Автор Гілка: Фонд фінансування та підтримки ВПЗ  (Прочитано 10609 раз)

Pops

  • Гість
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #15 : 2011-04-22 20:01:09 »
http://typo3.org/teams/security/security-bulletins/
Тут теж core є.
Жумлою більше народу користуються, більше простору для зламу, от і знаходять більше. А через менший поріг входження більше початківців, яких і поламати не так і важко.

Відсутній DalekiyObriy

  • Літератор
  • ******
  • дописів: 1929
  • Карма: +5/-0
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #16 : 2011-04-22 21:04:17 »
стало цікаво і я не полінувався трішки погуглити: Михайло таки не перебільшує, волосся дибки стає від чисел

http://henriksjokvist.net/archive/2010/6/joomla-has-a-security-problem-the-benefits-of-centralized-contrib-hosting

Цитата
Платформа      Кількість вразливостей
Drupal              9
Typo3               2
Wordpress        70
Joomla             637 :o

джерело: http://www.exploit-db.com
Fedora 35 (x86-64)

Pops

  • Гість
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #17 : 2011-04-22 22:16:27 »
Гаразд. Тоді цікавлять дві речі:
1. На офсайті TYPO3 повідомлень про вразливості значно більше за 2. Як рахував автор і за який період часу?
2. На eploit-db по джумлі основна маса вразливостей стосується додатків, яких ой як багато. З 2006-го по них усих не дивно, що назбиралося стільки.
Хоча, сайт корисний, я на нього якось і не натрапив.

Відсутній yvh

  • Дописувач
  • **
  • дописів: 56
  • Карма: +0/-0
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #18 : 2011-04-23 07:55:08 »
...
2. На eploit-db по джумлі основна маса вразливостей стосується додатків, яких ой як багато
...
Якщо вірити офіційним сайтам, то у Joomla 7390 додатків, у Drupal - 7804.

Pops

  • Гість
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #19 : 2011-04-23 15:07:09 »
Якщо вірити офсайту, то в Друпала та його додатків дірок теж немало було (на exploit-db для джумли з 2006-го року пораховано)
http://drupal.org/security/

Відсутній DalekiyObriy

  • Літератор
  • ******
  • дописів: 1929
  • Карма: +5/-0
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #20 : 2011-04-23 17:33:37 »
Якщо вірити офсайту, то в Друпала та його додатків дірок теж немало було (на exploit-db для джумли з 2006-го року пораховано)
http://drupal.org/security/
от тільки різниця в тому, що http://drupal.org/security/ має 2 звіти з 2010 (і поки жодного за 2011)
а http://feeds.joomla.org/JoomlaSecurityNews має 15 вразливостей в Core лише за березень-квітень 2011 (!!!) і тут не йде мова навіть про додатки, лише про ядро
можна, звичайно, порівнювати степінь вразливості проблем і інші аспекти, але загальна картина (принаймні для мене) вже вималювалась :)
Fedora 35 (x86-64)

Відсутній yvh

  • Дописувач
  • **
  • дописів: 56
  • Карма: +0/-0
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #21 : 2011-04-23 17:39:48 »
на exploit-db для джумли з 2006-го року пораховано
А для інших (хоча б для того ж Drupal)?

Pops

  • Гість
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #22 : 2011-04-23 18:21:36 »
от тільки різниця в тому, що http://drupal.org/security/ має 2 звіти з 2010 (і поки жодного за 2011)
а http://feeds.joomla.org/JoomlaSecurityNews має 15 вразливостей в Core лише за березень-квітень 2011 (!!!)
1. Просто в обох звітах про Drupal написано Multiple Vulnerabilities.  :)
2. Joomla 1.6.x (а звіти на цю версію, окрім одного) зараз щось типу як Debian Wheeze — ніхто не підганяє переходити.

Відсутній gvy

  • Письменник
  • *****
  • дописів: 576
  • Карма: +0/-0
Re: Фонд фінансування та підтримки ВПЗ
« Відповідей #23 : 2011-04-25 19:49:54 »
Жумлою більше народу користуються, більше простору для зламу, от і знаходять більше.
Ой, десь я вже це чув.  Про віндовси нібито.  Та про IE6.

А через менший поріг входження більше початківців, яких і поламати не так і важко.
Мабуть, серед розробників у першу чергу.

PS: я не кажу, що розробники та користувачі джумли скрізь дебіли -- знаю принаймні двох нормальних давніх користувачів та спілкувавсь з принаймні одним екс-розробником, котрий розповідав про марно вкладені зусилля щодо безпеки.  Але НМД в розробників досі не виходить подорослішати, а в користувачів -- не вляпатися, переїхати або докладати розумних зусиль на підтримку.

PPS: повертаючись до lsupport -- то, мабуть, відповіді щодо "реального сектору" я так знов і не почую.