Alex писал(а):
У меня конкретные вопросы по безопасности:
1. MajorDoMo это многокомпонентная система. Есть ли какой-то механизм, который отслеживает выход заплаток безопасности к компонентам системы и устанавливает их (или хотя бы оповещает о них)? Очевидно, что, если в течение нескольких часов не установить вышедшую заплатку, то ваш сервер может быть хакнут любым хакером или просто автоматическим скриптом-сканером. Если этого механизма нет — то все разговоры о безопасности можно прекращать — её просто нет.
Механизм тот же, что и для других обновлений - комиты на гитхабе, к каждому комиту описание есть. Я думаю можно Сергея попросить выносить обновления по безопасности в отдельные комиты с меткой security fix к примеру. Только толку...как уже сказано безопасность МД - на 95% это настройки сервера (даже больше), и только на 5 - то что может быть исправлено в обновлениях...ведь МД просто набор php скриптов, html страниц и базы. Доступ ко всему описывает апач, который не является частью МД.
Alex писал(а):
2. Управление и обмен с серверами smartliving идёт по какому протоколу и по защищённому или по незащищённому соединению? Если этот обмен идёт по незашифрованному соединению, то это просто несерьёзно и ни о какой безопасности речь вообще не может идти.
"Управления" серверами smartliving точно нету)) А обмен идёт только если включен модуль connect. Протокол не смотрел, если честно...надо смотреть исходники...
Alex писал(а):
3. Есть ли какая-нибудь возможность (для хакера) сопоставить нерофессиональный код PHP, выставленный на всеобщее обозрение в Коннект с IP рельных систем на MajorDoMo? Потому, что если такая возможность есть, то это как приглашение «хакни меня».
Я уже говорил что все IP-шники ваши давно выложены на открытых ресурсах (сканеры не дремлют))...так что даже не зная что такое коннект, что там выкладывают и т.п. можно зайти в любую систему...и если там нет хотя бы пароля - что нить "потыкать"...Если делают "непрофессиональный" код в котором вбиты логины/пароли для обращения к каким-либо сервисам (в том числе к локальному МД) - могут посредствам этих данных не только МД взломать, но и почту к примеру, другие учетки. Но это уже приглашение вида не "хакни меня" а "добро пожаловать".
Кстати в начале темы хотел ещё сказать...
меняйте стандартные пароли...серьезно...половина систем с незащищённой базой к примеру...
На вскидку
chibis - база вообще без пароля
msergeev06 - стандартный пароль на базе
Ещё 4 системы у которых в пользователях только "admin", не знаю кто владельцы - стандартный пароль
(я кстати только зашел в базу, и глянул на таблицу users...больше не делал ничего)
и это только 1ая страница поиска где отображается только 10 результатов.
Знающий человек обадая таким доступом сможет отслеживать ваши перемещения, будет знать когда вас нет дома...и воспользоваться этой информацией, или даже продать её злоумышленникам. Тьфу тьфу конечно...
Alex писал(а):
И последний сакраментальный вопрос: кто-нибудь когда-нибудь проводил профессиональный аудит безопасности MajorDoMo?
Встречный вопрос - а на АМС проводили такой аудит?)) (просто интересно, но догадываюсь, что скорее всего, ответ "нет").
Сомневаюсь что его проводили и на МД. Ибо, как выше сказал, МД это всего лишь набор скриптов, страниц и записей в базе...а аудит проводить надо на апаче, движке sql, и самом php. Так же организация самой сети и настройки роутера тоже нехило влияют. И если его даже проведут на какой-либо комбинации php+sql+apache с определёнными настройками, не факт что оно так же будет работать с другими версиями...