«Айкон» сделала пятую версию своей CMS

Компания «Айкон», занявшая в первом рейтинге новосибирских разработчиков сайтов пятое место, завершила разработку пятой версии собственной CMS.

Эта система управления сайтом используется не только на ресурсах клиентов «Айкона», но и у крупных телекоммуникационных компаний. (Причём до сих пор.)


Комментариев — 7

  1. ДжейТи 21.01.2008 в 09:20

    А не связано ли это со взломом сайта банка левобережный?
    http://svtol.1nsk.ru/blog/post10053.html

    0 

  2. Бонин 21.01.2008 в 13:30

    Какое любопытное дополнение. Спасибо, ДжейТи.

    0 

  3. serge 21.01.2008 в 21:55

    Ага с безопастностью у них похоже плохо.
    Если судить по форме авторизации тут http://hnet.ru/admin/
    То:
    1) неверно идёт работа с magic quotes (отсюда возможен sql injection) – хотя здесь возможно просто не верная настройка php под данную CMS, но по идее коробочный продукт должен автоматом определять настройки и работать соответствующим образом.
    2) данные пришедшие из вне и выводимые потом в html выводяться как есть, без обработки. Вернее обработка там есть, но не верная (отсюда возможен cross site sсriрting).
    Это можно увидеть если ввести в поле логина что нибуть типа:
    bla’bla”bla>bla

    0 

  4. VK 22.01.2008 в 01:17

    Этично ли воровать CMS – вот в чем вопрос? Почему-то кажется, что у нас скорее да, чем нет. Кино смотрим, mp3 слушаем, нелицинзионный софт используем – CMS из той же области, сомнительно, что должно быть исключением.

    0 

  5. VK 22.01.2008 в 01:23

    Кхм. Айкон последний абзац своего анонса явно под утро (после нескольких бессоных перед завершением проекта ночей) дописывала.
    “В новой версии системы по сравнению с Icon CMS четвертого поколения, новая обладает повышенной информационной безопасностью, что немаловажно для расущего числа крупных корпаративных клиентов нашей компании.”
    “В новой новая”, “расущего”, “корпаративных”.

    0 

  6. Максим 23.01.2008 в 15:36

    Миша, демо будет? :)

    1 

  7. Михаил 8.02.2008 в 00:03

    Отвечу всем по порядку:
    2ДжейТи
    Во первых, чтобы не было слухов, подтверждаю, что взлом был. И мы сейчас помогаем в его расследовании компетентным органам. Сломали на самом деле не сильно (гордиться там абсолютно нечем) и доступ то получили лишь к первой страницу, но именно по этому и заметно.
    Как вы знаете ошибки искать тяжело тем более 4х летней давности, тем более в системе управления давным давно устаревшей и не поддерживаемой.
    Но обновление никак с этим инцидентом не связано, обновляли CMS далеко ушедшую от использованной в банковском сайте.
    Вообще это наша больная тема которая еще подпортит нервов утешает лишь одно – не ошибается тот кто ничего не делает.
    2serge
    Не надо обобщать. Здесь вообще чистейшей воды воровство причем сотрудником клиента у которого естественно были полные доступы к системе, та версия никак не защищалась. Но и не это причина обновления CMS, это лишь подтолкнуло нас встроить систему проверки подлинности.
    что касается коробочности – никто и никогда не говорил что мы делаем коробочную версию CMS! Нет у нас такой цели – это другой бизнес и мы пока им не занимаемся. Соответственно все косяки ворованной системы к нам не относятся.
    Кстати Home Net таки и пропала…. Может правда времени нет…

    2VK не было у нас никакого аврала и сроков не было. просто написали некрасиво. Бывает. Вроде и люди не творческие, а пишем не всегда литературно.

    2Максим
    Ну как бы есть для клиентов, но боюсь при ее представлении критики много будет притом не конструктивной а именно эмоциональной. А я человек чувствительный:) Да и наполнения нет и литиратура хромает. В общем не покажем пока…

    0