[CMS] Обсуждение MaxSite CMS

  • Заблокирован
  • #31
Пока движок отстает только по работе с заргузкой фото,загрузчик фиговый особенно если надо делать галерею или просто зафигачить в пост пару фоток.Ну думаю подтянет,хотя для автора это не первостепенная задача.
Я тоже с проблемой картинок столкнулся, но надеюсь в новой версии проблему подправят.


На уязвимость кто нить двиг.. проверял ?

Думаю, если двиг станет популярным, то "проверят". И это хорошо, потому как развиваться надо :)
 
Что по безопасности пишет сам Макс.
1. Сессия хранится в зашифрованной куке. Можно указать свой ключ шифрования.

2. Все пароли шифруются md5 с добавлением вашей уникальной фразы, + дополнительное преобразование. Если указать свою секретную фразу, то сломать пароль будет довольно проблематично.

3. Каждый раз, когда к сайту получает доступ залогиненный автор/админ, всегда проверяется корректность указанного в сессии пароля и логина.

4. Время сессии устанавливается отдельно. Это гарантирует, что любой посетитель через указанное время будет иметь другую сессию.

5. Каждый php-файл сопровождается проверкой на «включенность» CodeIgniter. Таким образом явно вызвать php-файл не удасться.

6. Работают только POST-данные. GET отсекаются. Таким образом, чтобы «взломать» сайт злоумышленнику придется создавать форму для POST-запросов. Это хоть и не 100% защита, но жизнь кое-кому усложнит.

7. Каждый POST-запрос проверяется на корректность сессии. Если сессия истекла или неверная, то данные не принимаются.

8. При желании можно ввести проверку на referer. Если запрос будет отправлен с дургого сайта, то всё рубится (die). Это примерный аналог antiXSSatak для WordPress.

9. Разделение комментаторов и авторов/админов. Комюзеры не имею возможности войти в админ-панель. Их данные хранятся вообще в другой таблице.

10. Разделение групп авторов. Разрешения выставляются для каждой группы индивидуальные.

11. Все запрос к БД выполняются с помощью т.н. Active Record, где автоматом происходит их экранирование и удаление всех нехорошестей.

12. Для большей защиты есть плагин, в котором модно указать IP с которых разрешен доступ в админку. Любые обращения с других IP будут сразу блокироваться на уровне инициализации системы.
Пока что была найдена только одна проблема — при смене механизма комментирования недавно — комментаторы могли получить доступ к чужим комментаторским страничкам.
Время от времени на офф-форум или сайт приходят вопить, почему не сделано то или сделано так, но ни разу ещё не привели пример конкретной уязвимости.
 
Давно тут не обсуждали эту cms, а между прочем она все так же развивается. Вот последняя версия MaxSite CMS 0.438:

Список изменений довольно таки большой, но вот немного:
Новая версия содержит не очень много изменений, но довольно важных. Данная версия не является критическим обновлением, поэтому стоит ли обновлять сайты, решайте самостоятельно. Тем более, что я внёс изменения, которые затрагивают вёрстку старых шаблонов (продолжаем подбирать «хвосты») и это может потребовать вносить изменения в файл css-стилей.

- В боковое меню админ-панели добавил пункт «Выход». А то единственная ссылка располагалась внизу в подвале, что не очень удобно.

- В ini-файлах можно указывать заголовок блока секций. Поскольку ini-файлы у нас используются для работы с опциями, то сложилась ситуация, когда нужно как-то визуально их сгруппировать. Я перепробовал несколько вариантов и решил сделать такую группировку прямо в ini-файле. То есть теперь если у опции есть поле section, то оно выводится текстом перед текущей опцией. Если нужно вывести описание, то это поле section_description. Посмотреть в действии такую группировку можно в Основных настройках и настройках шаблона. Полное описание ini-файлов так же можно посмотреть в ini - readme.txt. Также прописал новые стили в админ-шаблонах.

- Новая опция в Настройках - Модерация только первого комментария. Алгоритм такой: при новом комментарии комюзера смотрится его количество комментариев и если комментарии уже были, то автоматом разрешаем публикацию. Естественное должна быть отмечена опция «Модерация комюзеров». Как показывает опыт, комюзеры, которые прошли первую модерацию, в дальнейшем не создают «проблем». Отмечу, что независимо от этой опции срабатывает антиспам. Это если есть какие-то сомнительные комментаторы, то можно их указать для принудительной модерации.......
 
Свежая версия скрипта MaxSite CMS 0.439:

Версия носит скорее «исправительный» характер. Каких-то особых нововведений нет, вместо этого в ней исправлены недочёты и замечания. Хочу поблагодарить учестников форума поддержки, которые принимают учестие в развитии системы.
 
На мой взгляд цмс удобнее вп и джумлы.
Хотелось бы спросить у гуру.
Кто подскажет как сделать поле сайт?
Автор ответил
Сделать поле «Сайт» и добавлять его в базу по хуку new_comment.
Но я в php не силён. Может тут кто то поможет?
 
действительно, цмс очень хороша. Единственное, сложновато в настройке для людей незнающих програм. + по шаблонам и их созданию много вопросов. Также появляются новые нужные плагины, что немало важно.
 
На мой взгляд цмс удобнее вп и джумлы.
Хотелось бы спросить у гуру.
Кто подскажет как сделать поле сайт?
Автор ответил
Но я в php не силён. Может тут кто то поможет?
У них не плохая поддержка на форуме, если с первого раза не поняли, спросите что бы пояснили подробнее.
Сам на этой цмс 2 блога держу, доволен
 
Здравствуйте.Может кто подскажет как установить эту cms.Появилось окно со след.сообщениями "Добро пожаловать в программу установки MaxSite CMS"затем ниже "На первом шаге программа проверит верно ли у вас настроены ЧПУ («человекопонятный урл» - веб-адреса, удобные для восприятия человеком).

При отстутствии ошибок, вам будет предложено указать начальные данные." нажимаю "перейти к установке" и возврящаюсь снова в дериторию localhost.Устанавливаю на локальный сервер Apache/2.2.15 (Win32) PHP/5.2.13 mysql 5.На форуме этой смс мне ничего не ответили.Заняты может
 
Значит, у вас как раз эти ЧПУ и не настроены.
Раз локальный сервер, то установлен и включен ли вообще mod_rewrite?
.htaccess в корне создали? Если да (из .htaccess-distr), значит, при ваших настройках сервера нужен другой .htaccess.

И вообще, почитайте install-ru.txt, там всё это расписано.
 
Здравствуйте.Может кто подскажет как установить эту cms.Появилось окно со след.сообщениями "Добро пожаловать в программу установки MaxSite CMS"затем ниже "На первом шаге программа проверит верно ли у вас настроены ЧПУ («человекопонятный урл» - веб-адреса, удобные для восприятия человеком).
При отстутствии ошибок, вам будет предложено указать начальные данные." нажимаю "перейти к установке" и возврящаюсь снова в дериторию localhost.Устанавливаю на локальный сервер Apache/2.2.15 (Win32) PHP/5.2.13 mysql 5.На форуме этой смс мне ничего не ответили.Заняты может
Выше верно подметили, если ставили денвер или что то подобное на локалку возможно не включен модуль mod_rewrite, хотя я ставил 100 раз на локале. С такой проблемой не сталкивался.
 
Назад
Сверху