В чём принципиальная важность новых патчей безопасности?

[Одмин 42]

Доброго времени суток!

 

Давно назревал вопрос в заголовке. Дело в том, что у меня версия форума 3.2.3. Начал знакомиться с более новыми версиями форума, оказывается более стабильной версии пока нет (без разных глюков), в каждой новой версии есть какие-то недоработки или непонятки.

 

В связи с чем непонятно, в чем принципиальная разница между форумами семейства 3.х и 4.х? Если только в безопасности, то наверное, вопрос безопасности можно решить и настройками сервера, ограничениями в правах и т.д. Может быть я чего-то не понимаю? Так подскажите, в чем прелесть новых версий форума? Если дело только в безопасности, то нельзя ли группе разработчиков (разбирающихся в тонкостях кода IPB) посмотреть принцип защиты новых вышедших патчей (для новых версий форума), и сделать что-то подобное для старых версий форума (по тому же принципу), немного подкорректировав и адаптировав код патча для старой версии форума?

[siv1987 2628]

Вас интересует разница между 3x и 4x, разница между семействами версий в рамках одной линейки или важность патчей безопасности? Тут смешалось все в одну кучу.

4x - новый двиг, новый продукт по отношению к 3x также, как 3x концептуально был новым продуктом по отношению к 2x. Это новая ступень эволюции IPB (который теперь стал IPS Community Suite) со своими новыми багами, будущими патчами безопасностями и тд.

Разница между семействами заключается в фиксе старых багов, доработка логических ошибок в коде, добавления нового функционала.

Важность патчей безопасности думаю объяснять не нужно - они закрывают найденные критические уязвимости до выхода новых версий, которые если их срочно не закрыть могут послужить причиной взлома, порчи данных и прочих нежелательных хакерских действий. Например, последний вышедший патч закрывает sql уязвимость, хотя файл через который ее можно эксплуатировать появился только в версии 3.4. Но ведь не факт, что нет возможности ее эксплуатировать в других версиях из других мест. Обновления касается всего в целом, патчи безопасности - только безопасности, так как правило заменяются только конкретные файлы, делать какие-то глобальные изменения не возможно. Хотя некоторые отдельные правки в логике могут быть, но на безопасности они не влияют.

 

Если дело только в безопасности, то нельзя ли группе разработчиков (разбирающихся в тонкостях кода IPB) посмотреть принцип защиты новых вышедших патчей (для новых версий форума), и сделать что-то подобное для старых версий форума (по тому же принципу), немного подкорректировав и адаптировав код патча для старой версии форума?

Можно, если есть такие люди (к примеру ipbskins до сих пор сидит на 3.1x, хотя она не поддерживается где-то с мая 2013 года - тогда был первый патч безопасности который не включал эту версию). Но это слишком затратно писать обновления для каждой версии, когда можно просто обновится до актуальной.

[Одмин 42]

Это новая ступень эволюции IPB (который теперь стал IPS Community Suite) с своими новыми багами, будущими патчами безопасностями и тд.

Вот я и думаю, для каких целей постоянно обновляться, если всегда будут новые баги в новых версиях форума. То есть, тут логика такая, что лучше сидеть на старой версии и довести ее до ума (если есть голова), чем постоянно обновляться и быть незащищенным.

Конечно, безусловно, новый функционал - это неоспоримый плюс, но что уже можно нового придумать на форуме? К тому же, новый функционал версии 4.х можно внедрить в 3.х, если есть знания в голове.

 

 

к примеру ipbskins до сих пор на 3.1x сидит, хотя не поддерживается она где-то с мая 2013 года - тогда был первый патч безопасности который не включал эту версию

Ну вот видите, IPBSkins.ru сидит на очень старой версии форума и люди общаются, и никто вас не ломает (если это так), хотя у этого форума очень весомая доля рынка в этой области оказания услуг. Многие ваши конкуренты (не буду здесь называть эти сайты) ничего нового не выпускают, общения на форумах нет, а форум техподдержки уже не торт. Поэтому, вывод однозначный - нет смысла при появлении новой версии пытаться сразу на нее переходить, если в ней нет ничего кардинального нового...

[siv1987 2628]

Вот я и думаю, для каких целей постоянно обновляться, если всегда будут новые баги в новых версиях форума. То есть, тут логика такая, что лучше сидеть на старой версии и довести ее до ума (если есть голова), чем постоянно обновляться и быть незащищенным.

Это примерное тоже самое что говорить, зачем жить если мы все равно умрем. Баги есть везде, они были и будут. А если сидеть постоянно на старой версии, то можно проснутся в один момент, что ты серьезно отстал от времени и находишься в аутсайдеров. Обновления как раз и заключаются в том, чтобы закрывать старые баги. Такая же реакция, кстати, была у общества по поводу выхода третий версии "как, тройка? да это отстой, двойка наше все". А если посмотреть сейчас на двойку? Выглядит она довольно уныло и не такая современная, хотя и не спорю, двиг еще не совсем морально устарел. Что не говори, а IPS на мой взгляд всегда шли в ногу со современными технологиями и не смотрели на то, что они еще не популярны, создавая таким образом продукт который бы не устарел уже на следующий день. Я думаю 3x еще не скоро умрет, хотя время уже будет диктовать другие требования, появится новые возможности, новые технологии. Вот и сейчас IPS посчитали что с появлениям новых возможностей в PHP (трейты, неймспейсы и прочие плюшки) пришло время для нового продукта. Противится этому это то же самое что противится эволюции. Развитие не стоит на месте, и как бы нам не хотелось оно или с нами или без нас будет идти дальше.

 

Ну вот видите, IPBSkins.ru сидит на очень старой версии форума и люди общаются, и никто вас не ломает (если это так)

Не ломается только потому, что нам приходятся вручную патчить все критические уязвимости.

 

Многие ваши конкуренты (не буду здесь называть эти сайты) ничего нового не выпускают

Да и у нас не особо большой фонтан разработчиков. Был ritsuka который, к большому сожалению сообщество, ушел с IPBoard. Вот он бы расписал во всех красках зачем нужно обновление; вот некоторые темы с его участием ставшие классикой на форуме 1, 2. LastDragon то ли женился, то ли сменил место жительство и фри модули больше не выпускает. Исчезли также многие отечественные разработчики которые писали под двойку, либо просто дальше поддерживают свои старые видавшие виды версии. Все основные разработчики модулей находятся на invisionpower. И сообщество разработчиков у нас к сожалению не такое большое как хотелось бы, кто где куда. Пересчитать их можно по пальцем одной руки, за то школоты с каждым днем становится все больше. Раньше то ведь и не знали что такое хостингер, а теперь у каждого второго там форум. Конечно, живет он до первого наплыва поисковых ботов которые создают видимую нагрузку на сервер, после чего сразу отрубают аккаунт с письмом "Уважаемый пользователь нашего прекрасного хостинга. Вы используете нелицензионную версию скрипта...". Вот теперь сижу и думаю, а не женится и мне уже...

 

Поэтому, вывод однозначный - нет смысла при появлении новой версии пытаться сразу на нее переходить, если в ней нет ничего кардинального нового...

А как же баги? Как их закрывать если не обновлением?.. Учитывая что здесь упоминается новая 4.x, то это не просто новая версия старого форума (как было на протяжении всего 3x), это новая линейка. Сейчас на нее переходить конечно нет смысла, продукт еще сырой и потребует не мало доработок. А вот в рамках одной линейки можно свободно обновляться до актаульных версий в ней - 3.3, 3.4. Под семейством подразумевается семейство одной линейки.

[Креол 19]

@siv1987, немного оффтопа. Не сказал бы, что женитьба мешает заниматься тем что интересно, причем это можно делать почти в таком же объеме как и до. А вот основная работа с развитием карьеры - это да, более весомая причина бросать около тематические виды деятельности.

[Одмин 42]

@siv1987, спасибо большое за развернутый ответ!

 

А как же баги? Как их закрывать если не обновлением?..

Дык зачем обновляться если можно пропатчиться. Вы же сами говорите, что на своей 3.1х вы сами создаете себе патчи на основе выходящих патчей для более новых версий форума. К тому же еще актуален вопрос - с выходом нового движка 4.х, пропатчили ли разработчики его заплатками старых версий? А то если это сырой уязвимый двиг, то я бы подумал, прежде чем его устанавливать. Ведь Вы сами говорили, что линейка 4.х - это уже совершенно другой движок, а следовательно, и траблы с ним другие, в том числе куча новых потенциальных уязвимостей, которые были недоступны для хакера в старых версиях, по причине иной логики кода.

[siv1987 2628]

Дык зачем обновляться если можно пропатчиться. Вы же сами говорите, что на своей 3.1х вы сами создаете себе патчи на основе выходящих патчей для более новых версий форума.

Патчи закрывают критические уязвимости которые требуется срочно закрыть сейчас. А обновления включает все - уже установленные патчи, устранения багов, улучшенная производительность и добавления нового функционала. Ведь если человек скачал x.x.6 он будет знать, что в этой версии были пофиксины все уязвимости и багрепорты которые обнаружены до этой версии, включены пожелания пользователей. Простыми патчами этого не сделать, там затрагивается минимальное количество файлов, максимум два три. Все эти изменения требуется как-то отслеживать, поэтому и ведется контроль версии и выходят новые обновления.

 

Ведь Вы сами говорили, что линейка 4.х - это уже совершенно другой движок, а следовательно, и траблы с ним другие, в том числе куча новых потенциальных уязвимостей

Никто и не заставляет обновляться сразу на новую линейку. Речь о том чтобы обновится до стабильной версии или хотябы поддерживаемой в рамках вашей версии. 3.2 это нечто переходящее между 3.1 и 3.3, 3.4. Так как начиная с 3.2 поменялся дизайн и немного изменилась структура файлов в ядре.

[newbie 1723]

Дык зачем обновляться если можно пропатчиться.

Складывается такое ощущение, что для Вас нет разницы между патчами безопасности и новыми версиями движка.

Предположим, у нас есть 2 (вымышленные) проблемы:

- Можно зайти в АЦ, используя данные Вася Пупкин/пароль

- К именам админов добавляется префикс looser

 

Патч всего лишь устранит первую проблему. Выход новой версии устранит 2 проблемы. Вы в баг-трекере смотрели, сколько проблем было в 3.2.х, которые устранили только 3.3/3.4

 

К тому же еще актуален вопрос - с выходом нового движка 4.х, пропатчили ли разработчики его заплатками старых версий?

А нафига, если это совсем другое блюдо, которое едят ложкой, а не вилкой. К тому, уверен, разработчики учли те моменты, когда форум мог быть взломан, и не допустили подобных ошибок.

 

Ведь Вы сами говорили, что линейка 4.х - это уже совершенно другой движок, а следовательно, и траблы с ним другие, в том числе куча новых потенциальных уязвимостей, которые были недоступны для хакера в старых версиях, по причине иной логики кода.

Думаете, что в 3.2 больше нет уязвимостей? "Не правильно" настроенный сервер, установка левых хуков/приложений, кривые руки админа делают форум намного уязвимее, чем IPS4.

[Одмин 42]

@siv1987, @newbie, убедили! :D

Попробую сейчас потестить свежие версии, а потом отпишусь. Ибо нужно посмотреть что к чему, прежде чем оппонировать таким гуру, как вы ))) :D

[BuyerGV 0]

подниму темку

[Атаман 461]

Зачем?