ביקורת פרוייקט מערכת אחסון קבצים
 

היי,

בטח חלק מכם מכיר את חברת YABSOFT, החברה המפורסמת בעיקר בגלל סקריפט אחסון הקבצים שהיא מוכרת (שאני מאמין שהאתר HOTFILE משתמש בה ועוד אתרים אחרים).

לא מזמן התחלתי לעבוד על סקריפט מתחרה, שיהיה חינמי (!), פשוט יותר, מהיר יותר, גמיש יותר, ומאובטח יותר (בעיקר במנגנון הורדת הקבצים).

המערכת עדיין לא מוכנה עד הסוף, פאנל הניהול עדיין בשלבי בנייה, אך תוכלו לראות את החלק הקדמי של המערכת:
goshare.tk

אני מחפש שותפים לצוות (שזה רק אני כרגע), ואני מחפש שם שיהיה "שם החברה".

ומה דעתכם על המערכת?

---- נערך ----
*צונזר*

מערכת נחמדה ופשוטה.
תוסיף אפשרות הורדה עם מנהל ההורדות.
תוסיף אפשרות מד טעינה של העלאה קבצים, מעלים רוצים לדעת באיזו מהירות הם מעלים את הקובץ שלהם ומתי הוא עולה.

בהצלחה :)

מה בידיוק הסקריפט ש YABSOFTמוכרים?

תיכנס לאתר החברה
yabsoft.com

הסקריפט המדובר הוא MFH.


ולזה שהציע לעשות את המד הזה, אני מחפש מישהו שיעלה לי משהו נחמד עם JQUERY....

קרא חוקים בבקשה -
הדיון שלך מצוין, עד שהגעת לפריצות.
כאן לא המקום לדון על פריצות.

יונתן - הוא כולה רוצה שיבדקו אם המערכת שלו מאובטחת.. מה רע בזה?

כשאדם מבקש שיבדקו לו את האבטחה במערכת עליו לבקש אישור מנהל להציג הודעה כזו.
( חוקי הפורום )

במקרה זה , לא ביקש אישור , וגם לא היה מקבל אישור.

האתר מאוחסן בחברה בארה"ב
Name: cl129.justhost.com
Address: 69.175.108.234

מטבע הדברים , לא נדיח את משתמשי הפורום לנסות לפרוץ למערכות מידע שמאוחסנות על ידי חברת justhost.

היי,
המערכת מתוכנת (מבחינת תוצאה) בצורה לא נוחה,
רעיון המערכת ממש מיותר לפי דעתי, היום קיים מספיק מערכות לזה וגם חינמיות!
לגבי הקוד והאבטחה,
את הקוד לפי שחרור המערכת לא אוכל לראות ולתת ביקורת עליו, אך האם זה במחלקות?
והאבטחה גרועה (ולא לא פרצתי)

אני בספק אם לרמה כזאת הוא התכוון - רמה של פריצת PHP/SQL זה לא לפרוץ לשרתים בשביל להפיל את המערכת. רק לבדוק שהטפסים מאובטחים. שהבקשות POST / GET השונות מאובטחות וכו'.

חחחחחחחחחחחחחח.

ביקשתי לראות אם מישהו יכול להוריד קובץ בלי להמתין את זמן ההמתנה (זה אפילו לא פריצה, רק עקיפה), וזאת המערכת שלי אז מה זה משנה?

ומה קשר לפרוץ שרת, אני מדבר על לפרוץ (עקיפת, ליתר דיוק) קוד.....

בתאוריה, אם אני רוצה לעקוף , אני צריך לראות מה יש לעקוף...
אז מה יותר פשוט מאשר להיכנס לקוד ולבדוק אותו ?

זה יכול לבוא ברמה של buffer overflow ו heap exceptions ...

כל זה חוץ מהעובדה שאתה נמצא על כתובת בייחד עם עוד 1100 אתרים אחרים שאפשר להיכנס ולבדוק דרכם.

http://whois.sc/69.175.108.234

בעיות במערכת עצמה תוכל לבדוק ב error_log שלך, לא לבקש מאחרים שיסתכלו ... תנסה בעצמך דברים ב PHP של עצמך.
נסיונות להזרקה וטריקים בכתובת וב GET POST , נקלטים ב LOG ונרשמים אצל הספק.
במקרה שלהם , הם גם מגבים את ה LOG שלהם , ככה שאם קורה משהו מאצלך הם יודעים.

העיצוב בצבעים לא קשורים, תעשה משהו לבן , שחור.
לא שילוב כזה.

הבנייה עצמה צריכה להיות מודולרית, כדי שבעתיד, תוכל ליצור הכנסה ממכירת מודלים(FLV PLAYER, MP3 PLAYER, UNRAR, UNZIP)
עיצוב ע"י תיקיית template.
תמיכה בביזור שרתים ע"י FTP, עבודה עם CRONJOB למחיקת קבצים ישנים אוטומטית.
סטטיסטיקת הורדות, Load balancing במקרה שקובץ ממש מבוקש. תמיכה ב-Xcache.

ברמת האפליקציה:
תמיכה ב-Apache:
mod_auth_token, mod_bandwidth,
Lighttpd:
mod_secdownload, mod_trigger_b4_dl.(הגבלה של תעבורה תעשה ע"י reverse proxy, כי secdownload לא תומך בהגבלת מהירות)
Nginx:
mod_secure_link
וברמת כולם: mod_access, להגביל ע"י סיסמא.
PHP:
pcel uploadprogress (להציג את אחוזי ההעלאה).

לעת עתה אני לא אתייחס ל-LiteSpeed.

כמה יתרונות לתסבוכת שהצעתי:
1. אתה לא משתמש ב-PHP כדי להזרים את הקבצים = אתה חוסך המון המון משאבים ונשאר מתוחכם.
2. אתה תעשה הרבה מאוד כסף לטווח ארוך מהתקנה של הסקריפט (להגדיר deamon שיעבוד עם כל המודולים ביחד זה דבר לא פשוט).
3. יש לך את המערכת הכי מתוחכמת, מהאתר הכי פשוט ועד לאתר כמו RapidShare.


בהצלחה.