Здравствуйте.

Меня интересуют вопросы версий форума.
1. Ценовые пакеты.
Зашел на vBulletin.com, но у меня проблеммы с английским. Увидел там два пакета, один за 160 баксов, другой за 85 американских президентов. В чем разница?
2. Там последняя версия на скачивание написана 3.5.4, релиз кандидаты как я понимаю не продаются? Тоесть пока не будет финала 3.6.0 то продавать будут 3.5.4 ?
3. Если я покупаю версию, допустим 3.6.0, потом выходит 3.7.0, я могу ставить последнюю или моя лицензия только определенно привязана к данной версии? Понял на сайте то, что лицензии продляются на год с доплатой, так это на ту которую купил или на любую - в смысле оплатил лицензию и ставишь любую версию? То что можно ставить даже обнуленные я слышал, но можно ли ставить разные?
4. Стою перед выбором: ставить 3.5.4 серьезно уже, а не тестировать, или ставить 3.6.0 кандидат 2, что более безпроблемно обновить с выходом финального релиза, 3.5.4 русскую или 3.6.0 кандидат 2 DGT ? Вопрос в том, что пока не видел полностью русской версии 3.6.0 от zCarotа, и обновится ли 3.6.0 кандидат 2 DGT безпроблемно и без потери различной информации до финального русского 3.6.0 от zCarotа?
5. Предусмотрена ли в 3.6.0 действенная и реальная защита от XSS атак и закрытие некоторых других "дырок", имеющих место быть в 3.5.4 ? Только не говорите пожалуйста, что XSS атака - это несерьезно и SQL инъекция это "фигня".

Спасибо.

Quote:

1. Ценовые пакеты.
Зашел на vBulletin.com, но у меня проблеммы с английским. Увидел там два пакета, один за 160 баксов, другой за 85 американских президентов. В чем разница?

пользуйся поиском по форуму - тема обсмоктана до "нимагу"!

Quote:

2. Там последняя версия на скачивание написана 3.5.4, релиз кандидаты как я понимаю не продаются? Тоесть пока не будет финала 3.6.0 то продавать будут 3.5.4 ?

если ты купишь лицензию, то в разделе для скачки тебе будет доступна самая последняя текущая версия (сейчас это 3.6.0 РЦ2)

Quote:

3. Если я покупаю версию, допустим 3.6.0, потом выходит 3.7.0, я могу ставить последнюю или моя лицензия только определенно привязана к данной версии? Понял на сайте то, что лицензии продляются на год с доплатой, так это на ту которую купил или на любую - в смысле оплатил лицензию и ставишь любую версию? То что можно ставить даже обнуленные я слышал, но можно ли ставить разные?

пока у тебя есть доступ к обновлениям, тогда можешь ставить себе какую угодно версию, только доступ закрыли (истек срок), то пользуешься тем что есть. Ты покупаешь лицензию, а не номер версии, купил лицензию - и ставь хоть древнюю 2.х.х версию

Quote:

4. Стою перед выбором: ставить 3.5.4 серьезно уже, а не тестировать, или ставить 3.6.0 кандидат 2, что более безпроблемно обновить с выходом финального релиза, 3.5.4 русскую или 3.6.0 кандидат 2 DGT ? Вопрос в том, что пока не видел полностью русской версии 3.6.0 от zCarotа, и обновится ли 3.6.0 кандидат 2 DGT безпроблемно и без потери различной информации до финального русского 3.6.0 от zCarotа?

1) пока 3.6.0 не финал, то полного перевода и не будет, но перевод юзерской части сделан вроде понлостью, так что на пользователях перевод никак не отразится. А ставить думаю лучше 3.6.0 РЦ2, а далее обновишься до 3.6.0 финал, вот. Хотя тут нужно учитывать ситуацию с хаками, если у тебя есть хаки на старой версии, к-рые тебе очень нужны, но нет еще их порта на 3.6.0 - то лучше подождать с их выходом и тогда уже ставить себе 3.6.0

Quote:

5. Предусмотрена ли в 3.6.0 действенная и реальная защита от XSS атак и закрытие некоторых других "дырок", имеющих место быть в 3.5.4 ? Только не говорите пожалуйста, что XSS атака - это несерьезно и SQL инъекция это "фигня".

100% защиты тебе никто не даст, защита есть в каждой версии, вот только на каждую умную голову находится еще одна, а то и более, умных голов, к-рые находят уязвимости, к-рых не видели разработчики. Посему, вопрос несколько глуп, вот, да и логичнее подумать - если выходит новая версия, то дырки старой версии латаются (у джелсофта вроде с этим пока норма)

1. $160 - Пожизненая лицензия + $30 каждый год для доступа к патчам и БД хаков (по желанию)
   $80 - Лицензия на год + доступ к патчам и БД хаков на год. После надо продливать.
2. Последняя версия 3.5.4 - это последняя стабильная версия форума. 3.6.0 финала (т.е. стабильной версии) пока нет. Скачать его можно в vBulletin Members Area, доступ в который, ты получишь после покупки лицензии.
3. Оплатишь лицензию - ставить vB 1.1.x/2.3.x/3.0.x/3.5.x/3.6.x - решать тебе
4. Мой совет - ставь Английскую версию 3.6.x и обновляйся до финала после того, как он выйдет. Да и к тому времени поспеет перевод от Макрови.
5. Защита от различного рода XSS атак проводится, Jelsoft регулярно исследует ее, и выпускает патчи. От сиего рода атак обновляется не только последнии версии vB; но и версии прошлых лет. Не так давно (месяцев 6 назад ) они очередной раз обновили линейку 2.3.x; 3.0.x и 3.5.х от XSS. Как наверно ты понял, они обновляют всю серию своих продуктов, включая и старые версии.

Я недавно купила лицензию. Сразу скажу, что были "проблемы" с оплатой. Т.е. кредитную карточку он не захотели принять. Написали, что недавно чуть было не были оштрафованы на 50 тыс. долларов за принятие оплат по кредиткам. Поэтому мне пришлось искать пути оплаты через перевод через банк на счет юр. лица за границу. У нас в Украине это было проблематично. Но это так, отступление-предупреждение. После этого доступна панель для скачивания любых версий: хоть 2.х.х, хоть 3.6.0 (который еще не финал). Они на данный момент рекомендуют ставить еще 3.5.4. Потом в течение года можно обновлять до любых версий, которые доступны. Потом продлевается лицензия на год за 30 долааров и опять доступны все версии для скачивания. Если в рассрочку, то можно заплатить сначала 80 долларов, а потом опять платить 80 и80 и т.далее. Если вы не знаете английского, можно воспользоваться переводчиком Промт. Суть перевода понятна.

Спасибо, сейчас попробую поставить 3.6.0 .
VipeR, Вы считаете что 6 месяцев это "не так давно"?! За это время появились статьи на тему уязвимостей.
Xrobak, я имею ввиду 100% защиты на момент известной уязвимости, или быстрое решение проблемы уязвимости как таковой, никак не в указанные VipeRом шестимесячные сроки. На самом деле, глупо спорить о том, что не найдется тот, кто придумал бы нечто новое в методах взлома, пока есть люди, которые делают программы, найдутся и те, которые приложат усилия для их взлома. Вопрос состоит в своевременном реагировании на проблему уязвимости.
Еще учитывая тот момент, что Jelsoft Enterprises Ltd - это разработчик, серьезная "контора" с немаленьким колличеством занятых разработкой, отобранных по заслугам и знаниям специалистов, а взламывающий профи как правило один, ну максимум несколько человек - это если брать за вариант небольшие фирмы, занимающиеся на абсолютно законных основаниях тестированием "прочности" веб-ресурсов, то возникает вопрос: неужели серьезный разработчик не может сразу сам протестировать свой продукт и закрыть все "дырки"? Ответ: конечно может! И наглядный пример тому SLAED CMS, в статье о безопасности наглядно приведены примеры тестирования данного продукта! Вот ссылка на статью: http://www.slaed.net/index.php?name=News&file=article&sid=43
Если многими "умными головами" разрабатывается новый метод атаки, то ничего не мешает "умным головам" разработчика максимально защитить свой продукт именно от этого типа атаки, как от такового!
Известна атака XSS, у указанного выше разработчика разработана защита от XSS.
Если придумают новую, например "от винта" GDJFIEIVIINLC - атаку, вовремя необходимо разработать защиту от GDJFIEIVIINLC - атаки как от таковой в принципе.
В этом и заключается мой вопрос по безопастности: работает ли Jelsoft Enterprises Ltd в данном направлении? И насколько у разработчика реально получается обезопасить предлагаемый продукт, за который клиенты платят деньги?
Насколько мне, буквально недавно принявшемуся изучать продукт с целью покупки, известно - XSS -атака, как метод, появилась не вчера и не позавчера, а в продуктах Jelsoft Enterprises Ltd данная уязвимость имеет место. Хотя в продукте другого, указанного выше разработчика, данная уязвимость устранена в принципе.
Мне лично нужен продукт имеено компании-разработчика Jelsoft Enterprises Ltd, так как он мне нравится и удовлетворяет мои требования, также я согласен с параметром "цена-качество" за исключением характеристик безопасности продукта на данный момент времени известных мне - незалатанные уязвимости.
Думаю я подробно объяснил суть своего вопроса.

Quote:

У нас в Украине это было проблематично. Но это так, отступление-предупреждение.

согласен, но можно же найти посредника, к-рый за тебя сделает покупку (я так и сделал), я проплатил посреднику деньги и тот сразу же оформил покупку и через пару часов у меня было логин+пасс в мембер эриа. Вобщем, если захотеть - то можно сделать, но в целом - действительно все сложно, что нет представительства их в странах СНГ и спосбо оплаты забугорный.

буратино,
уязвимости джелсофты латают быстро, в этом убедились уже многие, посему я не думаю, что стоит особо переживать по этому поводу. Другое дело - это хаки, хаки если ты юзаешь, могут быть криво написаны, и благодаря им тебя могут поломать. Вобщем, когда купишь илцензию, на оф.форуме почитаешь рекомендации, чтобы свести к минимуму взломы.

Слушай, не поднимай панику, лучше джелсофта, форумные двжики мало кто защищает, уж ИПБ явно и рядом по защите/уязвимостям и не стоит. Все довольны вбюлетнем, давай, харе дергаться, вступай в ряды пекарей (вБулочников).

Quote:

Originally Posted by буратино

VipeR, Вы считаете что 6 месяцев это "не так давно"?!

Может меньше... я не помню когда точно последний патч вышел

Quote:

Originally Posted by буратино

Xrobak, я имею ввиду 100% защиты на момент известной уязвимости, или быстрое решение проблемы уязвимости как таковой, никак не в указанные VipeRом шестимесячные сроки. На самом деле, глупо спорить о том, что не найдется тот, кто придумал бы нечто новое в методах взлома, пока есть люди, которые делают программы, найдутся и те, которые приложат усилия для их взлома. Вопрос состоит в своевременном реагировании на проблему уязвимости.

Jelsoft своевременно реагирует на них. А взломать можно что угодно, и уязвимость необязательно окажеться именно в форуме я могу тебе сказать тебе как человек, который этим занимается.

Quote:

Originally Posted by буратино

неужели серьезный разработчик не может сразу сам протестировать свой продукт и закрыть все "дырки"? Ответ: конечно может!

Они это и делают + подключают к этому еще и пользователей. Выявить абсалютно все только им, jelsoft'ам, без чьей либо помощи, в рекордные сроки просто нереально. Пользователи помогают им выявить все гоораздо быстрее.

Quote:

Originally Posted by буратино

Если многими "умными головами" разрабатывается новый метод атаки, то ничего не мешает "умным головам" разработчика максимально защитить свой продукт именно от этого типа атаки, как от такового!
Известна атака XSS, у указанного выше разработчика разработана защита от XSS.

Ты говоришь о булке так, что сломать ее как 2 пальца об осфальт. Это далеко не так. Чаще всего самым слобым звеном в общей безопасности ресурса - это его админ.

Quote:

Originally Posted by буратино

В этом и заключается мой вопрос по безопастности: работает ли Jelsoft Enterprises Ltd в данном направлении? И насколько у разработчика реально получается обезопасить предлагаемый продукт, за который клиенты платят деньги?

БУЛКА, МЛЯ, САМЫЙ БЕЗОПАСНЫЙ ФОРУМ, МЛЯ, ВО ВСЕМ ИНЕТЕ. НИКТО НЕ МОЖЕТ ДОБИТСЯ ЧЕГО-ЛИБО ПОДОБНОГО.

Quote:

Originally Posted by буратино

Насколько мне, буквально недавно принявшемуся изучать продукт с целью покупки, известно - XSS -атака, как метод, появилась не вчера и не позавчера, а в продуктах Jelsoft Enterprises Ltd данная уязвимость имеет место. Хотя в продукте другого, указанного выше разработчика, данная уязвимость устранена в принципе.

НЕТУ ТАМ XSS УЯЗВИМОСТЕЙ! НЕТ! В IPB ИХ ОКОЛО 20!!!, А В БУЛКЕ, МЛЯ, НЕ НИОДНОЙ НА ДАННЫЙ МОМЕНТ!

буратино,
(о ник то какой!)
тебе десять раз ответили на одни и теже вопросы, а ты их все так же продолжаешь мусолить...

kerk, причем здесь мой ник? Если Вам интересно, буратино - любимый герой моей двухлетней племянницы, меня она называет также, и, честно говоря, мне абсолютно все равно кто и как его воспримет.
Что касается темы вопроса, Вы правы, я задал подобный вопрос в нескольких топиках. Причиной того, что я включил его и в данный перечень вопросов является то, что ни в одном топике я не получил реальный аргументированный ответ.

VipeR, Xrobak, ребята, я с Вами полностью согласен насчет того что "булка" - это лучший форум, в этом не сомневайтесь, и это не паника и ничего такого. В ряды "пекарей-вБулочников" нахожусь на стадии вступления. И еще раз выражаю благодарность данному форуму за информационную поддержку. С другими форумами "булку" сравнивать считаю глупым и бесполезным занятием.
Причиной моих вопросов является изучение всех возможностей форума, а ни в коей случае ни его дискридитация!

По поводу темы безопасности, тоже самое. Булка лучшая в любом случае. Но этиология моих вопросов берет начало в темах о уязвимостях и направлена на получение полной информации как мной (по поводу защиты), так и разработчикам лишний раз не помешает напомнить (ведь данный форум реально является форумом поддержки русскоязычным потенциальным и реальным клиентам, и где же писать об этом и спрашивать как не здесь).

Если отбросить неграмотность администраторов, форумы которых ломают (хотя далеко не все неграмотные и новички), остается один реальный топик, опубликованный администратором КотЪ, вот он http://www.vbsupport.ru/forum/showthread.php?t=5096
Суть данного топика:

КотЪ
Администратор
Неадекватный

3.5.4 - Уязвимость HTTP Response Splitting в vBulletin

Уязвимость HTTP Response Splitting в vBulletin
Удаленный пользователь может произвести XSS нападение.

02 мая, 2006
Программа: vBulletin 3.5.4
Опасность: Низкая
Наличие эксплоита: Да
Описание:
Уязвимость позволяет удаленному пользователю произвести XSS нападение.
Уязвимость существует из-за недостаточной обработки входных данных в параметре url сценария inlinemod.php. Удаленный пользователь может с помощью специально сформированного POST запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта. Пример:

POST /vb354/inlinemod.php HTTP/1.0Cookie: bbpassword=a5c3d9e61bcb8dea99105143c772bcd9; bbuserid=1Content-Length: 93Accept: */*Accept-Language: en-usUser-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)Host: www.vulnerable.comContent-Type: application/x-www-form-urlencoded
do=clearthread&url=lala2%0d%0aContent-Length:%2033%0d%0a%0d%0a<html>Hacked!</html>%0d%0a%0d%0a
Уязвимость обнаружил Агиевич Игорь aka Shanker (shanker@mail.ru)

И пара интересных комментариев по теме:

netwind
Посетитель

я так понимаю, inlinemod.php это еще и редактирование постов через ajax,
видимо вставить код все-таки реально.

zCarot
zМарковь
Хочет третью строчку =)

джелсофт о дырках знает но как мы видим 3.5.5 всё-таки нет

Думаю комментарий zCarot, в ответ netwind самый реально значимый в этой теме, Никто не будет оспаривать знания zCarot и его профессионализм.
Со 2 мая прошло много времени, и если есть патч, информации о нем в топике нет. Так же суть моего вопроса, насчет 3.6.0, заключается именно в этом - как с XSS у 3.6.0 ?

Не надо воспринимать написанное мной в штыки, все-таки я выбрал для своего форума именно "булку", и вопрос для меня актуальный, как для потенциального клиента думающего о безопасности. Знал бы английский - задал бы на офф-сайте данный вопрос, но английского не знаю.

Я так понимаю и здесь не стоит его больше задавать, пока не приняли меня за какого-нибудь диверсанта и не забанили из-за вопроса, который меня волнует больше всего. Но если найдется Человек, который меня реально просветит в этом плане, и научит, то я позволю себе повториться - буду благодарен в как в устно-письменной, так и в материальной форме.

Надеюсь форум Демократичный и за вопрос мне бан не дадут, все-таки я пользователь данного продукта и будущий покупатель, информация форума мне очень полезна.

Всем спасибо за информацию.

буратино,
Обрати внимание на 2 факта:

Quote:

Originally Posted by буратино

Опасность: Низкая

&

Quote:

Originally Posted by буратино

с помощью специально сформированного POST запроса

POST по умолчанию отключен!

Quote:

Originally Posted by zCarot

если в админке запрещены внешние POST запросы (а это стоит по умолчанию) ничё не получится...