в дороге.

всей вашей жизни не хватит даже не то чтобы на коленке воспроизвести всю современную цивилизацию, а чтобы обеспечить себе хотя бы банальное выживание.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

124. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 09-Янв-18, 16:51 
> имеющие хотя бы парамедицинское образование - печально ухмыльнулись

Пусть ухмыляются хоть до пареза, хоть до судороги.
Сантехник, который когда-то запросил больше моей месячной стипендии за исправление своего же косяка, тоже ухмылялся. А я его послал и научился сам делать водопровод.
Когда выяснилось, что для SpamAssassin нет правил для русскоязычного спама - я научился писать на perl, разобрался с синтаксисом правил SA и сам их написал.
Когда выяснилось, что tini (минималистичный init для Docker'а) умирает сразу после смерти непосредственного потомка, и, следовательно, при демонизации рабочего процесса контейнер останавливается, я его форкнул и добавил "усыновление" демонизированной копии дочернего процесса. Хотя сам ни разу не программист, и мне пришлось недельку покурить доки об управлении процессами в линухе.
Это, знаете ли, лучше, чем сидеть ровно и ждать, что кто-то сделает за меня.
> воспроизвести всю современную цивилизацию

Речь вообще-то не шла о создании полного технологического процесса от руды и угля, добытых палкой-копалкой. Речь шла о том, что можно взять годную плату и годный HDD от того же WD, и собрать из них годный NAS, в котором не будет тех косяков, которые есть в покупном NAS'е.

Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

123. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 09-Янв-18, 15:31 
> Или пенициллин по Флемингу. Короче - найду.

Неужели современные штаммы всем желающим присылают по почте?

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

125. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 09-Янв-18, 16:52 
> Неужели современные штаммы всем желающим присылают по почте?

А Флемингу штамм плесени кто прислал?

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

127. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 09-Янв-18, 18:36 
>> Неужели современные штаммы всем желающим присылают по почте?
> А Флемингу штамм плесени кто прислал?

Понимаешь, я совсем не фармацевт и наверняка там еще 100500 нюансов и подводных камней, но...

Считается, что Флемингу еще и повезло и ему попался штамм с высокой эффективностью "производства".
Потом уже была селекция и модификация. А то ведь разница в кол. производимого пеницилина  между довольно эффективным штамом Флеминга и современным промышленным – раз этак в 50, если не больше.
В ином случае, выделяемых антибиотиков будет с гулькин нос или не будет вообще (плесени, между прочим, 100500 видов и далеко не все вообще выделяют антибиотики).
Это помимо целой кучи побочных выделений и отходов жизнидеятельности, которые например могут вообще "забиндить" пеницилин внутри грибка или обладают убойной токсичнотью (про высокую аллергенность вообще умолчим), особенно при внутривенном введении.

Т.е. тебе вначале нужен штамм плесени, производящий антибиотик. Предположим, это вполне преодолимая проблема, всего-то нужен микроскоп, пара мелочей и немного везения или много терпения.

Потом очень желатлеьно отделить пеницилин от токсичных отходов жизнедеятельности пеницилума (метанольчик, вакуумный насос, этоксиэтан и много-много терпения), определить наконец концентрацию получившегося. Сам тeхпроцесс вроде бы повторяем в домашних условия, хотя из-за низкой эффективности штама соотношение антибиотика и токсинов будет высоко, а кухонно-диванное  оборудование на самом деле совсем не блещет эффективностью и ты заманаешься получать приличное количество достаточно чистого антибиотика. Хуже, что для определения концентрации, примесей и прочего нужно совсем не кухонное оборудование, это тебе не правила для спамассасина писать.
В ином случае, так как получившийся пеницилин G вводить можно только внутривенно, есть неслабый риск скопытиться.
Что еще? Еще остается нюанс с антибиотикорезистентностью (это если микроорганизм вообще будет чувствителен к пеницилину). Чистый пеницилин Гы обычно не прописывают, только комбинации плюс модификации.

В общем, теоретически возможен диванно-домашний синтез пеницилина, на практике будет или пшик в виде плацебо или очередная номинация на премию Дарвина.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

116. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от vz on 09-Янв-18, 11:50 
для Orange PI есть NAS-дистрибутив или Rasbian надо насаживать?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

117. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Djam (ok) on 09-Янв-18, 12:50 
Есть armbian, а поставить дополнительно пару пакетов не составляет труда.
Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

34. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 15:26 
За время исследования можно пять раз успеть купить цацу на allwinner с хардварным SATA за 30-50 бачей, прицепить к ней винч, и запустить там обычный дебиан. В котором уж точно нет никакого гуано от мутных фирмочек.

Или к вопросу о том как сделать себе NAS дешево, сердито и без вондорлочного западла. Если надо больше девайсов, еще usb порты есть. Можно даже Raid5 запилить. Или что-нибудь распределенное с резервированием по сетке.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

67. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 21:57 
Не, один диск — не серьёзно, USB — тормоза. Но есть GnuBee (ему бы ещё корпус, вмещающий 3,5"-диски), вот-вот будет Helios4 (очень жалею, что проморгал предзаказ).
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

135. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 10-Янв-18, 19:33 
> Не, один диск — не серьёзно, USB — тормоза.

Народ цепляет 2 диска в usb на отдельных контроллерах + 1 в SATA, на этом пускает btrfs с RAID. Подробнее на linux-sunxi.org, там много дельных идей. Но такая штука будет прожорливой, понадобится большой питальник. А вообще при такой стоимости платок - можно и каждому винчу по своей платке выделить.

> Но есть GnuBee (ему бы ещё корпус, вмещающий 3,5"-диски),

Хинт: можно нарезать акрил лазером как тебе надо. Стоит разумно, выглядит ... как китайский корпус с али. Или что нарисуешь.

> вот-вот будет Helios4 (очень жалею, что проморгал предзаказ).

Как по мне так хрен с ним, allwinner'ы по ценам рулят, майнлайном поддерживаются, дебиан запускают, без блобов даже можно. Что еще для счастья надо?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

94. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 12:03 
По случаю спрошу (не сарказма ради), какие корпуса доступны (мне как рядовому россиянину) на 4-5 дисков, ну что бы еще и красиво как у synology и подобных ?
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

98. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от нах on 08-Янв-18, 12:14 
> По случаю спрошу (не сарказма ради), какие корпуса доступны (мне как рядовому
> россиянину) на 4-5 дисков, ну что бы еще и красиво как

никакие, у рядового россиянина зарплата 7000 рублей.

А так - поройтесь в окрестностях http://forum.ixbt.com/topic.cgi?id=109:309-90
какие-то ссылки на условно-доступные корпуса пробегали. (или сами спросите, оно хоть и почти неживое, люди туда иногда еще по инерции заходят)

не настолько красивенько как у synology или у того же wd (у тех есть многодисковые версии mycloud, правда, я не нашел побыстрому фото внутренностей, возможно там все плохо и с механикой, и с охлаждением), но что-то, не вызывающее немедленного проблева на месте, было.

В любом случае - пятидисковый корпус заметно греется и жужжит, и из квартиры не выносится. Это уже кандидат на антресоли или под стол, где в общем уже все равно, как он выглядит. Важнее, чтоб не работал пылесосом и удобный доступ к потрохам. Так что может оно того и не стоит.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

126. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 09-Янв-18, 16:59 
> По случаю спрошу (не сарказма ради), какие корпуса доступны (мне как рядовому
> россиянину) на 4-5 дисков, ну что бы еще и красиво как
> у synology и подобных ?

25-литровый алюминиевый бидон для молока. Оригинально, антуражно и вообще хэндмейд.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

129. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от нах on 10-Янв-18, 00:02 
да, но я в него не помещаюсь :-(
Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

136. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 10-Янв-18, 19:38 
> да, но я в него не помещаюсь :-(

Этого не было в изначальной постановке задачи. Если надо чтобы ты помещался, используй бочку.

Ответить | Правка | ^ к родителю #129 | Наверх | Cообщить модератору

75. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от EHLO on 07-Янв-18, 22:50 
> Собственно, это всё, что нужно знать о «готовых NAS».

О любом закрытом софте в принципе тоже

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от anomymous on 07-Янв-18, 11:22 
WD MyCloud
"mydlinkBRionyg"
mydlink
my DLink???
WTF????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +4 +/
Сообщение от anomymous on 07-Янв-18, 11:24 
А, ну то есть с DNS-320L сдёрнули. Хитрые перцы.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

42. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Vkni (ok) on 07-Янв-18, 16:53 
Ну, то есть WD - это уже "та самая китайщина".
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

3. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –5 +/
Сообщение от Аноним (??) on 07-Янв-18, 11:23 
> Уязвимость присутствует в скрипте multi_uploadify.php

Полон опасностей похапе-мирок.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +15 +/
Сообщение от anomymous on 07-Янв-18, 11:24 
> Полон опасностей похапе-мирок.

Это не похапе-мирок. Это мирок илитных кодерков, которые на любом языке такие илитные.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +8 +/
Сообщение от Аноним (??) on 07-Янв-18, 11:38 
И это конечно же чистое совпадение, что концентрация таких рукожопов в похапе-мирке бъёт все рекорды.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Порог on 07-Янв-18, 11:54 
Низкий порог вхождения!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

37. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 15:38 
> Низкий порог вхождения!

В NAS это вообще не php может быть, просто название паги "традиционное".

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

58. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 07-Янв-18, 19:15 
Если PHP есть в VoIP-шлюзах и телефонах, что мешает ему быть в NAS?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

74. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от Аноним (??) on 07-Янв-18, 22:44 
как минимум, здравый смысл.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

91. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от anomymous on 08-Янв-18, 11:03 
Здравый смысл говорит о том, что рантайм достаточно удобный и легковесный, чтобы запилить на нём вёб-интерфейс для конфигурации и часть конфигурационного бэкэнда. При надлежащем подходе выйдет удобно, расширяемо и надёжно. Внимание: при надлежащем подходе.

# ls -l /usr/bin/php
-rwxr-xr-x 1 root root 3606408 Nov  8  2016 /usr/bin/php

Это на raspberry pi 3.

В памяти вместе со всеми либами это счастье весит 16 метров, но из них 12 - shared.
Т.е. 4 метра на процесс, что совсем не много за то количество функций, которое даёт этот рантайм.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

93. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от пох on 08-Янв-18, 11:47 
> Внимание: при надлежащем подходе.

это, видимо - "выключить все экстеншны, потом удивляться, почему ничего не работает, или бестолку тратить время на их ручное включение обратно поштучно"?

причем, это cli, а нормальных людей больше интересует что-то вроде:

60165 www           1  22    0   105M 56384K accept  2   0:02   0.00% php-fpm
59822 www           1  31    0   101M 47928K accept  2   0:02   0.00% php-fpm
86660 www           1  34    0   101M 47132K accept  1   0:00   0.00% php-fpm

ну или так:
14972 luzer   20   0  394m  43m 4500 R  9.6  1.1   0:00.29 httpd.itk
(wordpress, что-ли, в общем, большой кто-то)

вот для сравнения, тру "язык для шаблонизатора" (модулем):
   www 77765 41645   0  44  0  8356  5508 accept S     ??    0:00.01 httpd
но никому уже лет десять не нужен, даже своим создателям, ни одного в running не нашлось даже.

Потому что вот даже банальный upload progress bar на нем делать - заманаешься. А мы - все еще про сетевое хренилище, и его веб-морду. Захотел вручную вывалить картинки с мабилы - нажимаешь submit, и двадцать минут пялишься в пустой экран, не зная, то ли оно качается там, то ли давно отвалилось? Зашибись, зато сэкономили сотню мегабайт.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

97. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Gemorroj (ok) on 08-Янв-18, 12:10 
php-то тут при чем?
такое ощущение что пишут люди бесконечно далекие от веб разработки.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

99. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от пох on 08-Янв-18, 12:19 
> php-то тут при чем?

вот ровно при том, что для современного веба, даже совсем простенького (чего там в сетевом обменнике сложного) уже не особенно подходят примитивные "шаблонизаторы", нужен более-менее язык программирования. В php он есть.


Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

102. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 08-Янв-18, 13:09 
opcache метра на 32? Вы уж хотя бы размер рантайма без кэша измеряли бы тогда, что-ли.

Вот у меня "живой" пример на x86-64.

# ls -l /opt/php70/bin/php
-rwxr-xr-x 1 root root 13742432 May 13  2017 /opt/php70/bin/php

418 www-alex-at  20   0  726568  25208  10292 S  10.8  0.6   0:00.41 /opt/httpd/bin/httpd -f /etc/httpd/php70/httpd.conf -DFOREGROUND

25 метров RES, страничку с b2evo запросил.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

103. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 08-Янв-18, 13:18 
И вообще при чём тут экстеншны.

"Надлежащий подход", в частности, для встраиваемых подсистем управления - это значит:
1) не оверинженирить систему гиперфреймворками, но и модульностью кода не пренебрегать - здоровый минимализм;
2) обязательно делать ревью алгоритмов и кода, дабы не было вот таких вот граблей, как в обсуждаемой статье;
3) не пренебрегать формализацией,  хотя бы на критических участках, и тестированием.

Верно для любого языка.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

104. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 08-Янв-18, 16:35 
> И вообще при чём тут экстеншны.

потому что гражданин зачем-то показавши нам длину своего хе..ой, простите, размер своего cli, из которого можно было сделать вполне однозначный вывод (что без дополнительных модулей, размером в десяток раз поболее, у него вообще ничего толком работать не будет, кроме хеловрот ;)

а к реальному потреблению это все мало относится, для чего я и показал, что банальный хомяк на друпале (или что оно там было, лень проверять) жреть раза этак в три поболее чем никому ненужный ничего не делающий интерпретатор, и это уже - расходы на собственно работающий код, а не на запускающий его механизм.

А в остальном да, усьо так, правда, в данном случае, никакого ревью, очевидно, быть не могло, по причине китайца в единственном числе, да и тот работал на длинк, а не на wd, который, скорее всего, и не интересовался кодом - стоит недорого, работает, клиенты не жалуются, и ладно (что и действительно весьма неплохой результат само по себе). Ну и "ой, отладочный бэкдор забыл...а и хрен с ним, все равно никто не узнает". И да, от языка как-то не особо и зависит.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

105. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 08-Янв-18, 16:45 
> гражданин зачем-то показавши нам длину своего хе..ой, простите, размер своего cli

Речь выше идёт про интерфейсы управления. Там как раз нужен CLI, в т.ч. в кроне иногда, и чуть-чуть на полтора запроса вебни без всяких кешей.

> что без дополнительных модулей, размером в десяток раз поболее, у него вообще ничего толком работать не будет, кроме хеловрот

Просто учти, что CLI этот был на raspberry pi 3, поэтому размер и небольшой.

[root@rpi3 ~]# php -i | grep -Pi '^\S{2,}$' | grep -vPi '/etc|phpinfo|Configuration|Environment|Core|Features'

bz2
calendar
ctype
curl
date
dom
ereg
exif
fileinfo
filter
ftp
gettext
gmp
hash
iconv
json
libxml
mbstring
mhash
mysql
mysqli
openssl
pcntl
pcre
PDO
pdo_mysql
pdo_sqlite
Phar
posix
readline
Reflection
session
shmop
SimpleXML
sockets
SPL
sqlite3
standard
sysvmsg
tokenizer
wddx
xml
xmlreader
xmlwriter
xsl
zip
zlib
sysvsem
sysvshm

Достаточно модулей? xD

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

106. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 08-Янв-18, 16:47 
> показал, что банальный хомяк на друпале (или что оно там было,

Хрен знает, чего там на друпале наворотили, но страничка на b2evo жрёт на x86-64 вполне себе порядка 25мб, см. выше.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

120. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от пох on 09-Янв-18, 13:30 
> Хрен знает, чего там на друпале наворотили,

сайт как сайт, без особых сложностей.

> но страничка на b2evo жрёт на x86-64 вполне себе порядка 25мб, см. выше.

очередное квадратноколесное ненужно? Какая разница, сколько оно жрет, если кроме своего гордого автора у нее ровно ноль посещений?


Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

114. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от twilight (ok) on 09-Янв-18, 06:44 
друг другу
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +5 +/
Сообщение от я on 07-Янв-18, 12:09 
Вы все просто завидуете, что не знаете похапе!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

48. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от Порог on 07-Янв-18, 17:35 
Пыху знают все, просто большинство об этом не догадывается :)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

55. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от тоже Аноним (ok) on 07-Янв-18, 18:28 
Мир удивительно гармоничен: те, кто гонит на пыху, и те, кто гонит на ней гoвнокод (или на другом, более лучшем языке, но с тем же запахом) - это ровно одни и те же люди.
То есть человек может, конечно, и не входить в оба множества сразу, но отличить попавших в пересечение множеств от не попавших в пересечение, но состоящих в любом из них, на практике решительно невозможно.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

60. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от пох on 07-Янв-18, 19:48 
> Пыху знают все, просто большинство об этом не догадывается :)

большинство догадывается, что <? exec()... - это еще не весь язык.

классы, namespaces, traits (мля-ааа!)... это все, если что - "общепринятый" 5.4, даже не 6.
так что учебничек-то придется читать.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

68. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 21:59 
> даже не 6.

Спалился, эксперт.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

71. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 07-Янв-18, 22:27 
Точно - он? Или вы, не знающий ничего об этой версии?
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

80. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 08-Янв-18, 00:42 
> Точно - он? Или вы, не знающий ничего об этой версии?

не-не, я имел в виду 5.6 (мне казалось, тем кто в теме, это должно быть очевидно). Вся перечисленная радость - даже ее не требует, прекрасненько работает аж в 5.4, если брать minor поновее (а про true 6 забудьте, это проехали. Может, и к лучшему, зоопарка из пяти штук вполне достаточно)

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

86. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от rpm on 08-Янв-18, 03:39 

> не-не, я имел в виду 5.6 (мне казалось, тем кто в теме,

Поздно оправдываться, "эксперт".

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

100. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 08-Янв-18, 12:23 
> Поздно оправдываться, "эксперт".

да где тут, среди экспертов опеннета, отлично знающих версии php (в анонсах и на лоре читали, а то ж), но не соображающих, что если в одной строке через запятую 5.4 и 6 - речь совсем не о том, что им почудилось.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

111. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 08-Янв-18, 22:47 
Вы говорили о вещах, существующих даже в уже устаревших версиях. То, что вы имели в виду последнюю древне-актуальную, а не экспериментальную, на основе которой создана последняя стабильная - это телепаты в отпуске, извините.
Кстати, буквально сегодня пришлось выйти обновить версию Битрикса, а заодно и пыха - Битрикс с января отказался поддерживать версии древнее 5.6. В будни работу сайта не остановишь, а в государственный выходной, когда население судорожно допивает - в самый раз...
Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

122. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 09-Янв-18, 14:17 
> То, что вы имели в виду последнюю древне-актуальную

хренассе "древне-актуальную"...
это ж язык программирования, а не просто набор заплаток к пятой версии - было бы, мягко говоря, странно, считать "древней" версией ту, что выпущена сколько - пять? лет назад в виде .0
Но забавно-то другое - что все эти фичи были (в каком-то виде) в языке еще до того.

> Кстати, буквально сегодня пришлось выйти обновить версию Битрикса, а заодно и пыха - Битрикс с
> января отказался поддерживать версии древнее 5.6.

щисливчик. А я вот смотрю на битрикс, кое-как заведшийся c 5.5-последней (с кучей мелких и не очень проблем в ста местах, поскольку то, где я его взял, было вообще с 5.3) - и понимаю, что лучше бы не выпендривался, собирал 5.4

ведро, кстати, обновлено в мае, видимо, ничто не помешало - при том что в нем есть фичи, жаждущие аж 7.1. Но вот все остальное...

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

128. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 09-Янв-18, 22:22 
Я потому и счастливчик, что все, что на сайте не завязано на Битрикс, писал сам, и смену версий оно пережило, не моргнув.
Самую большую свинью при обновлении подсунул сам Битрикс, внезапно перемешавший id-шники платежных систем - и, соответственно, поставивший раком всю систему платежей. Совместимость у них и забота о клиенте, понимаешь...
Ответить | Правка | ^ к родителю #122 | Наверх | Cообщить модератору

130. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от EHLO on 10-Янв-18, 03:41 
> Я потому и счастливчик, что все, что на сайте не завязано на
> Битрикс, писал сам, и смену версий оно пережило, не моргнув.
> Самую большую свинью при обновлении подсунул сам Битрикс, внезапно перемешавший id-шники
> платежных систем - и, соответственно, поставивший раком всю систему платежей. Совместимость
> у них и забота о клиенте, понимаешь...

Зачем вообще Битрикс нужен?
Давно вопрос этот не дает покоя, а тут внезапно сразу два адепта на опеннете.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

131. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 10-Янв-18, 08:19 
Адепты Битрикса.на опеннете не сидят. "Мы все тут - пострадавшие" :(
Я бы с наслаждением выкинул эту балалайку и переписал сайт на Ларавели, например. Но бизнесу неинтересно оплачивать мне эти полгода работы (а быстрее спрыгнуть, боюсь, не получится).
Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

133. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 10-Янв-18, 15:57 
> Адепты Битрикса.на опеннете не сидят. "Мы все тут - пострадавшие" :(
> Я бы с наслаждением выкинул эту балалайку и переписал сайт на Ларавели,
> например. Но бизнесу неинтересно оплачивать мне эти полгода работы (а быстрее

ему еще меньше интересно искать потом специалиста по этой экзотике.
А специалист по битриксу за деньги находится, причем (из-за существенного порога вхождения) он либо на самом деле будет специалист, либо ты его быстро поймаешь на лоховстве.

Ответить | Правка | ^ к родителю #131 | Наверх | Cообщить модератору

134. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним email(ok) on 10-Янв-18, 17:49 
> поймаешь на лоховстве.

Чем-то мне специалист, восхваляющий Битрикс, считающий Ларавель малоизвестной экзотикой - и при этом уверенный, что вебдванольный сайт обязательно делать на CMS, напоминает именно такой случай...

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

132. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 10-Янв-18, 15:56 
> Зачем вообще Битрикс нужен?

ну вот у того сайта, с которым я неделю мучаюсь, есть до-битриксовая версия, 2003го года издания. И я ее сохранил, и в принципе, могу поднять. Стоить будет в десять раз дешевле, работать втрое быстрее, жрать почти ничего, ибо написана на ssi #exec ;-) Никому не нужна.
Сайт ни разу не IT'шной направленности. Сайт community-driven, то есть контент создают разные люди - ни разу не it'шники - что означает как копию флэшечки с двумяста 25мегабайтными jpeg'ами в uploads, так и ниосиление не визифиг интерфесов публикации. Поэтому они вместо нормальной статьи выложат документ урод, с вирусом внутре. Или ничего.

И что вот делать прикажете? Быстренько напилить самому на пехепе с пихоном? Это будет и небыстренько, и редкостно уродливо, я ни разу не уеб-дизигнер, и не факт что понято местными генераторами контента.

Самому за них контент генерить? Тогда он будет никому не нужен, потому что пока ты гоняешься за автором, он уже давно свою флэшечку вместе с текстом выложил в хипстаграм/втентаклик/куда попроще, и все мы это "где-то, по-моему, уже видели".

Или ты думаешь, что другие CMS чем-то лучше? Они скорее хуже - конкретно этот сайтик ни разу в прошлом не порадовал меня, к примеру, проломом какого-нибудь sendmail.inc, с рассылкой терабайтов спама от имени счастливого владельца сервиса. В отличие от аналогичной направленности и гораздо меньшей раскрученности сайтика на друпале, который фонтанировал, пока ему не заткнули вовсе возможность общаться почтой (вместе с возможностью регистрации юзверей, к счастью, этот был к тому времени уже мертвеньким, никто не пострадал).

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

137. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от Аноним (??) on 10-Янв-18, 20:03 
Офигеть, из поха даже вебмакака не получилась. Таки да, вебмакаки в темпе вальса делают дешево и круто в темпе васльса. Это и есть смысл их существования. А битрикс ставит полтора ж-порука типа поха, которых заказчик нанял по ошибке. Потом заказчик обычно огребает море проблем с чудо-битриксом, который даже за деньги поддерживать не хотят, а для упрощения жизни сторонних девов там вроде вообще код чуть ли не обфусцирован и они тем более в гробу его видали.

В результате уплачено сотни денег за филькины лицензии, выглядит как овно и работает как овно. И никем толком не поддерживается. Малейшие намеки на проблемы или пожелание тривиальных фич которые умеют все конкуренты мигом отличаются заказчику в астрономические суммы.

Итого: пох отличный внедренец. Рекомендую. Использовать так: засылаете его конкурентам и наслаждаетесь шоу. Можете быть уверены, он кинет ваших конкурентов качественно, да еще сделает вид что продешевил и сделал одолжение.

Ответить | Правка | ^ к родителю #132 | Наверх | Cообщить модератору

139. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 10-Янв-18, 20:51 
> Таки да, вебмакаки в темпе вальса делают дешево и круто в темпе васльса.

сайт из одной страницы (сейчас так модно), жрущий 500 мег на каждое обращение. Ага, делают.
Заказчик доволен, а через пол-года нет уже ни макаки, ни заказчика, ни его конторы. Поэтому разбираться ни с шедеврами дизигна, ни с мутным кодом на неведомом "фреймворке" никому не требуется.
Удаляя мусор с сервера, интереса ради заглядываем в лог...ну да, понятно - стопиццот заходов гугляндекса и прочих роботов-е..тов, за "seo-услуги"-то тот заказчик тоже заплатил, так принято, человеков - ровно ноль, поскольку делать на том сайте человекам совершенно нечего. rm -r, аминь.

А то с чем ковыряюсь я - существует в самоподдерживающемся режиме года этак с 99го, а если учесть полу-существование на чьем-то левом ресурсе еще до появления собственного домена, то и постарше опеннета будет. Для сайта сугубо не-айтишной тематики - неплохое в общем-то достижение. Жаль что в конце-концов все же сдохло, но для необслуживаемого сервера с горе-админами и никудышными владельцами - вполне почтенный возраст. Много вы мне можете таких сайтов показать?

Битрикс там, кстати, не особенно и пострадал. Хотя вот за это хочется живьем прокрутить его авторов через мясорубку:
                        eval("\$eval_result=".$arAgent["NAME"]);
                        unset($USER);
                        CTimeZone::Enable();

                        if(strlen($eval_result)<=0)
(как все мы понимаем, этот if никогда уже не выполнится, если что-то пошло не так)

поломались в основном какие-то самопальные модули, написанные и "документированные" в лучших традициях, но, насколько я понимаю, автор работал тоже за "спасибо", так что претензий предъявлять некуда.

> а для упрощения жизни сторонних девов там вроде вообще код чуть ли не обфусцирован и они тем
> более в гробу его видали.

вы бредите. Для упрощения жизни там принято не лазить куда попало грязными руками, а (подключив правильный, сцук, namespace) дергать внутрибитриксовые методы, это да. Я, к примеру, его апи знать не знаю, и не испытываю ни малейшего желания ознакомиться подробнее. Но все это вполне себе документировано, и техподдержка даже отвечает на вопросы - если денег ей за это платить.
А в сам механизм лазить сторонним девам и не надо - их завтра в лесополосе прикопают, а мне через лет еще этак пять разбирайся, что и где они там вручную "улучшили"...

Ответить | Правка | ^ к родителю #137 | Наверх | Cообщить модератору

142. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 10-Янв-18, 21:23 
Например, типичный битриксовский template.php - это один входящий $arResult с диким количеством никем и никогда не документированных полей, который произвольно разбрасывается по страничке.
Единственная возможность что-то с этим осмысленно сделать - это найти, где для этого темплейта готовились эти данные и - в лучшем случае - какая функция их вернула (они еще кое-как документированы). В худшем - их собирает простыня условий длиной в строчку и циклов по тому, что оказалось массивом. Без единого комментария, не считая закомментированных кусков кода, оставшихся из позапрошлой версии. Причем часть этой логики реализована в том, что с определенной натяжкой можно было бы назвать контроллером (хотя оно круто замешано с моделью), а остальное запахано в сам шаблон.
Ответить | Правка | ^ к родителю #139 | Наверх | Cообщить модератору

143. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 10-Янв-18, 23:25 
ну да, ну да. Но в общем-то понятно, почему оно так - когда этот коран писали, до контроллеров еще не додумались, а потом уже поздно было переделывать.

самое удивительное в этой хреновине - что она вообще-то, как правило, работает. Причем в условиях, когда уже, вроде, давно пора плыть кверху брюхом.

Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

144. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от тоже Аноним (ok) on 10-Янв-18, 23:49 
> самое удивительное в этой хреновине - что она вообще-то, как правило, работает.

Это объяснимо циклом разработки: сделали новую фичу, реализовали в ней самый базовый функционал, несколькими обновлениями залатали дыры - и модуль превращается в священную корову, которую боятся лишний раз тронуть. Развитие - только в самом крайнем случае. В результате глючит оно не у Битрикса, а у тех страдальцев, кто берется допиливать эту базу до юзабельности. Сами виноваты и все такое...

Ответить | Правка | ^ к родителю #143 | Наверх | Cообщить модератору

14. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от anomymous on 07-Янв-18, 12:22 
В рабирастомирках рукожопов тоже достаточно, просто их поделки до паблик продакшна доходят гораздо реже.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от бгг on 07-Янв-18, 14:57 
тут прикол как раз в том, что у wd не было никаких кодерков - вообще.
Купили права на реплику длинка (или обменялись - те им реплику, эти им плохих дисков задешево), права на поддержку купить забыли, или не захотели.

длинк за своими обезьянками через годик дерьмо заметил и прибрал, а wd так и оставили в навозе плавать - а чо, кому оно надо-то?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

52. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Vkni (ok) on 07-Янв-18, 17:48 
> тут прикол как раз в том, что у wd не было никаких
> кодерков - вообще.

Именно! Т.е. WD - это и дорого, и хуже, чем у кетайцев.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

59. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от нах on 07-Янв-18, 19:23 
> Именно! Т.е. WD - это и дорого

почему дорого? Он (младшие модели, по крайней мере) стоит чуть дороже собственного диска.
(в там, разумеется)
После тайского потопа, кстати, народ массово поскупал подобные цацы, не успевшие адекватно подорожать - получалось сильно дешевле чем те же диски в рознице.

у китайцев страшненький был (сейчас, по-моему, уже и не производят). Дизайнеров-то wd нормальных нанял, не пожабился. Это ж все же бытовая техника, мало кто хочет себе китайскую.
И скорее уж дешевле длинка получилось, по очевидным причинам.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

16. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от commiethebeastie (ok) on 07-Янв-18, 12:24 
>Полон опасностей похапе-мирок.

Разработка в стиле php + denwer + putty.exe + vmware.exe и не такие сюрпризы даёт.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

17. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +4 +/
Сообщение от anomymous on 07-Янв-18, 12:30 
Скорее, разработка в стиле "работаетже, страницу показывает, чоещёнадо".
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

30. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 15:10 
> Полон опасностей похапе-мирок.

Кагбэ, в уёб-фреймворке на любом языке можно сделать запуск в шелл команды, слепо взятой из аргументов запроса. Вопрос не в мирке, а в людях в нём.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

43. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Vkni (ok) on 07-Янв-18, 16:55 
> Полон опасностей похапе-мирок.

Нет, тут веселее - тут WD продаёт за достаточно большие деньги откровенное деpьмo, которое даже не самописное, а содрано с DLink'а. Т.е. на разработчиках сэкономили конкретно.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

63. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Gemorroj (ok) on 07-Янв-18, 20:45 
так и знал, что найдутся бездарные илитные кодеры, со своими 5 копейками.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

81. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от Аноним (??) on 08-Янв-18, 02:09 
так и знал, что появится коммунист-апологет похапе. Похапе -- это язык того же качества, каким бывает качество жизни при захвате власти коммуняками.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

83. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от angra (ok) on 08-Янв-18, 02:36 
Дай догадаюсь, по семейным преданиям твой прадедушка был крепким хозяйственником, заработал исключительно своим трудом кучу ништяков, а потом его ни за что расстреляли злые коммуняки, а всё нажитое непосильным трудом забрали в колхоз.
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

87. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от Аноним (??) on 08-Янв-18, 03:40 
Нет, ты что! Коммуняки никого не расстреливали. Это все госдеповский обман.
Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

109. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от angra (ok) on 08-Янв-18, 20:49 
Расстреливали еще как. Особенно от начала интервенции и до победы в ВоВ, так как это был практически единственный способ привести в чувство враждебные элементы, которые были уверенны в скором завоевании родной страны заграницей и как следствие отсидки особо не боялись. Вот после победы большинству стало понятно, что военным путем СССР не сломить и амнистии от завоевателей можно и не дождаться, надобность в расстрелах и их количество резко сократились.

Вот только самое важное состоит в том, что расстреливали в большинстве случаев за дело, а семейные предания имеют замечательное свойство замалчивать, что входило в то самое "ни за что". Ведь не рассказывать же внукам, что дедушка спекулировал, воровал, разбойничал, а может даже зверски пытал и убивал.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

113. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 09-Янв-18, 05:28 
Согласен! Коммуняки никого не расстреливали, а если и расстреливали - то за антиреволюционное дело! Кто не согласен со мной - я бы их сам расстрелял!
Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

115. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от angra (ok) on 09-Янв-18, 10:20 
Судя по всему, ты даже первое предложение не успел понять, как уже бросился строчить саркастический ответ. В таком случае дальнейший диалог теряет смысл.
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

138. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 10-Янв-18, 20:26 
> Вот только самое важное состоит в том, что расстреливали в большинстве случаев
> за дело, а семейные предания имеют замечательное свойство замалчивать, что входило
> в то самое "ни за что". Ведь не рассказывать же внукам,
> что дедушка спекулировал, воровал, разбойничал, а может даже зверски пытал и убивал.

Ты еще про кулаков забыл. Оказывается, жить не как бомж - это было что-то плохое. А уж нанять кого-то для выполнения работ в большом хозяйстве...

А потом к власти пришла голь. Кулаков раскулачили. С каким энтузиазмом шло хозяйство в колхозах - всем понятно. Внезапно наступил голод. Потом кой-как соганали пинками и угрозами расстрелов как бы совсем и не рабов в колхозы. Но в целом это работало хреномо, россияне до сих пор от этого не очухались. У амеров 3% фермеров кормят полпланеты и это крутая высокооплачиваемая работа. А у россиян до сих пор наследие этого. С разваливающимися коровниками (ибо нафиг нормально содержать "чей-то" коровник), нытьем про неурожаи, хреновый климат и просьбами докинуть из бюджета. И третью населения страны вместо 3%. С понятно каким уровнем жизни, уровнем залива за воротник и прочими прелестями чуть ли не эпохи феодализма.

СССР пытался выглядеть круто и авангардно. А реально получился чем-то типа феодализма. Недобитые наследники системы до сих пор никак не могут взять в толк что это хреново работает и просто не конкурент более современным устройствам обществ. А вот к ответу призвать тех кто реально загнал страну в то состояние в котором она была - фиг там. Из-за расстрелов у всех иммунитет, они в домике. Ж-па есть, но в ней никто не виноват. Так само получилось. Все белые, пушистые, выгораживают друг друга. Выводов не делается. П-ц повторяется по циклу до тех пор пока не развалится вообще все. Тогда цикл срубается злыми хомяками, заметившими что в магазинах нет жратвы. Самый эпик это попытки большевиков рассказать про отмену товарно-денежных отношений. Отменить не получилось, тихой сапой какой-то эрзац вернули. Эрзац работал криво и был похож на узаконенный оббор. Так что система ввалилась в режим когда мотивировала не нужных и полезных участников, которые могут многое, типа Элона Маска какого-нибудь, а самых хитрых и приспосабливающихся холуев. Наверное участь такой системы ожидаема. Если все время мотивировать бесполезный и даже вредный балласт, балласта станет больше. Однажды система упадет.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

140. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 10-Янв-18, 20:52 
> А потом к власти пришла голь. Кулаков раскулачили. С каким энтузиазмом шло
> хозяйство в колхозах - всем понятно.

С большущим! Даже платить не надо было – с песнями и за черточки трудодней в деревнях еще несколько лет после ВоВ работали. И оброк продуктами с хозяйства тоже платили. Яйки, млеко, хрюша, коровка, независимо от климата и конкретных возможностей на месте - нет говядины, так купи и сдай.
Правда, почему-то колхозникам еще и паспорта долго после войны не выдавали, видимо сильный дефицит скрепок был.

Ответить | Правка | ^ к родителю #138 | Наверх | Cообщить модератору

141. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 10-Янв-18, 21:05 
> нет говядины, так купи и сдай.

Еще были "гениальные" агрономные решения и эксперименты, типа выращивания риса на Ставрополье.
Особенно там, где с мая по сентябрь если будет с пяток дождей и пару недель плевок не будет испаряться на лету, то лето будет считается дождливым и холодным.
Естественно, в том что рис, несмотря на обильнейшую ирригацию, поднявшую уровень грунтовых вод до подмывания кладбищ, подвалов и "удобств во дворе", виноват был не климат, а происки врагов!

Ответить | Правка | ^ к родителю #140 | Наверх | Cообщить модератору

11. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –2 +/
Сообщение от я on 07-Янв-18, 12:12 
Это ж надо было додуматься и запихнуть похапе туда! Зачем?! Неужели такая большая экономия на похапе-программере?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от anomymous on 07-Янв-18, 12:24 
> Это ж надо было додуматься и запихнуть похапе туда! Зачем?! Неужели такая
> большая экономия на похапе-программере?

Пых очень удобен для вёбморд и прочего, примерно как был удобен перл, только лучше.
Вопрос в том, что в данном случае похоже на ревью кода банально забили.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –3 +/
Сообщение от Аноним (??) on 07-Янв-18, 13:54 
>Пых очень удобен для вёбморд и прочего

как там в двухтысячном? обязательно съезди посмотреть на wtc и предупреди матросов чтоб не совались на курск

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от Аноним (??) on 07-Янв-18, 14:23 
В том то и дело, что экономия. Но PHP тут не при чём. Квалификация нужна и человеческое время до дедлайна.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –4 +/
Сообщение от я on 07-Янв-18, 12:14 
Все сделано в лучших традициях похапе - взяли чужой код и запихнули туда, куда не нужно даже не переделывая! Копи-паст в похапе это наше все. Какие там уязвимости? В похапе о них всегда узнают после взлома, а устраняют через несколько лет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 17:10 
leftpad тчк.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

73. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от тоже Аноним (ok) on 07-Янв-18, 22:28 
> Копи-паст в похапе это наше все.

Ваше - да...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

13. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 12:18 
mydlink Service еще один бэкдор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –7 +/
Сообщение от Аноним (??) on 07-Янв-18, 13:33 
Не вижу ничего критичного, все равно девайс практически всегда скрыт за NAT от интернетов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 14:02 
До конца не дочитал?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от Аноним (??) on 07-Янв-18, 15:47 
Дочитал. Опять же, ничего критичного. Пример как это будет использовано дайте.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

47. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 17:34 
ну либо reverse shell запустить там либо еще чего подобного. варианты есть.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

76. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от angra (ok) on 08-Янв-18, 00:10 
Я правильно понимаю, что ты собираешься взламывать хранилище в своей же домашней сетке?
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

77. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от EHLO on 08-Янв-18, 00:21 
> Я правильно понимаю, что ты собираешься взламывать хранилище в своей же домашней
> сетке?

web-интерфейс не имеет средств для защиты от XSRF-атак

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

84. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от angra (ok) on 08-Янв-18, 02:41 
Туше
Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

57. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от нах on 07-Янв-18, 19:05 
> Не вижу ничего критичного, все равно девайс практически всегда скрыт за NAT от интернетов.

э, и нафиг он тебе такой нужен? Там весь прикол в том, чтоб он был доступен извне.
(он, скорее всего, умеет igd и какой-нибудь dyndns. Возможно, без спроса ;)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

72. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 22:27 
Сетевое хранилище в основном в домашней сетке используется для шаринга файлов на несколько компов. Ну и раздача торрентов пока ПК выключен.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

79. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от нах on 08-Янв-18, 00:33 
> Сетевое хранилище в основном в домашней сетке используется для шаринга файлов на

перечитай внимательней его название - может, дойдет, что это вообще-то не совсем то, для чего ты используешь свое сетевое хренилище.
Там базовая модель - однодисковая. "для шаринга файлов" - ну только таких, которые вообще writeonly (оно обычным nas работать тоже может, но это побочное свойство). А вот для автобэкапалки/синкалки для параноиков, не желающих в штатные cloud'ы или превысивших бесплатные квоты - вполне разумное решение.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

20. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –7 +/
Сообщение от Аноним (??) on 07-Янв-18, 13:44 
Ну а чего еще ожидать от шаблонизатора* "Personal Home Page"...

___
* Если вспомнить, что "Personal Home Page" - не язык программирования, а всего лишь шаблонизатор, то все встанет на свои места, и комментарии по типу "ну почему пых то, пых сё" тут же исчезнут -- сразу становится ясно, что имеем дело с неверным применением инструмента: решили сделать "защиту" на... шаблонизаторе вместо языка программирования.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от Crazy Alex (ok) on 07-Янв-18, 14:57 
то, что писалось для "шпблонтзатора" на современном php и не заработает. Сюрприз - языки эволюционируют. Сейчас это несколько страшный, но вполне современнвй язык без особых косяков. А вот рукожопов с древних времён осталось много, это да.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

61. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от пох on 07-Янв-18, 19:56 
> то, что писалось для "шпблонтзатора" на современном php и не заработает

foreach поправишь - заработает.
То есть можно писать и как для шаблонизатора - если ничего другого не умеешь или не требуется.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

62. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +3 +/
Сообщение от тоже Аноним (ok) on 07-Янв-18, 20:42 
Другой сюрприз - популярные языки несут крест совместимости.
Например, неконсистентность базовых функций (типа рандомного порядка haystack и needle в функциях работы со строками) эволюцией не исправишь. Прожорливость до памяти на каждую переменную - тоже.
Так что если кому нужны языки без косяков - могут придумать свой или брать любой маргинальный-идеальный, не способный похвастаться хоть какой-нибудь массой написанного на нем кода.

Впрочем, хейтеры действительно толком не знают ни достоинств, ни недостатков пыха, ни последних изменений в тех и других. Они выучили свой язык шаблонов - с макросами "решетo", "пых - язык домашних страничек", "похапе и гoвнокод - синонимы" и прочими клише, которые достаточно запомнить, чтобы казаться себе специалистом. В отсутствие образования.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

121. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от anomymous on 09-Янв-18, 13:57 
Угу.

Вот bazaar - отличный пример, как загибаются проекты на хипста трендах.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

22. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 13:56 
> который при обращении будет выполнен с правами root

То есть веб-сервер работает от рута и, надо понимать, это в обновлении не исправили. При таком подходе остальные дыры уже не удивляют.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +2 +/
Сообщение от Нанобот (ok) on 07-Янв-18, 15:04 
Обычная практика для встраиваемых систем. В том же openwrt/lede тоже от рута
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от нах on 07-Янв-18, 15:16 
>> который при обращении будет выполнен с правами root
> То есть веб-сервер работает от рута и, надо понимать, это в обновлении

он в любом случае работает от пользователя, имеющего полный неограниченный доступ к твоим данным, а при удаче - мало ограниченный и к устройствам, бэкапающимся на этот диск.

а содержимого системного (ro,к тому же) флэша в общем-то совершенно на этом фоне и не жаль.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 07-Янв-18, 14:21 
Тестеров, как поймают, на кол посадить! А кодеров отправить к мамке на довзросление.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Нанобот (ok) on 07-Янв-18, 15:28 
А тестеры тут при чём? Не протестировали работу скрипта со всеми возможными 16-символьными логинами паролями? Это скорее некоторых комментаторов нужно отправить на довзросление...
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

44. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Vkni (ok) on 07-Янв-18, 16:56 
> Тестеров, как поймают, на кол посадить! А кодеров отправить к мамке на
> довзросление.

Какие тестеры/кодеры? В о чём? Прошивка-то стянута с DLink'а.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

46. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Аноним (??) on 07-Янв-18, 17:14 
>> Тестеров, как поймают, на кол посадить! А кодеров отправить к мамке на
>> довзросление.
> Какие тестеры/кодеры? В о чём? Прошивка-то стянута с DLink'а.

Те, кто хотя бы скопипастил и поставил пароль.
Тестеры не те, что кликают на юзабилити, а интересуются еще и безопасностью.
К сожалению, часто это два лица в одном.

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

50. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Vkni (ok) on 07-Янв-18, 17:45 
> Те, кто хотя бы скопипастил и поставил пароль.

Там история, если правильно понимаю, такова - DLink'и наняли китайского инженегра за три копейки, он, возможно, даже не по злобе душевной, а для удобства отладки ("ачётакого?"), сделал бэкдор.

Потом WDшники, видимо, наняли индусского студента вообще за спасибо, даже по бангалорским меркам. Вот он и поставил тем слегка подпиленную DLink'овскую прошивку.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

33. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от VINRARUS (ok) on 07-Янв-18, 15:25 
>abc12345cba

Ну шо за безответственность в выборе пароля?
Неужели так трудно использовать этот, на порядки более надежный пароль: Zbc92045cbz ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от dlink on 07-Янв-18, 18:30 
> Неужели так трудно использовать этот, на порядки более надежный пароль

охренел? Да я пока до сортира дошел, уже его забыл.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

70. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от username (??) on 07-Янв-18, 22:20 
>multi_uploadify.php

Ясно понятно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

82. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –3 +/
Сообщение от Мураками on 08-Янв-18, 02:09 
эта песня будет вечной - Meltdown, Spectre а теперь ПЕ-ХЕ-ПЕ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 03:20 
Это еще никто прошивки контроллеров самих дисков не смотрел...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

89. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 04:21 
> Это еще никто прошивки контроллеров самих дисков не смотрел...

Эээ... а там есть какое-то разделение полномочий, пароли, root и не-root, открывается shell по SATA, броузер может по тому же SATA стукнуться в web-интерфейс?

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

90. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Senior Proprietary WC Manager on 08-Янв-18, 06:05 
NDA уже подписал? нет? вот и разговаривать с вами не будем.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

92. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Аноним (??) on 08-Янв-18, 11:07 
WD MyCloud это какая то тормозная жесть, уж не говорю про программную, часть стоял в офисе еле избавились, начальство не хотело. Не покупайте не когда WD MyCloud не ведитесь на дешевизну.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

101. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  –1 +/
Сообщение от username (??) on 08-Янв-18, 12:53 
судя по тому что там похапе))
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

110. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +1 +/
Сообщение от Stop on 08-Янв-18, 21:32 
Партия ПХП выросла и возмужала. Спокойно минусит все комментарии про дэноязык. я даже рад - нормальным парням пепепадёт больше нормальной работы вместо копания в этом.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

112. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от я on 08-Янв-18, 23:14 
Люто плюсую!
Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

118. "В сетевых хранилищах WDMyCloud выявлен бэкдор"  +/
Сообщение от Djam (ok) on 09-Янв-18, 12:52 
Хорошо когда есть тот же LEDE, который лишен таких недостатков.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру