Новые возможности, модификации, общие изменения

Изменён метод подключения классов работы с базой данных. Частично модифицирован код, реализована возможность подключения других классов работы с базой данных MySQL.

Добавлено семь новых классов для работы с различными типами баз данных, таких как: PostgreSQL, Oracle, MSSQL, SQLite и других.

Добавлена возможность конфигурации принудительного подключения базы данных в кодировке utf8. Рекомендуется использовать изначально при установке системы или в случае появления вопросов за место нормального текста.

Установлена новая версия HTML редактора Tiny MCE 3.1. Изменены функции подключения в связи с новым методом интеграции, удалены старые участки и файлы подключения старой версии.

В модуле новостей и каталоге файлов добавлены кнопки удаления при простом и подробном просмотре материала.

Обновлена до актуального уровня база данных географического нахождения IP адресов.

Установлена возможность регистрации имени пользователя и администратора с использованием русских букв, а так же пробелов в имени.

Исправления и корректировки

Откорректирован вывод русского алфавита при просмотре списков модуля новостей и каталога файлов.

В модуле новостей и каталоге файлов откорректирована сортировка по буквам русского алфавита.

Исправлена функция и вывод ключевых слов, которые генерируются в автоматическом режиме при подробном просмотре материала.

Добавлена активация принудительной работы сервера в кодировке utf-8. Данная опция имеет смысл, в случае если Ваш сервер не определяет кодировку автоматически.

Модифицирована функция определения модулей в панели администратора системы. Теперь если в папке модуля не находится файл index.php, данный модуль не определяется системой как модуль. Имеет смысл в случае использования модулей не по их прямому назначению, к примеру, как редактор spaw2 или fckeditor.

Модуль резервного копирования и восстановления базы данных переведён в кодировку utf-8.

В профиле пользователя удалена опция подписки на новости по причине отсутствия на то необходимости.

Исправлено некорректное отображение ключевых слов в блоках "ключевые слова" и "ключевые слова для поиска".

Решён вопрос с заслешиванием одинарных и двойных кавычек при публикации материала в пользовательской части проекта. Частично изменена логика фильтрации входящей информации и её основные функции.

Решена проблема, связанная с некорректной работой рейтинга в случае его отключения в панели администрирования рейтингом.

Повышение уровня безопасности

Модифицирована функция определения главного администратора, системы, повышен уровень безопасности её использования.

В модуле пользователя удалена возможность загрузки аватара с удалённого сервера в виду потенциальной уязвимости данного метода.

Модифицирована функция загрузки файлов на сервер, устранены некоторые неточности связанные с безопасностью. Модификации подверглись участки, и модули где используется данная функция.

В целях повышения безопасности в модуле загрузки файлов удалена возможность загрузки удалённого файла с удалённого сервера, таким образом, устранена возможность подмены или манипуляции загружаемого файла.

Частично переписан модуль рекомендаций, устранены и модифицированы потенциально опасные к уязвимостям участки кода.

Проработаны все модули системы, имеющие потенциально опасные участки кода, установлены соответствующие фильтры, препятствующие инъекциям и вредоносным внедрениям.

Новые возможности, модификации, общие изменения

Реализована новая возможность GZip и BZip2 сжатия файлов при использовании BB Редактора, а так же файлового редактора панели администратора системы.

Модифицирована функция сохранения лог файлов ошибок, динамических ошибок, запрещённых действий и нападений на систему. После того как лог файл набирает размер более 1 МБ, он автоматически упаковывается в GZip или BZip2 архив. Тем самым уменьшается размер лог файлов, экономится место на сервере, уменьшается скорость загрузки.

Обновлен до актуального уровня файл базы данных географического местонахождения IP адресов.

В модуль магазина добавлена новая функция, реализующая возможность экспорта и импорта баз данных продуктов, клиентов и партнеров магазина в формате CSV. Данный текстовый формат, предназначенный для представления табличных данных. Программы для редактирования файлов этого формата: Microsoft Excel, OpenOffice.org Calc, Numbers, TablePro, CSVed, KSpread, импорт и экспорт файлов такого типа возможен во многих инженерных пакетах, например ANSYS, LabVIEW и др.

В блок системной информации добавлены значения установленных на сервере возможностей GZip и BZip2 сжатий.

В состав пакета вошёл новый модуль «Помощь». Данная разработка будет весьма интересна и полезна для коммерческих проектов, а так же проектов, направление которых связанно с оказанием поддержки пользователям. Основное предназначение модуля это предоставление технической поддержки посетителям и пользователям Вашего проекта.

Модифицирован пользовательский модуль, функция навигации вынесена в ядро системы, установлена автоматическая сортировка отделов для более удобной её адаптации к существующим размерам. Модифицированы пользовательские функции партнерского и магазинного отделов.

Модифицирован модуль автоматического обмена ссылок. Реализована новая функция подсчёта переходов работающая независимо от блока модуля и кэширования. Добавлены новый конфигурации для блока модуля обмена ссылками, такие как: Количество ссылок в блоке и их длинна.

Новая функция переходов с других сайтов отслеживает переходы во всех и во все участки сайта. В конфигурациях системы установлена возможность отключения, а так же сроки сохранения статистики переходов в днях.

В модуле автоматического обмена ссылок реализован новый анализатор переходов, который определяет переходы зарегистрированных пользователей проекта, поисковых систем, географическое расположение и IP адреса посетителей. Предоставляется широкий спектр анализа и сортировки переходов по различным параметрам, таким как: Идентичные переходы, Адреса переходов, Идентичные входы, Адреса входов, Идентичные имена перешедших, Имена перешедших, Идентичные IP перешедших, IP перешедших, Одновременные переходы, Время переходов, а так же в порядке убывания или возрастания.

Кардинальным модификациям подверглись функции установки и сохранения даты и времени публикаций, а так же другой информации связанной со временем. Теперь для установки даты используется удобный календарь, который упрощает установку даты и времени, а так же исключает установку не существующих дат. Изменениям подверглись все модули, и компоненты системы, где использовалась установка даты и времени.

Для администратора проекта написан и установлен новый модуль «Переходы», который отслеживает и анализирует все переходы с других сайтов на Ваш. Модуль определяет переходы зарегистрированных пользователей проекта, поисковых систем, географическое расположение и IP адреса посетителей. Предоставляется широкий спектр анализа и сортировки переходов по различным параметрам, таким как: Идентичные переходы, Адреса переходов, Идентичные входы, Адреса входов, Идентичные имена перешедших, Имена перешедших, Идентичные IP перешедших, IP перешедших, Одновременные переходы, Время переходов, а так же в порядке убывания или возрастания.

Во избежание путаницы произведено ограничение выбора модулей при добавлении и редактировании категорий. Теперь установка категорий возможна только для тех модулей, в которых они предусмотрены.

Установлена новая версия HTML редактора Tiny MCE 3.1. Изменены функции подключения в связи с новым методом интеграции, удалены старые участки и файлы подключения старой версии.

Реализована новая возможность установки редактора персонально для каждого администратора проекта. Редактор устанавливается при добавлении нового администратора, так же возможна смена редактора для уже существующих администраторов.

Реализована новая возможность использования редакторов в пользовательском отделе. Теперь можно выбрать какой редактор будет предложен посетителям, в комментариях, в публикациях или других отделах. Возможные варианты: BB Редактор, HTML Редактор Tiny MCE или без редактора.

Установлена новая возможность конфигурации формы обратной связи с администраторами проекта. Теперь Вы можете решать, каким из Ваших администраторов пользователи могут отправлять письма по средствам модуля контактов. Настройка устанавливается персонально для каждого администратора проекта.

Исправления и корректировки

Реализована поддержка человека понятных урлов для всех модулей и отделов системы. Исправлены неточности, доработаны и модифицированы некоторые участки.

Удалены лишние параметры в конфигурациях панели администратора модуля новостей.

Решена проблема, связанная с некорректной работой рейтинга в случае его отключения в панели администрирования рейтингом.

В конфигурациях системы удалены настройки связанные с использованием Cookies администратора в виду отсутствия их необходимости.

Решён вопрос с заслешиванием одинарных и двойных кавычек при публикации материала в пользовательской части проекта. Частично изменена логика фильтрации входящей информации и её основные функции.

Повышение уровня безопасности

Значительным образом переписан принцип авторизации администраторов системы. С данного момента авторизация и определение администратора через Cookies больше не используются в виду низкого уровня безопасности данного способа, работа с администраторами переведена на безопасные сессии.

Модифицирована функция определения главного администратора системы, повышен уровень безопасности её использования.

В модуле пользователя удалена возможность загрузки аватара с удалённого сервера в виду потенциальной уязвимости данного метода.

Модифицирована функция загрузки файлов на сервер, устранены некоторые неточности связанные с безопасностью. Модификации подверглись участки, и модули где используется данная функция.

Модифицирована функция определения браузера пользователя. Установлен фильтр, который устраняет возможность подмены данных на инъекцию или вредоносный код.

В целях повышения безопасности в модуле загрузки файлов удалена возможность загрузки удалённого файла с Другова сервера, таким образом, устранена возможность подмены или манипуляции загружаемого файла.

Частично переписан модуль рекомендаций, устранены и модифицированы потенциально опасные к уязвимостям участки кода.

Проработаны все модули системы, имеющие потенциально опасные участки кода, установлены соответствующие фильтры, препятствующие инъекциям и вредоносным внедрениям.

Начиная с 22.06.2008, новую версию можно будет приобрести, в магазине нашего проекта. Обновление для актуальных клиентов профессиональной версии можно будет загрузить в персональном отделе клиентов.

Представляю Вашему вниманию новую версию системы SLAED CMS 2.2 Lite. Данная версия является продолжением второй ветки, которая зарекомендовала себя, быстрой и стабильной работой, а так же простотой в использовании, широким функционалом и безопасностью. SLAED CMS 2.2 Lite не подверглась глобальным изменениям ядра и основных функций системы. Основной акцент при её реализации ставился на поиск и удаление ошибок и проблемных мест прошлой версии. С основными изменениями, Вы можете ознакомиться при подробном просмотре.

Общие изменения, новые возможности

Sypex Dumper Lite для резервного копирования и восстановления базы данных обновлён до актуальной версии.

HTML Редактор TinyMCE обновлён до актуальной версии. Добавлен плагин для расширения экрана.

Произведена полная интеграция HTML Редактора TinyMCE в панель администратора системы. Вам предоставляется выбор использования HTML или BB редактора. Настройки в конфигурациях панели администратора системы.

Установлена возможность отключения смайлов при использовании BB редактора, как в панели администратора, так и в пользовательской части системы. Установка непосредственно в конфигурациях системы.

В конфигурациях системы добавлена возможность отключения автоматического свёртывания основной панели администратора.

Для более гибкой функциональности и удобного использования объеденены некоторые функции ядра системы.

В новостном модуле установлен графический элемент по умолчанию для категорий тем, в случае если они не созданы.

В панели администратора системы добавлена проверка соответствия минимальной версии PHP.

Добавлена новая строка идентификационного номера пользователя в таблицу базы данных комментариев системы. Таким образом, имя пользователя определяется по его уникальному идентификационному номеру, что даёт возможность беспроблемной смены имени пользователя.

Произведены изменения в систему оформления тем, таким образом, теперь возможно размещение кода, как правило, счётчиков и яваскриптов с использованием одинарных кавычек.

Произведена смена подключения верхней и нижней функций, используемых для отображения информации в модулях системы. Таким образом, увеличена скорость работы и универсальность. При этом функциональность старых модулей в системе осталась без изменений.

Исправленное, откорректированное

Откорректирован автоматический инсталлятор системы. Добавлена проверка соответствия минимальной версии PHP, а так же отключён вывод побочных замечаний мешающих установке.

Исправлена не корректная работа, имевшая место в браузерах Firefox, Opera связанная с оформлением при выборе специальной группы.

Исправлена ошибка белой страницы при редактировании категории в модуле новостей.

Исправлен текст сообщения на главной странице после новой установки системы. Ошибка выражалась в не полном отображении текста при его редактировании.

В темах оформления системы удалены ссылки на несуществующие модули, такие как форум и альбом.

Изменено подключение файла старых функций, которые могут быть необходимы старым модулям системы. До этого были возможны ошибки на OS Solaris.

Исправлена установка стандартного языка системы по умолчанию, исключён ошибочный выбор всех языков, что в некоторых случаях сказывалось на некорректную работу некоторых модулей системы.

Откорректированы функции ББ редактора для корректной работы под браузерами Firefox, Opera.

Откорректирована дата регистрации при ручном добавлении пользователя из панели администратора системы.

Релиз системы запланирован на: 20.02.2007

Дополнительная защита администратора

Сохраняется последний сеанс администратора, его IP адрес в базе данных системы. Если он не совпадает, что произойдёт в случае украденных Cookies, то система потребует авторезироваться заново. Это значит что злоумышленник, не зная пароля и логина в расшифровонном виде, не сможет войти и получить доступ в панель управления.

Метод шифрования паролей, который используется в системе, является одним из самым безопасных и оптимальных на сегодняшний день. Метод называется MD 5 и является алгоритмом, который не имеет возможности расшифровки и предназначит для зашифровки информации в одну сторону без возможности её расшифровки.

Дополнительная защита пользователя

То же самое как на примере с администратором, происходит с зарегистрированными пользователями системы. За исключением того, что для пользователей можно отключить принуждение повторной авторизации в случае смены IP адреса, со дня последней авторизации пользователя в системе. Данные настройки можно изменит в отделе пользователей панели управления системой.

Ко всему этому, в системе существует возможность смены названия Cookies администраторов и пользователей, которая исключает возможность определения их принадлежности при посещения вами или вашими пользователями сайтов, где установлены скрипты-шпионы.

Общая информация о защите системы

Если вы внимательно читали рекомендации по безопасности, то сменили название файла администратора, а это значит, не зная его названия, злоумышленник даже не сможет попытаться войти в панель администрации.

Если вы внимательно читали рекомендации по безопасности, то установили доступ в систему безопасности только по определённому IP адресу, что исключает доступ злоумышленника. Узнать IP адрес администратора, а тем более подделать его почти не реально.

Если вы внимательно читали рекомендации по безопасности, то установили дополнительные пароль и логин в панель администратора системы которые защищают вас и ваш проект на серверном уровне. Этот метод паролирования директорий является одним из самых оптимальных на данный момент.

Ну и наконец, сама система безопасности защищает ваш сайт от любого рода SQL инъекций, XSS инъекций, загрузки файлов, проникновение через Cookies которые могут быть выполнены со стороны злоумышленника.

Начиная с версии 2 Pro и 2.1 Lite система исключает возможность использования HTML кода на стороне клиента и таким образом исключает все возможные попытки интеграции и внедрения нежелательного кода, инъекций, шпионов в систему.

В системе учтены все возможные и известные на сегодняшний день виды возможных атак, и приняты меры по их предотвращению.

Боле подробную информацию по упомянутым Выше темам можно получить по указанным ниже ссылкам.

Система безопасности для SLAED CMS 1.6 Stability

Анализ защищённости SLAED CMS

Правильно защищаем систему

Система безопасности

$valid_pages = array("apage.php" => "", "another.php" => "", "more.php" => "");
if (!isset($valid_pages[$page])) {
die("Invalid request");
}

if (!(eregi("^[a-z_./]*$", $page) && !eregi("..", $page))) {
die("Invalid request");
}

Необходимо экранировать опасные символы ( и ') в переменных участвующих в SQL запросах. Например, злоумышленник может передать переменную вида "password=a%27+OR+1%3Di%271" которая будет использована в SQL запросе как "Password='a' or 1='1'". Решение: включить magic_quotes_gpc в php.ini или экранировать переменные самостоятельно через addslashes();

Никогда не нужно доверять глобальным переменным, при включенном в php.ini режиме register_globals злоумышленник может подменить значение глобальной переменной. Используйте ассоциативные массивы $HTTP_GET_VARS и $HTTP_POST_VARS с выключенным register_globals и в начале скрипта явно инициализируйте все глобальные переменные.

Определяйте местонахождение закаченного файла только через is_uploaded_file() или используя move_uploaded_file(), но не доверяйте глобальной переменной с путем к закаченному файлу, значение которой злоумышленник может подменить.

Используйте функции htmlspecialchars(), htmlentities() для экранирования HTML тэгов присутствующих в данных полученных от пользователя.

Защищайте библиотеки функций от просмотра их исходных текстов пользователем (расширения .inc, .class). Решение: снабжайте библиотеки расширением .php, помещайте в закрытую директорию или настройте хэндлер для парсинга расширения файлов с вашими библиотеками.

Помещайте файлы данных вне дерева файловой системы доступной через web (уровнем ниже htdocs, или "document root") или защищайте директории через .htaccess.

mod_php запускайте в режиме safe_mode.

Проверяйте наличие запрещенных символов в переменные используемых в функциях eval, preg_replace, exec, passthru, system, popen, ``.

При использовании не mod_php, а CGI варианта php.cgi не забывайте, что через php.cgi можно получить доступ к любому файлу в директориях защищенных через .htaccess, так как доступ в этом случае ограничен только для прямых запросов, но не для запросов через CGI скрипт php.cgi.

Данная система является мощным инструментом для защиты Вашего проекта от разного рода нападений, начиная от SQL инъекций и заканчивая загрузкой сторонних скриптов в директорию Вашего сайта. Данная система поможет Вам отследить, выявить и при необходимости заблокировать нападающего, а так же любого другого пользователя или посетителя проекта.

Лог-файлы
Статистика нападений: /config/logs/warn_logs.php
Статистика динамических ошибок: /config/logs/error_logs.php
Статистика статистических ошибок: /config/logs/error_logs_site.php

Управление

Функции главной панели

Статистика нападений
Основная информационная панель системы безопасности. Отслеживает нападающих и их действия. Записывает подробную информацию (ip-адрес нападавшего, данные о его браузере, описание атаки, время ее совершения) в лог-файл статистики на Ваш сервер. Удобный просмотр и удаление из панели администратора системы.

Статистика динамических ошибок
Отслеживает ошибки скриптов и сервера. Записывает подробную информацию (описание ошибки, скрипт, строка и время возникновения ошибки) в лог-файл статистики на Ваш сервер. Удобный просмотр и удаление из панели администратора системы.

Статистика статистических ошибок
Отслеживает ошибки сервера. Записывает подробную информацию (описание ошибки, ссылка и время возникновения ошибки) в лог-файл статистики на Ваш сервер. Удобный просмотр и удаление из панели администратора системы.

Функции панели «Блокирование»

Вы можете заблокировать любого посетителя Вашего проекта по IP Адресу или маске сети IP, а так же по имени пользователя, зарегистрированного на Вашем сайте. Количество заблокированных посетителей неограниченно.

Заблокированные IP
В данном окне расположен список заблокированных IP-адресов. Адреса записываются в виде 212.152.33.156 через запятую.

Заблокированные пользователи
В данном окне расположен список заблокированных имен пользователей проекта.

Функции панели «Логин и пароль»

Для повышения безопасности Вы можете установить дополнительные логин и пароль для входа в систему администрирования. Вы так же можете ограничить вход в систему администрирования проектом по определённому IP-адресу или маске сети IP. Данный способ защиты является самым оптимальным и исключает любой несанкционированный вход в панель администрирования.

Сообщение при входе с некорректным IP
Сообщение, появляющееся при попытке входа в панель администрирования с недопустимого IP-адреса. Совет: замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите.

Сообщение при ошибочном вводе логина или пароля
Сообщение, появляющееся при вводе некорректного логина и/или пароля администратора. Совет: замените сообщение на что-нибудь нейтральное, чтобы не давать злоумышленнику дополнительной информации о защите.

Маска сети для входа в панель администратора
Диапазон IP-адресов, с которых разрешен доступ в систему администрирования. Если у Вас динамичный IP-адрес (модемное соединение) диапазон адресов можете узнать у своего провайдера(ов).

Допустимые IP Адреса администратора
В данном окне перечисляется список IP-адресов с которых разрешен доступ в систему администрирования. Используется при соединениях с постоянным или динамичным IP-адресом.

Дополнительные логин и пароль администратора
Дополнительная защита системы администрирования, исключающая любой несанкционированный доступ в панель управления сайтом. Авторизационные данные запрашиваются до ввода основного логина и пароля администратора.

Функции панели «Конфигурации»

В данном отделе устанавливаются основные настройки системы безопасности.

Сообщение для заблокированных посетителей
Сообщение, появляющееся при попытке входа на сайт пользователя, заблокированного по имени и/или IP-адресу.

Маска сети для заблокированных IP
Диапазон IP-адресов, доступ на сайт с которых запрещен.

Показывать сообщения об ошибках?
Разрешает/запрещает вывод ошибок скриптов в браузер. Рекомендуется разрешать только на время отладки сценариев.

Вести статистику ошибок?
Разрешает/запрещает запись ошибок скриптов в лог-файл.

Запретить передачу ссылок через GET?
Разрешает/запрещает передачу ссылок методом GET (через командную строку браузера).

Запретить передачу ссылок через POST?
Разрешает/запрещает передачу ссылок методом POST.

Сообщать о нападениях на E-Mail?
Разрешает/запрещает отсылать сообщения о нападениях на E-Mail администратора.

Вести статистику нападений?
Разрешает/запрещает запись попыток нападений в лог-файл.

Блокировать нападающих?
Разрешает/запрещает автоматическое блокирование гостей и пользователей, совершающих запрещенные действия.

Возможные проблемы и их решения

Управление безопасностью может быть заблокировано в результате чрезмерного увеличения размеров лог-файлов. Рекомендуется периодически очищать журналы от устаревших сообщений.

Дополнительные логин и пароль не подходят – удалите дополнительные логин и пароль из файла /config/config_secure.php

Заблокирован доступ администратора по IP – удалите свой IP-адрес из файла /config/config_blocker.php.