Příspěvky

1381

Odkladiště / Re:Diskuze na wordpress šabloně

« kdy: 28. 02. 2019, 12:49:24 »

Takže v roce 2015 je to cca remíza. Rok 2016 měla nejméně zranitelností Joomla! a WP a Drupal cca remíza. Pro roky 2017-2018 máte pravdu, nejméně má Drupal a Joomla! a WP jsou na tom o poznání hůř. V následujících dvou letech se to může zase otočit. Každý CMS má své problémy a měnit ho každý rok podle počtu zranitelností nejde.

Podívejte se ještě taky v jakých rubrikách ta rizika jsou. Každý z těch systémů je má rozložené jinak a ne každé riziko se týká každého usecasu.

1382

Odkladiště / Re:Diskuze na WordPress šabloně

« kdy: 28. 02. 2019, 08:29:47 »

My se o to právě starat chceme, ale ani nejsme schopni nikoho najít, kdo by nám pomohl. Moc vám všem děkuju za rady, nějak se s tím probereme a pokusíme se to odlatit. Díky.

Až někoho najdete, dejte mi vědět. Já zatím potkalna WP jen amatéry, zatímco profíci (aspoň trohcu kvalitní admini a programátoři) se wordpressem moc zabývat nechtějí.

Zvažte PLESK panel, ten má určité automatizované nástroje, které nekteré zranitelnosti proaktivně mitigují.

1383

Odkladiště / Re:Diskuze na WordPress šabloně

« kdy: 27. 02. 2019, 20:25:02 »

Pak je druha vec a to jsou ty XSS a SQLi utoky. Tam lze poradit par veci:
- pravidelne aktualizovat
- idealne mit sveho freelancera, ktery tomu systemu rozumi
- nestahovat placene pluginy "zadaco" - vetsinou to nekdo koupi, "poleci", prida svuj skodlivy kod a hodi na site. tupci si myslej jak vydrbali s puvodnim autorem.

S těmito tvrzeními souhlasím absolutně.
Bohužel, moje zkušenost je, že Wordpress se používá spíš stylem: máme nabídku od šikovného (studenta), který nám udělá ze sexy šablony web za pár korun a budeme si ho moct sami editovat.

Na to, aby se správně vybraly komponenty, zabezpečilo se to, a aby se o to někdo pravidelně staral, na to už se nemyslí. Ve skutečnosti je měsíční správa Wordpressu poměrně časově náročná, určitě to hodinku, dvě vezme. Jenže to už zákazníci nechtějí platit - vždyť je to Wordpress, Opensource, tedy to musí být ZADARMO.

1384

Odkladiště / Re:Diskuze na wordpress šabloně

« kdy: 27. 02. 2019, 20:22:26 »

Na to se vyloženě nabízí otázka: Jaký redakční systém místo Wordpressu, který by výše uvedenými problémy netrpěl?

Když se podívám do statistik, tak Wordpress a Joomla jsou průšvih. Drupal a Magento jsou na tom výrazně lépe:
https://www.cvedetails.com/product/4096/Wordpress-Wordpress.html?vendor_id=2337
https://www.cvedetails.com/vendor/3496/Joomla.html
https://www.cvedetails.com/product/2387/Drupal-Drupal.html?vendor_id=1367
https://www.cvedetails.com/product/31613/Magento-Magento.html?vendor_id=15393

1385

Odkladiště / Re:Diskuze na wordpress šabloně

« kdy: 27. 02. 2019, 18:02:01 »

Na Wordpress není žádná rada. Je to tak moc rozšířený systém, navíc programovaný poměrně špatně, se spoustou pluginů programovaných amatéry, že to celé přitahuje hackboty jako magnet.

Lze doporučit jen obecné rady, ale ty jistě znáte: automaticky a co nejrychleji aktualizovat na nejnovější verze. Pečlivě vybrat správné pluginy a zabezpečení. Docela dobře může pomoci i Web Application Firewall, např. Atomic má poměrně slušný ruleset za solidní cenu ($ 225 / rok: https://www.atomicorp.com/amember/cart/index/product/id/29/c/). Ten aplikační firewall vyblokuje spoustu útoků a také odhalí hodně slabin v pluginech wordpressu (nejčastěji XSS).

Pak může pomoci nastavit běžný firewall, omezit počet spojení za určitý čas ze stejné IP adresy. Je to sice dost zoufalé řešení, ale pomůže.

Další zoufalé, přesto fungující řešení je fail2ban, zejména pokud do něj nakrmíte právě výsledky z modsecurity.

Ale to všechno jsou ohejbáky, narovnáváky, ..., které nikdy nebudou stoprocentní. Vždy bude určitá část útoků úspěšná, a vždy to bude trpět na falešné detekce.

Pokud můžete, vyhněte se Wordpressu, je to levnější než tyto blbiny. Nenechte se zviklat tím, že "Franta odvedle" provozuje roky Wordpress pro svůj pingpongový klub a bez problémů. Wordpress je o to náchylnější na průšvihy, o co víc jste na internetu zmiňovaný. Hackboti sbírají adresy, které testují - takže neznámé pingpongové stránky mají daleko větší šanci přežít, než aspoň trochu známý web.

1386

Server / Re:MircoServer Gen8 - výběr OS + virtualizace

« kdy: 27. 02. 2019, 14:03:48 »

Tohle už je asi na osobních preferencích. Mně jail přijde jako nejelegantnější řešení. Paravirtualizace či kontejnery jsou podle mě zbytečně složité. Jak píšete, jail je vylepšený chroot (o mnoho vylepšený), ale díky tomu má opravdu prakticky nulovou režii. Pokud v jailu nepotřebujete mít spuštěný ani cron, tak v něm nemusí běžet ani jeden proces.

1387

Server / Re:Jak zjistit prez ssh zatez HDD

« kdy: 27. 02. 2019, 13:52:06 »

Způsobů je víc, ale většinou na to stačí jednoduchá metoda:
máte určitý počet CPU (jader), řekněme 8.

Pokud spustíte top, a uvidíte, že CPU nejede na 100 %, ale load je vyšší (8 nebo i víc), pak to znamená, že 8 procesů chce pracovat. Což by teoreticky mělo jít, když máte 8 CPU. Ale nejde to. A proč? Většinou je to právě kvůli tomu, že to čeká na disk. (Blokující mohou být i jiné operace, než I/O disku, ale ten je nejčastější).

Tj. zjednodušeně: vysoký load a nízké vytížení CPU = čeká se na data z disku.

1388

Server / Re:MircoServer Gen8 - výběr OS + virtualizace

« kdy: 27. 02. 2019, 13:44:10 »

Protože to nebude mít výkonu ani RAM nazbyt, já bych doporučil FBSD a jaily. Má to menší režii, než ostatní vyjmenované možnosti. Na zamyšlení je, co vše je opravdu potřeba běhat odděleně, konkrétně na fbsd se věci do sebe moc nepletou. Já když jsem přecházel z (povětšinou) Debianů na FBSD, tak jsem měl taky tendenci každou věc cpát do jailu. Měl jsem pocit, že když se něco nepovede, začne se lépe znovu. Pak jsem zjistil, že to skoro nepotřebuju, protože všechny balíky se instalují do /usr/local, nastavení do /usr/local/etc, ..., takže samotný základní systém zůstává za všech okolností zdravý, nezahnojený.

1389

Server / Re:PHP-fpm pool pro více uživatelů

« kdy: 27. 02. 2019, 11:38:49 »

Pane Šilhavý, pooly vím jak rozdělit na to se dá najít návody, v čem si nejsem jistý jak to rozdělit abych nedostával při nějaké zátěži 50x atd.
Děkuji

Ale to musíte vyladit, odzkoušet. Na to není žádný magický návod. Pokud máte vše v jednom poolu, tak si to hospodaří s (zejm.) pamětí automaticky. Pokud pooly oddělíte, každý pool si sežere vlastní paměť. Někdy se hodí pm.dynamic, někdy pm.static. Jinak nastavené budou produkční pooly, jinak vývojové. Víc se můžete rozšoupnout u poolů, kde nastavíte na PHP kratší execution time a nižší memory limit. Šetřit musíte tam, kde to je naopak. Proto se doporučuje web oddělit od administrace, protože web obvykle nepotřebuje ani paměť, ani není žádoucí, aby request trval déle než maximálně pár krátkých sekund. U administrace naopak potřebujete víc paměti, povolit uploady apod. Crony (exporty apod) je zase lepší volat přímo /usr/bin/php a vůbec to nehnat přes FPM - pak potřebujete oddělené INI soubory i pro tato volání.

Ta problematika je prostě široká, aby se dalo poradit. Musíte něco udělat, zkusit, a když se zaseknete, zase Vám v konkrténím případě někdo rád poradí.

1390

Server / Re:PHP-fpm pool pro více uživatelů

« kdy: 27. 02. 2019, 11:29:25 »

Ahoj,
děkuji za odpovědi, cesta rozdělením PHP poolů je pro mě dostačující, mohl by mně někdo prosím poradit, jak vhodně pool rozdělit? Nějaký vzorová konfigurace?

Potřebuji rozdělit na 10 vhostů.
Děkuji

Pane kolego, to už snad nemyslíte vážně. Zde je místo na to se poradit, když nevíte, váháte, nebo se na něčem zaseknete.

Ale Vy chcete, aby jiní udělali práci za Vás!

1391

Server / Re:PHP-fpm pool pro více uživatelů

« kdy: 27. 02. 2019, 11:07:20 »

Debian na to není úplně ideální, ale i v něm se to dá nastavit.
Dělá se to tak, že se pro každou "službu" založí vlastní uživatel.
Pod daným uživatelem běží php-fpm a vlastní instance nginx (tím pádem každá běží na jiném portu).

Na port 80/443 se pak spustí (třeba pod generickým uživatelem www/www-data) reverzní proxy, která provozy přesměruje do těch jednotlivých instancí.

Je to skvělé a spolehlivé řešení, jendnotliví uživatelé se nemohou prakticky ovlivnit, ani si vlézt navzájem na soubory.

Osobně doporučuji na to použít FreeBSD, kde se paralelně daji nakonfigurovat nginxy i php-fpm zcela jednoduše, dvěma řádky v /etc/rc.conf.

1392

Vývoj / Re:Jak se resi deadlock v databazi, ktery vzniknul na urovni requestu v komponente?

« kdy: 22. 02. 2019, 09:34:57 »

No tím, že vyblokuji jakékoliv čekání na zámek se toho moc nenaučím  . Hodně záleží na kontextu, použité databázi, izolačním levelu, atd. Osobně bych určitě NOWAIT nedoporučil genericky používat - ale beru, že neznám prostředí, technologie, které používáte. V Postgresu jde případně nastavit lock wait timeout.

Ano, vím. Mluvím o tom, že naopak přes NOWAIT se mi lépe učí nováčci. Nevím, jakou zkušenost máte Vy, ale ke mně se dostávají "SQL" programátoři, kteří umějí udělat jeden select v MySQL, vlastnosti transakcí neznají a lock je pro ně něco, co v životě neslyšeli a nechápou ani význam. Prostě taková schola ludus v Postgresu.

1393

Vývoj / Re:Jak se resi deadlock v databazi, ktery vzniknul na urovni requestu v komponente?

« kdy: 22. 02. 2019, 09:23:03 »

Alternativou je pesimistické zamykání, případně používání klauzulí NOWAIT, případně SKIP_LOCKED a ošetřování si zámků vlastními silami. To určitě ale běžnému uživateli nedoporučuji.

Já konkrétně NOWAIT naopak doporučuji, zjistil jsem, že pro začínající programátory je to lépe představitelná cesta, jak se naučit fungování lockování. Začínající programátoři v praxi moc často na problém s locky nenarazí (testovací data jsou malá, i souběh locků trvá milisekundy, ...). Na častou chybu, na kterou narážím je tendence programátorů volat script minutovým cronem (setkal jsem se i se sekundovým), kde už se bez NOWAIT pracovat nedá.

1394

/dev/null / Re:Cosmo Communicator... pro odlehčení

« kdy: 21. 02. 2019, 17:31:03 »

NEni to presentovane jako novinka, ale jako druhej/vylepsenej model prave toho Gemini, oboje je od firmy "Planet Computers" ;-)
https://www.root.cz/zpravicky/cosmo-communicator-nastupce-uspesneho-gemini-pda-ktery-opet-navazuje-na-psion/

Zařízení nemusí být zas o tolik novější, o co je ta slečna starší. Vše je relativní.

1395

Odkladiště / Re:Faktura za Office 365 Home

« kdy: 20. 02. 2019, 21:00:25 »

Takže jestli to správně chápu, tak bych musel já nebo moje účetní podle bankovního čísla dohledat přesné jméno firmy a sídlo a to připojit (dopsat) k těm zbývajícím dokladům (bank. výpis a obdržený licenční e-mail)?

Nemusíte tam dávat sídlo firmy, stačí třeba ID číslo a jméno firmy. Z účetního případu musí být jasné, co nastalo. A samozřejmě platí zásada přiměřenosti. Nevýznamné položky není potřeba dokládat na krev, zatímco ztěžejní částky pro hospodaření firmy je nutné prokazovat precizně. Podle účetních standardů se rozlišují bagatelní položky a neplatí pro ně striktní pravidla pro rozlišení (zaúčtovány musí být správnou částkou, ale už se méně hledí, jestli je správné rozúčtování mezi měsíce a roky, jestli jsou na správném účtu v osnově (avšak daňový důsledek musí odpovídat)).

U MS Office za nízké tisícikoruny bych považoval za dostatečné doložit existenci licence, e-mail od Microsoftu a platbu. V některých případech, zejména z USA, nic jiného nikdy neobdržíte a ani nebudou chápat, co po nich chcete.

V případě nákupu na aukru, tam se zase dokládá info o vyhrané aukci, existence předmětu (pokud musí být v majetku), a opět platba. Znovu platí to, že se nemusíte jméno prodávajícího dozvědět, prostě Vám ho nesdělí (nemá k tomu žádnou zákonnou povinnost). A pokud je takový obchod legální, pak i takový pohyb musí být zaúčtovatelný!

Zajímavým případem může být dar nebo přivlastnění věci. Tam nemáte nebo nemusíte mít k dispozici druhou stranu, přesto to navýší majetek firmy (opět legálně). Dar může být i anonymní. Vzpomeňte si na dary politickým stranám, které sice už dnes musí zveřejňovat dárce, ale ne kvůli zákonům o účetnictví, ale kvůli volebnímu zákonu. Nebo si představte veřejnou sbírku nějaké nemocnice na přístroj - opět, nemáte vůbec informaci o druhé straně, přesto se o tom účtovat musí.

Prostě platí pravidlo, že cokoliv může (legálně) nastat v životě, s tím si musí účetnictví umět poradit.