تا حالا چه باگهایی توی کیک کشف شده؟

phpweb · 2011/10/22 12:37 AM

همونطور که می دونید کیک هم مثل هر نرم افزار دیگه می تونه دارای باگ باشه.

ایا توی هسته این فریم ورک تا حالا باگ امنیتی کشف شده که از طریق اون بشه سایت هایی که با کیک نوشته شدن رو هک کرد؟

از کجا می تونم باگهایی که کشف و معرفی شدن رو پیدا کنم؟

***saleh*** · 2011/10/22 02:01 AM

وارد سایت کیک می شوید.
گزینه documents از منوی بالا را با موس روش که برید یک پاپاپ باز میشه.یکی از گزینه هاش اسمش tickets هست. روش کلیک کنید. وارد بخش بشتیبانی کیک جهت ریپورت مشکلات میشید. Confused

phpweb · 2011/10/22 12:55 PM

نقل قول:وارد سایت کیک می شوید.

منظورم باگهای امنیتی بود.

آیا توی هسته این فریم ورک، باگهای امنیتی پیدا شده که بشه با اون سایت رو هک کرد یا از کار انداخت؟

**parsig** · 2011/10/22 03:12 PM

من قدیما ( نه چندان دور ) یه سرچی زدم در این باره چیز خاصی پیدا نکردم
تعداد کمی بود
اون تعداد کم هم زیاد به درد بخور نبود .

phpweb · 2011/10/22 03:55 PM

نقل قول:من قدیما ( نه چندان دور ) یه سرچی زدم در این باره چیز خاصی پیدا نکردم
تعداد کمی بود
اون تعداد کم هم زیاد به درد بخور نبود .

برام عجیبه که می گن فریم ورکها امنیتشون بالاست و باگ ندارن.

دلیل این حرف چیه و کلا چه تفاوتی بین یه فریم ورک با نرم افزارهای دیگه هست که توی فریم ورک کیک باگ پیدا نمی شه و برای بقیه نرم افزارها باگ پیدا می شه ؟

**parsig** · 2011/10/22 04:20 PM

من چند تا دلیل به ذهنم می رسه :
اول : فریم ورک یه برنامه نیست بلکه یه چهارچوب برنامه هست . یعنی به شما می گه چه بکن و چه نکن . این شما هستی که باید برنامه‌ت رو امن بنویسی .
دوم : برنامه‌نویس هایی که دور هم جمع شدن و اون رو اجرا کردن ( فریم ورک های معروف و مطرح رو می گم ) برنامه‌نویس های سوپر حرفه‌ای هستن که تمام زیر و بم زبان برنامه‌نویسی ( مثلا پی اچ پی ) رو از حفظن . توی هسته‌ی کیک اگه کد ها رو بخونید شاید توابع و کلاس هایی رو ببینید که شاید حفظ کردن اسمش هم برامون سخت باشه !!! چه برسه به اینکه چیکار می کنه !
سوم : تمام نرم افزار های اپن سورس و رایگان می تونن این پوئن مثبت رو داشته باشن که جامعه کاربری‌شون پشتیبان‌شون هست . مثلا همین انجمن عده ای هستیم که دور هم جمع شدیم و مشکلات هم رو رفع می کنیم و مشکلاتی که مربوط به هسته باشه به تیم اصلی ریپورت می شه .
و اگر یه مقدار فکر کنیم می تونیم دلائل زیادی رو برای امنیت بالای فریم ورک ها بنویسیم .
البته این به معنی به نقص بودن‌شون نیست و قطعا ممکنه ایرادات و حتا باگ هایی داشته باشن . ولی خب به دلائلی که گفتم یا نگفتم می تونه امنیت‌شون به مراتب بالا تر از برنامه‌ای باشه که خودمون از صفر و بدون چهارچوب پیاده کنیم

phpweb · 2011/10/22 08:48 PM

نقل قول:البته این به معنی به نقص بودن‌شون نیست و قطعا ممکنه ایرادات و حتا باگ هایی داشته باشن . ولی خب به دلائلی که گفتم یا نگفتم می تونه امنیت‌شون به مراتب بالا تر از برنامه‌ای باشه که خودمون از صفر و بدون چهارچوب پیاده کنیم

خب اگر بخوایم به این صورت برخورد کنیم، بهتره که از سی ام اس ها استفاده کنیم. چون سی ام اس ها هم به همین صورت نوشته شدن و چک شده هستن. همچنین از سایتهایی که با فریم ورک می نویسیم بهتر در می یان چون توی فریم ورک باز هم ما باید به امنیت دقت کنیم ولی سی ام اس ها همه کارها رو خودشون کردن.

**parsig** · 2011/10/22 08:56 PM

اگر کاری که می خواید انجام بدید رو سی ام اس راه میندازه یا مشتری‌تون قبول می کنه که شما از سی ام اس استفاده کنید هیچ مشکلی نیست . دقیقا بهترین حالت استفاده از سی ام اس هست .
اما خیلی خیلی خیلی موارد هست که سی ام اس ها حتا 10 درصد کار شما رو هم نمی تونن راه بندازن .
اینجاست که ناچارید برنامه بنویسید و در این صورت هست که بهتره از فریم ورک ها استفاده کنید تا بهتر بنویسید

***saleh*** · 2011/10/22 11:18 PM

متاسفانه شما هنوز به درک درست فریم ورک نرسیده اید و فکر می کنید که شباهت بسیار زیادی با سی ام اس داره

بزارید یک مثال ساده بزنم. ما مقداری چوب و چسب چوب داریم. می خواهیم صندلی درست کنیم.
چوب و چسب چوب فریم ورک هستند. ابزار ما هستند. ما باید بهترین ابزار رو واسه کار هامون انتخاب کنیم.

صندلی محصول یا همون سی ام اس ها هستند.
تو ساختن یک صندلی من یک نوع روش دارم شما یک جور دیگه. اینجا سلیغه ها متفاوت روش های ساختن متفاوته
یکی محصول خوب و محکم درست میکنه که شخص 200 کیلو گرمی رو جواب میده. یکی شخص60 کلیویی میشنه داغون میشه.
حالا به نظر شما اینجا مشکل از چوب و چسبش بوده(این رو در نظر بگیرید که هر دو حالت از یک نوع چوب و چسب استفاده شده). یا نجار هایی که صندلی ها رو درست کردن؟؟

باز تاکید میکنم. فریم ورک یک ابزار هست. جتی اگر ابزارتون باگ داشته باشه. شما هستید که می تونید با هنر برنامه نویسیتون رو رو رفع کنید یا پنهان یا .... کنید.

فریم ورک ابزار هست نه محصول Exclamation

phpweb · 2011/10/23 01:34 AM

نقل قول:فریم ورک ابزار هست نه محصول

به هرحال کیک یه نرم افزار هست و تقریبا وشیفه امنیت رو به عهده گرفته.

شما هیچ وقت لازم نیست که جلوی اس کیو ال اینجکشن رو بگیرید، همچنین جلوی XSS و کارهای دیگه ...
چون کیک این ها رو خودش انجام می ده.

پس وقتیکه امنیت به عهده فریم ورکه، حالا شما هرطور می خواید کد بنویسید. کد نویسی ممکنه روی سرعت تاثیر بذاره و روی امنیت نه.

**parsig** · 2011/10/23 02:51 AM

یه سری بدیهیات رو کیک پشتیبانی می کنه
برای جلوگیری از باگ های حرفه ای باید حرفه ای عمل کنید !
کی گفته کیک جلوی xss رو می گیره ؟
حالا چون او آر ام داره می شه گفت یه جورایی SQLI رو می گیره ، ولی اینطور نیست که فکر کنید امنیت اپلیکیشن رو خارج از وظیفه ی خودتون بدونید
ضمن اینکه یه قانون در مورد نرم افزار های رایگان هست که بهش می گن as is یا "همینی که هست" . شما هزینه ای بابتش نکردی و ازش طلبی نداری . باگ داره یا نداره همینه !
صالح ( که حق استادی گردن من دارن ) خیلی قشنگ گفت : جتی اگر ابزارتون باگ داشته باشه. شما هستید که می تونید با هنر برنامه نویسیتون رو رو رفع کنید یا پنهان یا .... کنید.
در همین راستا من یک مطلب در وبلاگم نوشتم که مثالی بر همین حرفی هست که صالح گفت

***saleh*** · 2011/10/23 03:42 AM

(2011/10/23 01:34 AM)phpweb نوشته است:
نقل قول:فریم ورک ابزار هست نه محصول
به هرحال کیک یه نرم افزار هست و تقریبا وشیفه امنیت رو به عهده گرفته.

شما هیچ وقت لازم نیست که جلوی اس کیو ال اینجکشن رو بگیرید، همچنین جلوی XSS و کارهای دیگه ...
چون کیک این ها رو خودش انجام می ده.

پس وقتیکه امنیت به عهده فریم ورکه، حالا شما هرطور می خواید کد بنویسید. کد نویسی ممکنه روی سرعت تاثیر بذاره و روی امنیت نه.

عزیز جان فریم ورک برای این مواردی که شما گفتید ابزار قرار داده. کی باید از این ابزار استفاده کنه؟؟ برنامه نویس. چطوری باید استفاده کنه؟؟ کجا و چطور استفاده کنه برنامه نویس
پس تموم این موارد یعنی استفاده درست ابزار بر عهده خود برنامه نویس هست.

درضمن کیک یک نرم افزار نیست، یک چهار چوب کاری یا فریم ورک هست. به خودی خود کاربردی نداره. یک ابزار هست. در صورتی که نرم افزار برای سهولت، اتوماتیک کردن وخیلی موارد دیگر تولید و طراحی میشه. اصلا تعریف نرم افزار چیز دیگری هست. نمی تونید فریم ورک رو نرم افزار حساب کنید.

حالت موضوعی \| حالت خطی تا حالا چه باگهایی توی کیک کشف شده؟
نویسنده	پیام