Новая версия MaxSite CMS
Рубрика: MaxSite CMS -> Версии
Четверг, 11 сентября 2008 г.
Просмотров: 2996
Подписаться на комментарии по RSS
Четверг, 11 сентября 2008 г.
Просмотров: 2996
Подписаться на комментарии по RSS
Пока вы в очередной раз латаете дыры WordPress новой версией, которая ничего нового в общем-то не несет, я выложил MaxSite CMS 0.21.
Отмечу только несколько нововведений. На мой взгляд они самые важные.
- Плагин для sape.ru со встроенным антиобнаружителем проданных ссылок.
- Плагин «Ушки» - аналог моего же плагина, только теперь более удобного и помощнее.
- Автосохранение текста визуального редактора.
- Конвертер записей, рубрик, меток, комментариев из WordPress.
Подробнее на моем сайте.
![]()



Комментариев: 9
Мне очень понравилась Ваша CMS, но подскажите, как обстоят дела с безопасностью? Хотелось бы поиспользовать, но есть опасения...
Вот основные позиции.
1. Сессия хранится в зашифрованной куке. Можно указать свой ключ шифрования.
2. Все пароли шифруются md5 с добавлением вашей уникальной фразы, + дополнительное преобразование. Если указать свою секретную фразу, то сломать пароль будет довольно проблематично.
3. Каждый раз, когда к сайту получает доступ залогиненный автор/админ, всегда проверяется корректность указанного в сессии пароля и логина.
4. Время сессии устанавливается отдельно. Это гарантирует, что любой посетитель через указанное время будет иметь другую сессию.
5. Каждый php-файл сопровождается проверкой на «включенность» CodeIgniter. Таким образом явно вызвать php-файл не удасться.
6. Работают только POST-данные. GET отсекаются. Таким образом, чтобы «взломать» сайт злоумышленнику придется создавать форму для POST-запросов. Это хоть и не 100% защита, но жизнь кое-кому усложнит.
7. Каждый POST-запрос проверяется на корректность сессии. Если сессия истекла или неверная, то данные не принимаются.
8. При желании можно ввести проверку на referer. Если запрос будет отправлен с дургого сайта, то всё рубится (die). Это примерный аналог antiXSSatak для WordPress.
9. Разделение комментаторов и авторов/админов. Комюзеры не имею возможности войти в админ-панель. Их данные хранятся вообще в другой таблице.
10. Разделение групп авторов. Разрешения выставляются для каждой группы индивидуальные.
11. Все запрос к БД выполняются с помощью т.н. Active Record, где автоматом происходит их экранирование и удаление всех нехорошестей.
12. Для большей защиты есть плагин, в котором модно указать IP с которых разрешен доступ в админку. Любые обращения с других IP будут сразу блокироваться на уровне инициализации системы.
Я понимаю, что абсолютно защищенной системы просто не существует, но пока проблем не было. Появятся, буду исправлять. Пока что этих пунктов хватает.
Максим, спасибо за хорошую CMS и за работу над ней! К сожалению поставил свой блог на ВордПресе и только всё настроил, влом пока заморачиваться переходом на ваш движок, пока только скачиваю новые релизы и по мере появления свободного времени мучаю на локалхосте! Наверно в недалёком будущем перейду на Вашу систему, уж очень ВП монстроподобен :(
Я вижу что ваш движек максим, становиться все лучше и лучше, у вас в планах есть сделать его платным? А то замел тенденцию, все хорошие бесплатные вещи, со временем начинают продавать..
Спасибо за подробнейший ответ
теперь мне намного спокойней
с вашего позволения задействую вашу CMS в своем проекте. имею блог на вордпресс - единственное что в нем привлекает - бесплатность и распостраненность, обилие виджетов, плагинов, тем. Но ваш движок уже вполне самодостаточен, а идущие в комплекте плагины и виджеты - покрывают мои потребности с лихвой. спасибо огромное! попробую в ближайшем будушем осилить свой шаблон для нее по вашей инструкции.
Попробую на выходных посмотреть MaxSite CMS 0.21. Ищу замену для своего сайта на snews. Како-то он кривенький оказался
И плагины не отдельно, а намертво к код вбиваются.
Единственное, что хорошо в snews так это поддержка php4 и быстрая развертка, но в свете окончания поддержки php4 надеюсь, что хостеры начнут шевелиться и переходить на php5.
Добрый день.
Установил MaxSite CMS, но добавляется только один пост. После создания второго, заголовок записи появляется в "Последние записи", но сама запись не открывается. Выдает ошибку 404 - страница не найдена.
В чем может быть проблема?
Мой ICQ 1965712, почта securein(значок)ya.ru
Отключите глобальное кэширование.
Посмотрел инструкцию по созданию шаблона (http://max-3000.com/page/1-delaem-svoj-shablon), по правде говоря очень "тяжело". Все правильно, расписано от А до Я, но сделано это не в расчете на обычного юзера. Увидеть бы инструкцию, в которой разбирается пошагово дефолтный шаблон и функции, используемые на каждом этапе.