1С-Битрикс и пираты. Как сломать битрикс


1С-Битрикс и пираты

12.10.2011

Статья навеяна подкастом рунетологии с Сергеем Рыжиковым и посвящена различным аспектам пиратского использования 1С-Битрикс с позиции разработчика.

Сразу скажу, давно в молодости было желание перейти на «тёмную сторону», уж больно заманчивым казалось использование 1С-Битрикс: Управление сайтом редакции Бизнес не за 50К наших отечественных денег, а бесплатно методом установки исходных кодов на каждый проект (благо у партнёров тогда была такая возможность – тупо скачать дистрибутив в «исходных кодах»).

Напомню, когда Сергею задали довольно неожиданный (судя по ответу) вопрос о количестве сайтов на пиратской копии, то оценка составила примерно 100-200 проектов. На 60К+ выписанных лицензий!

Волшебная ситуация, не правда ли? Давайте разберёмся, почему такое может быть в стране, где ещё недавно лицензионную копию Windows было найти куда сложнее, чем Mercedes.

1С-Битрикс – сложный продукт для разработчика, а не для владельца проекта.

Сколько бы маркетинг не говорил нам об обратном, сколько бы мы сами не пытались способствовать обучению клиентов (в том числе этими статьями и разделом с бесплатными готовыми шаблонами), но 1С-битрикс всё равно достаточно сложен. Чтобы развернуть решение чуть сложнее визитки и чуть отличающееся от типового, надо уже хотя бы уметь редактировать PHP-код и иметь представление об архитектуре продукта.

У непрофессионала таких знаний, как правило, нет. Профессионалам выгоднее работать с 1С-Битрикс, продавать лицензии и получать свои 50%. Клиент не должен даже задумываться о том, что нужно сменить какой-то параметр с 0 на 2 в .httacces, чтобы можно было установить 1С-Битрикс кодировке UTF-8. У заказчика, как правило, есть идея. Этого достаточно.

Для того, чтобы установить нелицензионную копию 1С-Битрикс (или сломать лицензионную) так же нужны знания. В официальной документации вы их не найдёте.

Процесс создания пригодных к использованию дистрибутивов на основе 1С-Битрикс, работающих без лицензии называется null’ение, а дистрибутив, соответственно null.

Расслоение в среде разработчиков, использующих за-null-енные копии 1С-Битрикс.

По определённой причине мне доводится общаться на ряде форумов, где распространяются null-версии 1С-Битрикс. Я вижу те темы, которые обсуждают разработчики их использующие. И я обратил внимание на огромную пропасть между ними.

Одна группа разработчиков, как правило, это те, кто и создают null, - великолепные программисты высшего класса. Я счёл бы честью работать в одной команде с каждым из них. Эти люди перебирают едва ли не каждый файл системы. Я своими глазами наблюдал, как эти люди создали свою систему на основе 1С-Битрикс, а потом обновляли её, перерабатывая обновления 1С-Битрикс.

Как думаете, это лёгкая работа?

И есть другая группа людей – это, как правило, те, кто создают темы «скачать битрикс бесплатно» и «1С-Битрикс 13.0 в исходных кодах». Если такой человек присоединяется к уже идущему обсуждению, то основные темы им затрагиваемые касаются того «как установить», «как активировать» и «а нет стучалок».

Конечно, не всё так просто и ярко, как я пытаюсь описать. Бывают ситуации, когда люди используют «нуллёный» 1С-Битрикс, делают выгрузку номенклатуры из 1С и задаются вопросом почему же не работают ссылки на товары, не представляя где происходят настройки ЧПУ отдельного компонента и что в демо-сайте у товаров могут быть символьные коды…

Первые – гуру, которых не устраивает система. Или вернее устраивает, но они хотят чего-то своего, не хотят подчиняться большинству и не хотят признаваться во всём этом, что очень важно!

Вторые – просто набираются опыта.

Не стоит полагать, что первые делают плохие сайты. Я не видел их сайтов на 1С-битрикс (тем более на «нуллёном»), но той работы, что они проводят с дистрибутивом и так достаточно, чтобы оценить их уровень. Возможно, когда-нибудь 1С-Битрикс или партнёры сумеют привлечь этих людей к созидательной деятельности. Не наказать. А именно убедить работать вместе.

А Битрикс ли nulled 1С-Битрикс?

Ключевой вопрос моей статьи.

Как разработчик, я видел, как за 1-2 года умирают вполне себе хорошие сайты на лицензионной копии продукта, оставшись без технической поддержки, администрирования, обновлений и просто внимания.

Каков шанс самоделки выжить?

К сожалению, большинство таких экспериментов действительно умирают ещё во младенчестве. Заказчик, экономящий на всём, в том числе не лицензии на удобный инструмент – не самый приятный на свете человек. Результатом конфликта с разработчиком обычно становится разрыв отношений и поиск нового «программиста». Но если основной критерий поиска специалиста цена, то найдётся скорее всего «специалист» по open source и сайт будет в лучшем случае перенесён на Joomla, а в худшем его мутация приобретёт и вовсе непредсказуемый характер, оставив только папочку /bitrix/, да воспоминания…

Что в этом хорошо, что плохо?

Мне не кажется данное явление таким уж плохим. Сомневаюсь, что от единичных случаев воровства компания 1С-битрикс или партнёры серьёзно страдают. Более того, все мы серьёзно выигрываем, когда поигравшись с зануленным продуктом разработчик приходит к пониманию необходимости использования лицензии, регулярных обновлений и конечно использования архитектуры продукта, а не придумывания велосипедов…

А вот что действительно плохо, так это то, что в результате проведения таких экспериментов и жизни таких франкенштейнов появляются:

Полгода назад мне казалось, что 1С-Битрикс: Управление сайтом «Первый сайт» и .NET Forge CMS Community Edition решат эту проблему.

А сейчас, вспоминая Сергея, я понимаю, что проблемы-то нет!

100-200-500 (даже 1000) сайтов из 60.000 лицензий (на некоторых из которых развернуто по 2 сайта) это лишь небольшой процент, который не повлияет на ситуацию в целом.

Всегда будут те, кто желает сэкономить. И всегда будут те, кто предоставит им эту возможность.

Но продукт движется столь большими шагами, что зануленная 10-я версия уже кажется другой CMS при взгляде на лицензионную 11-ю… и крупные проекты будут покупать лицензию, покупать обновления, покупать услуги профессионального разработчика!..

xn--80ahcjeib4ac4d.xn--p1ai

Agile в небольших командах — как красиво сломать себе шею

Я весело вещал на киевской партнерке про Agile в небольших командах. Но… недовещал, а только разогрел. Хочется, все таки, закончить повествование и рассказать, наконец, правду-матку о том, как все таки красиво Agile ломает шеи разработчикам и менеджерам! Наливаем кофе и ныряем под кат, будет очень весело.Программирование — только для умных

Как же надоело слушать от технически некомпетентных «гуманитариев» и домохозяек рассуждение о доступном для всех, в том числе и для ржавых чайников, программировании через соединение кубиков. Чепуха это полнейшая. За программирование отвечает левое полушарие, которое в эпоху фейсбука, кофе и взаимного лайкания и обсуждения зверушек в соцсетях — постепенно атрофируется у современных гуманоидов. Хотите резко поднять мотивацию у программиста? Покажите ему, как менеджер проекта решает элементарную задачку: вычисляет экстремумы и перегибы функции через нахождение производных первого и второго порядка, заливая капающей из ушей кровью рабочий стол и издавая инфразвуки от нечеловеческого перенапряжения!

И хотя в истории были случаи попыток массового обучения «простых» людей программированию — без досконального знания алгоритмов, тонкостей языка программирования и особенностей работы операционной системы максимум, на который вы можете рассчитывать — это получить бригаду фронт-энд «разработчиков»/верстальщиков (специально взял в кавычки), которым не нужно знать лишнего, кроме как «чтобы выглядело красиво».

А самое страшное, что может тут произойти — это работать с ненастоящими программистами долго и успешно над простыми примитивными проектами, не требующих глубоких знаний, а затем заняться интересным, сложным проектом с примесью Computer Science — веселье предстоит просто улетное: все ломанутся на StackOverflow и начнут заново изобретать… алгоритмы и удивляться, что TCP отличается от IP!

Детали — важны, как никогда ранее

К сожалению, чтобы программировать правильно, нужно знать язык программирования глубоко и широко. Если это простые динамические языки типа Python, Ruby, PHP, JavaScript — то знать там особо нечего, тонкостей и внезапных сложностей практически нет и можно лепить что лепится и оно будет как-то работать до определенного момента.

Но чтобы писать на «настоящих» промышленных ЯП, таких как C++, Java или C# — требуется интенсивная подготовка в течении парочки лет и чтение и понимание толстых книжечек и всех тонкостей языка. Но это только начало — важно научиться программировать в парадигме ООП — а это еще тройка лет и чтение другой стопки книжечек по шаблонам проектирования.

Если скучно, то можно разбавить жизнь программиста, применяя функциональные сладости на гране извращений типа лямбд и замыканий — но от этого всегда можно отказаться и вернуться к здоровому аскетизму и православному ЗОЖ.

Проектирование — иначе просто нельзя

Вы правда поверили сказкам, что можно размазать эмоциональный бред на листочки, а на обратной стороне написать definition of done в стиле «фи/не фи» и не проектировать? Да вы, братец, с ума сошли. Любая более-менее сложная система требует обмозговывания и потребления у доски пары десятков чашек кофе. Логическая схема сущностей, ролей, формальное описание алгоритмов — должны быть сделаны с полной алгебраической беспощадностью. Тут, как раз, пригодится знание UML. Иначе вы будете похожи на обезьяну, с пренебрежением поглядывающую на коммутационный щит с проводами с мыслью: «фигня вопрос, все тут и так понятно, главное — я такая красивая». Поэтому не позволяйте глупости и лени захватить мозг проектной команды и всегда строго формализуйте сложные вещи.

Программистами — не нужно управлять

Откуда вообще появились менеджеры в программных проектах? А все просто — программисты часто настолько демонически умны, что могут направить проект мимо цели в область эстетики и совершенства, наплевав на сроки и жадного клиента — просто по идеологическим соображениям, просто из-за любви к прекрасному. Поэтому, разработчикам скорее нужны не менеджеры — а воспитатели и вдохновители, умеющие говорить приятные вещи про код, про клиента, про жизнь и вовремя покупающие печеньки и кофе.

До сих пор не знаете самый любимый фильм у программистов? Вот же он — обязательно устраивайте еженедельный просмотр, кино отлично мотивирует, особенно перед встречами с клиентом!

Но программные проекты — это не только код и программисты с вспомогательным персоналом, это еще и бизнес. А при наличии особо истеричных тетенек-инвесторов возникает такая политическая абстракция, как сроки и бюджет. Именно это и порождает класс IT-менеджеров. К большому сожалению, для эффективного и бережливого управления командой — менеджеру, положа руку на сердце, необходимо быть технически подкованным, вникать в детали проекта и оценивать риски. Ощущая компетентного «вожака», команда интуитивно помогает ему хоть как-то, хоть грубо и не точно, но по совести — попытаться оценить риски и прикинуть оценки и затраты времени, чтобы хоть как-то успокоить политическую истерику на более высоких уровнях абстракции. И это — часто ведет к успеху.

Но если менеджер сознательно «включает дурачка», надевает «розовые очки» и начинает публично играться в листочки c эмоциональным бредом (ProductBacklog), досочки (Burndown), картишки (PlanningPoker) и улыбаться на Retrospective так, что ждешь, что вот вот случится каминг-аут — то, скорее всего, проект обречен и сделать уже ничего нельзя.

«Из курочки — сварит и дурочка»

Поэтому — расслабьтесь и не пытайтесь изучить и отличить "водопад" от RUP, а Scrum от Kanban — это не поможет. Сосредоточьте усилия на поиске настоящих программистов! Команда сама выберет наиболее адекватную проекту методологию, число тестировщиков, аналитиков и, что особенно важно, бригаду адаптации эмоциональных эманаций клиента в область строгой формализации и алгоритмов — всяких менеджеров разных мастей и научит их работать.

Парадокс, но имея адекватную команду программистов, становится неважно, какую методологию выбрать — поверьте, любая методология, даже самая «страшная и ужжжасная» под именем «без ТЗ» — приведет проект к успеху и взлету в срок с прекрасным техническим качеством. В принципе, можно даже стать волшебником изумрудного города — и проект все равно взлетит. И наоборот — набрав «сантехников» по объявлению, вам не поможет даже самая правильная, единственная правильная методология в мире — водопад. Люди запутаются в собственном коде и документации до такой степени, что придется набирать несколько каскадов тестировщиков, проверяющих баги предыдущего каскада (в периоде).

Agile — для спецназа

Важно очень хорошо уяснить, что Agile сейчас просто выгоден менеджменту для защиты от «истеричных инвесторов» и поэтому так популярен — и превращает команду разработки в подобие Макдональдса с теоретической взаимозаменяемостью, прозрачностью и… также теоретической, отчуждаемостью. Сразу видно, как хорошо все управляется: нет умников, все заняты делом, циферки растут, люди бегают — но это все, конечно полная чушь.

Agile, в своей сути, это, так сказать, методология сотрудничества разработчиков высшей категории профессионализма, находящихся нередко под действием легких наркотиков и сверкающих от собственного подлинного совершенства — с клиентом в стремлении сделать крутое и классное решение, желательно в срок (чтобы тетеньки не истерили), но которым обязательно можно будет гордиться! Все, вот это Agile — чувствуете уровень и разницу с тем, что сегодня подается под похожим соусом? :-) Становится очевидно, что набрав молодежь и оппившись кофе (или покуривши чего-то), прочитав пару-тройку эмоциональных книжек про итерации и ретроспективы и как всем стало хорошо — вы просто наверняка сломаете себе и команде шею, причем так красиво и эффектно, что будете икать всю оставшуюся жизнь.

Никогда не забывайте историю появления XP и судьбу девушки-product owner, которую Kent Beck с невменяемыми заказчиками довели до паралича и нервного тика лица. Зато да, книжки написали интересные… :-)

Качество кода и сплоченность команды — превыше всего

Запомните, что самое важное в программном проекте, который пишут настоящие программисты — это красота и стройность программного кода! Именно он привлекает к себе людей, мотивирует их вкладывать на свое развитие время и энергию. Остальные составляющие — производные.

А что такое красота программного кода? Это:

Человек открывает код… и ему приятно развивать его дальше, у него повышается настроение! А бывает же, что открываешь код и с трудом сдерживаешься от рвоты — это правда жизни.

И не важно, на каком языке программирования пишут ваши джедаи кремния. Можно великолепно писать на JavaScript, вводя читающих в состояние интеллектуального экстаза. А можно поставить на поток низкопробное порно на java и гнать жуткий депресняк, распугивая не только крыс, но и маскирующихся под людей инопланетян…

Выводы

P.S.: По-секрету, говорят есть способ все таки взлететь в любом случае — работать по строгому водопаду с ТЗ, unit-тестами, жесточайшей дисциплиной и человеческими жертвоприношениями Ктулху. Но это если повезет. А иначе вы попадете в суровую атмосферу Первой мировой и будете заниматься матстатистикой — прогнозом и подсчетом потерь личного состава от лягания лошадей и вести активную борьбу с каннибализмом. Удачи!

habr.com

ЦМС Бирикс: дырявая случайно или специально? [Архив]

Просмотр полной версии : ЦМС Бирикс: дырявая случайно или специально?

Игорь К

02.11.2012, 19:11

Третий раз сломали сайты на Битриксе. У меня по глупости шесть сайтов на нем. Я так понимаю, что меня хотят убедить что Битрикс - дырявый!?1. Те сайты, что не на Битриксе, но на других доменах и ЦМС - не ломают. Пример: сломали битриксный http://italy.ua, но ни разу не сломали вордпрессовый http://greece.ua/.2. За последние 10 лет впервые сломали сайты вообще, и именно на этой ЦМС.Что ломали:- перезаписывали .htaccess - меняли файлы- заливали вредоносный код - спамили с сайта и рассылаои вирусы.По мнению админа последний вирус попал 90% через битриксовский message_send.php):3. Про танцы с бубном по советам техподдержки все проходили без малейшей пользы:- доступ к админчасти сайта (для всех пользователей, у которых есть доступ на изменение PHP-кода, в том числе и для администраторов) меняли и не раз, пароли - повышенной сложности.- к базе данных снаружи доступ закрыт с рождения- по FTP/SSH точно не заливали, админ анализировал логи- к панели управления хостингом злоумышленно попасть невозможно, ее просто нет, так как это мой сервер на колокейшене )- что программист мог оставить бэкдор на сайте и осуществлять доступ через него - тоже отпадает, т.к. у меня на разном ядре. Но раз ломают оба, то дыра в Битриксе общая для двух версий. С одного ядра во второе не попадешь... Надеюсь...Судя по отзывам в сети, стоимость работ по проверке уязвимости Битрикса составляет от 150-200 долларов и выше.Правильно я понимаю, что Битрикс специально не латают, чтобы у разработчиков подработка была? smile:)Проголосуйте! )))

А в чем дырка заключается? :rolleyes:

А в чем дырка заключается? :rolleyes: И тишина... ибо смысл поста был в размещении ссылок.

Игорь К

02.11.2012, 21:28

И тишина... ибо смысл поста был в размещении ссылок. Не говорите глупости. Мне больше нечего делать как ссылки здесь поставить? На кой х...?Просто на клиентской форуме Битрикса пытаюсь достучаться до разработчиков. Это не особо успешно и занимает много времени.Ну и не обещал вам отвечать через 5 минут.Я уточнил пост свой выше.

aftamat4ik

02.11.2012, 21:57

Возможно это у вас по серверу вирус гуляет - ибо все признаки на лицо. Вы считаете что сайты ломают через sql инъекции и прочий бред? По мне так у вас где-то троян сидит или червяк.... Возможно кто-то из вашей фирмы написал деймон и запустил его. Этот деймон, например, позволяет получить пароли от сайтов. Я например кгда сайт универа делал и отдавал учетку главного админа сделал так: создал в папке(защищенной хтакесс паролем) файл, который выводит содержимео файла configuration.php в джумле. Таким образом я получил доступ к фтп и mysql.... Теперь если выпрут из универа - хана им хДД Учитесь елки палки.... Вы никого на днях не увольняли?)) Просто может этот чел тоже хитрым оказался...._________________________________Ага) Так вам буржуям и надо. Да здравствуют те кто ломает платные CMS хД

Игорь К, как бы не доказанно, что Битрикс виноват. Проверяйте сервер, логи и т.д.aftamat4ik, ишь, какой коварный... А я все данные клиентов специально стираю, чтобы даже по великой пьяни не залезть куда не следует.

aftamat4ik

02.11.2012, 22:11

aftamat4ik, ишь, какой коварный... А я все данные клиентов специально стираю, чтобы даже по великой пьяни не залезть куда не следует. О да я такой(думаю не 1 я, судя по тому что у чела творится хД)) А на счет коварства то лучше приставить нож к горлу и попросить, чем просто попросить... Ибо в этом случае человек у которого просиш радуется в двойне) Радуется что ему дали жить дальше и радуется тому что помоч сумел хД:bl: И к стати возможно из-за платности битрикса сайты на нем потенциальному хакеру кажутся более привлекательными, так как на платных CMS 100% СДЛ делают(наверное...) Вот он и ломает их. ссылка с сдл по идее стоит гораздо больше... Вот это и объяснение. Думаю будь у вас на джуле или вордпрессе сайты с хорошим тиц - он ломал бы их.

Благодаря Игорю К существует предвзятое мнение к фрилансерам и вообще русскоговорящему сегменту. Теже буржуи, например, не подумали бы о таком и не сделали. Как, например, на купонах живут в глубинке России. Разные менталитеты и профили моральные.

Рабоатешь на фирме - соблюдай праивла, а когда получается такое г*вно, как у вас с битриксом, то разочаровываешься во всём мире и думаешь что все говнюки.

логи, чистка от вирусов поможет только если. Битрикс - не первый год на рынке, грешить такими заявлениями - надо иметь основания.

alexvaleev

03.11.2012, 00:36

Наугад набрал _http://italy.ua/phpinfo.php и увидел настройки сервака. Вполне возможно для конкретной версии софта есть эксплоиты.Также в корне лежит файл _http://italy.ua/test.php. В нем ничего интересного, но сам факт намекает, что стоит взглянуть на квалификацию разработчиков и только потом обвинять битрикс в дырявости.

bukachuk

03.11.2012, 07:22

ТС, Вы сначала найдите конкретную дыру в коде, выложите кусок этого кода на форум для обсуждения, а так это очередной ах. Ломануть могут через кучу других мест и в 90% это происходит как раз не через код.

melkozaur

03.11.2012, 07:25

Сломать можно что угодно. В конце концов, многое зависит от хостинга, я раньше держал на одном несколько сайтов - там в порядке вещей раз в месяц все сайты ломались.А Бирикс - это не CMS. Бирикс - это секта.

Sandalia

03.11.2012, 07:53

Наугад набрал _http://italy.ua/phpinfo.php и увидел настройки сервака. Вполне возможно для конкретной версии софта есть эксплоиты.

да, phpinfo надо обязательно отключать в php.ini

А Бирикс - это не CMS. Бирикс - это секта. Секта так секта... Наугад набрал _http://italy.ua/phpinfo.php и увидел настройки сервака. Вполне возможно для конкретной версии софта есть эксплоиты.Также в корне лежит файл _http://italy.ua/test.php. В нем ничего интересного, но сам факт намекает, что стоит взглянуть на квалификацию разработчиков и только потом обвинять битрикс в дырявости. Админа к стенке, ТС на позорный столб. Саппорт Битрикса катается от смеха...

Битрис случайно дырявый или специально, чтобы на штопке бабда нарубить? сам вопрос поставлен слишком предвзято, а ведь еще древние говорили что правильный вопрос = половина ответа

что касается "дырявости" - битрикс не более и не менее чем любой другой двиг- доступ к админчасти сайта (для всех пользователей, у которых есть доступ на изменение PHP-кода, в том числе и для администраторов) меняли и не раз, пароли - повышенной сложности.с полгода назад у одного из моих клиентов ломанули пачечку сайтов на однотипном двиге, когда полез выяснять - оказалось что у девочки-контентменеджера просто "увели" почту... тут хоть какие пароли ставь, имея доступ к почте злоумышленник все равно может попасть в админкуэто простой пример, показывающий что необязательно в двиге делокстати, возможность изменения пхп-кода из админки = вселенское злочто программист мог оставить бэкдор на сайте и осуществлять доступ через него - тоже отпадает, т.к. у меня на разном ядре. Но раз ломают оба, то дыра в Битриксе общая для двух версий.шелка, если она там есть, может быть где угодно и замаскирована под что угодно, например под картинку... ядро, равно как и его версии ей фиолетовы

Игорь К

03.11.2012, 16:13

Игорь К, как бы не доказанно, что Битрикс виноват. Проверяйте сервер, логи и т.д. Проверяем. Но это же ненормально, если: 1. Больной на голову разработчик путем вставки небольшой строки кода может получить доступ в начале в админку, потом - ко всему сайту, а потом и ко всему серверу!!! 2. Большой дырой безопасности Битриксе считаю, что получив доступ к одному файлу сайта, зпотом получает доступ как к самому сайту, так и ко всему серверу. И что тАк созданная ЦМС "Битрикс" является безопасной? 3. Вопросы перехода на более безопасные алгоритмы работы разработчиками отметаются. Я поднимал тему о Битрикс в связке php-fpm+nginx,. Стухла сразу. 4. В ЦМС "Битрикс" нет и не планируется механизмов контроля за созданием дыр в ней сторонними разработчиками. Соответственно - нет и не планируется механизмов восстановления ЦМС после взлома. Разве тАк созданная ЦМС "Битрикс" является безопасной? Т

Вот я и спросил: может самим разработчикам Битрикса нужна "такая безопасность": возможность держать на крючке сайты Клиентов? Логичный вопрос, согласитесь?!

P.S. Продажа ЦМС "Битрикс" серьезным проектам говорит только о том, что те, кто ее купили - в зоне серьезного риска. И им надо срочно продумывать сложные и дорогостоящие схемы резервирования данных и п

searchengines.guru


Prostoy-Site | Все права защищены © 2018 | Карта сайта