Názor ke článku Bezpečnost - jak vyděsit uživatele od svatas - 19. 08. 2008, 07:48 Michal Kára Je to docela...

19. 08. 2008, 07:48 Michal Kára

Je to docela jednoduché. Protože doplněk třetí strany může obsahovat libovolný kód a může jej napsat kdokoliv, děje se tak a programátorská úroveň je různá. Pokud ovšem takový modul napíše někdo, kdo nemá o bezpečnostních postupech ani páru, bude jeho kód napadnutelný třeba pomocí metody SQL injection nebo XSS(http://www.security-portal.cz/clanky/xss-cross-site-scripting-hacking.html) či pomocí jiné metody, kterou se dá PHP kód napadat. Nebo může jít i o chybu přímo v kódu, která se po patřičném útoku dá zneužít. Něco najdete třeba na http://www.security-portal.cz/clanky/php---bezpecne-programovani.html a pokud se autor těchto tipů nedrží, může to být problém.

Pokud mluvíme o jádru Joomly říkáme, že kód s napsanou funkčností se pokouší být v maximální možné míře nenapadnutelný a tudíž proti technikám popsaným třeba v tom článku výše být imunní.

Nevýhodou ovšem je, že s Joomlou se pak může spouštět i "neprověřený" kód, který už ty zásady nemusí ctít (a v mnoha případech nectí), je tudíž zneužitelný. proto je na uživatelích nést to riziko, že pokud doinstalovávám cokoliv, co není součástí Joomly, může to někdo napadnout. Pokud např. je jedním z nejpoužívanějších doplňků Community Builder, který chyb obsahuje docela dost a autor chyby neopravuje (nebo velmi zvolna), i když se o nich ví, těžko po útoku můžete nadávat na Joomlu. Nejde prostě bezhlavě instalovat cokoliv. Ale ve výsledku všichni říkají, že je Joomla děravá. Musíte říct konkrétně - mám Joomlu s doplňkěm Community Builder a přes ten se mi na stránky dostali. Jenže to nikdo neřekne. Spíše uslyšíte - mám Joomlu a hackli mi ji.
Problém je v tom, že existují nějaká pravidla, jak se zabezpečit, ale spousta lidí si s tím neláme hlavu. Obvykle se o to začnou zajímat až tehdy, pokud je někdo hackne. Pak teprve zjistí, kolik kroků ještě neprovedli a co všechno zanedbali.
A teď ruku na srdce - je to chyba Joomly nebo uživatele? Bohužel nikdy jsme na portále neříkali, že je Joomla jednoduchá a doporučitelná pro naprosté začátečníky. Jenže ona se tak tváří, ale jinak je to docela těžké se tomu pověnovat. Chce tomu opravdu věnovat nějaký čas. Rozšířený mýtus říká, že stačí Joomlu jen sem tam aktualizovat. Ale také musíte aktualizovat doplňky a neustále monitorovat, co se na stránkách děje. Joomla prostě není bezúdržbová (a troufám si tvrdit, že žádný redakční systém). To jen uživatelé si myslí, že to tak je.