Покупка на ultron.pro! Не забудьте обновить ядро и компонент Gallery

Пару месяцев назад была куплена сборка на сайте ultron.pro для знакомого который открыл кафе.
Все было хорошо, пока сегодня не зашел на сайт и не обнаружил что он взломан.

Ядро было обновлено сразу до версии 2.7.3-pl. Но компоненты не стал обновлять.

Дак вот если собираетесь покупать не забудьте сразу обновить компонент Gallery, так как там стоит 1.7.0-pl который был взломан в 2018 году.
Почему то разработчик не позаботился проверить свои сборки на присутствие этого компонента, хотя прошло уже 2 года.

Собственно ответ тех поддержки был: сам дурак) А то что сборка с дырками по умолчанию продается, это нормально.

Да фиг с ним с моим сайтом. Но ожидать того что сборка по умолчанию пробита, как то даже в мысли не приходило. Советуешь еще потом зайти на этот сайт подобрать какой то шаблон себе. В итоге получаешь старую сборку, которая в принципе может не работать после обновления всех компонентов.

Вообще чтобы долго не замарачиваться проще скачать сайт целиком к себе на хостинг через команду:
wget -r -k -l 7 -p -E -nc http://site.com/
и посадить его на свою сборку.

Не сомневаюсь что в каждой дэмке сайта есть аналогичная дыра на ultron, так что если входите на дэмку какой то сборки, имейте хотя бы банальный антивирус чтобы не заразиться.
Андрей Степаненко
05 октября 2020, 18:27
modx.pro
1
1 371
+4
Поблагодарить автора Отправить деньги

Комментарии: 41

Андрей Степаненко
05 октября 2020, 19:24
0
Кстати а хорошая услуга получается. Ну ты же сам не обновился вот у тебя и вирусы) С тебя 5 тыщь за лечение.
    Андрей
    05 октября 2020, 21:00
    +1
    Добрый день, уважаемый покупатель :)
    Наши шаблоны имею компоненты версии, актуальной на момент создания сборки. Обновляются «внутренности» по мере обновления функционала (версии). Если покупатель сомневается, что сам поставит все правильно и обновится до актуальной версии — заказывает установку у нас.
    В чате, лично я у вас спросил — обновляли Вы ядро и модули после установки?
    Ответ: Ядро — да, модули — нет.
    Что делать? Выяснили, что есть бэкапы, вы откатились (надеюсь) и обновили модули.
    Все.
    «Сам дурак» из вас никто не делал и даже не намекал. Что вы себе надумали — ваши проблемы.
    Услуги восстановления сайта после заражения у нас нет и такой бизнес-схемы тоже :)

    Вы ждали от меня извинений или вы напишите на modx.pro… я не вижу, причины извинятся, т.к. вас не обижал.

    «В итоге получаешь старую сборку, которая в принципе может не работать после обновления всех компонентов»
    — в каком принципе она может не работать? Они все работают после обновлений, не вводите людей в заблуждение этими догадками.
      Андрей Степаненко
      05 октября 2020, 21:06
      0
      в каком принципе она может не работать? Они все работают после обновлений, не вводите людей в заблуждение этими догадками.
      Заблуждение — это если бы я сказал не правду хотя бы в одном месте. В каком месте это так?
        Андрей Степаненко
        05 октября 2020, 21:09
        0
        Gallery — 1.7.0-pl в сборках есть? Есть)
        В чем я ошибся?
          Андрей Степаненко
          05 октября 2020, 21:16
          +2
          Зачем ты поставляешь ПО заведом с дыркой? Ты не знал? Ну дак я об этом и предупредил в этом посте, непонятно что у тебя там еще может быть зашито. Разве что то не правильно.

          Исправь ПО вопросов не будет, а не так как ты мне ответил что «Вы не обновились из за этого проблемы». Может ты не обновился, и из-за этого проблемы?
          Так то я тоже разработчик и понимаю что любая дыра в моём ПО это огромная дыра, за которую я понесу какую то ответственность.
            Андрей Степаненко
            05 октября 2020, 21:21
            0
            Раз у тебя такая логика. Значит контролируй чтобы пользователи обновлялись регулярно.
            Я с твоего сервера качаю ПО с дыркой. Твой сервер вот и твоя ответственность. Ты за это деньги берешь.

            Gallery делал товарищ бесплатно, он в принципе не какой ответственности не нес, с него спросить нечего кроме компетентности и то он уже на тот момент особо не учувствовал в разработки.

            Ты же сейчас продаешь ПО с дырой, ну и просто на рекомендациях а МОЖЕТ вам стоит обновиться. Андрей? Исправь свои баги, будь добр.
              Андрей Степаненко
              05 октября 2020, 21:26
              0
              Я же правильно понимаю что у тебя сейчас лежит сборка, которую я сейчас разверну, и через месяц меня пробъют и ты для этого ничего не собираешься делать? Верно?
                Андрей Степаненко
                05 октября 2020, 21:28
                0
                Ты бы написал что у меня сборка с "ДЫРОЙ" обновите пожалуйста ядро и компоненты крупными буквами.
                  Алексей Соин
                  06 октября 2020, 09:32
                  +1
                  насчет этого согласен, так как ок мы кто в теме знаем например, что такойто компонент с такойто версией имеет уязвимость, но не все же будут вникать в такие тонкости и скорее всего узнают об уязвимости уже после того как будет совершен взлом. Так что я думаю это логично, что если продаётся платная сборка сайта, чтобы она из коробки уже была максимально проверена, а то по этой же логике если в этой сборке разработчик гдето оставил «пасхалку» которая будет приводить к взлому, то такойже ответ будет у техподдержке «мы вам продали как оно есть, а дальше ищите, проверяйте и исправляйте».

                  но тот момент, что про такую проблему у сборок данного магазина начали говорить только сейчас уже говорит о многом.
                Андрей
                05 октября 2020, 21:28
                0
                Андрей, есть, но обновление всех компонентов проходит ведь гладко? Никаких проблем не возникает. У нас старый модуль в сборке — да, вы его не обновили, хотя это вроде логично было сделать — тоже да. Лечить вам за пятеру, никто не предлагал, в консультанте все обсудили, зачем тут опять «топтаться», кому это интересно?
                Да, у нас не последней версии модули — это «признание» я вам написал ранее. Мы можем обновить, кому нужно или сказать как, а если вы упустили это случайно — ну бывает… Люди иногда забирают бэкапы сайтов на ядрах стрючих, обновляют их сразу и все, никто не жаловался.
                И повторюсь, никто вас обидеть не хотел, если что то там вас задело.
                  Андрей Степаненко
                  05 октября 2020, 21:29
                  0
                  да, вы его не обновили, хотя это вроде логично было сделать

                  Логично когда написано о том что там дыра.
                    Андрей Степаненко
                    05 октября 2020, 21:29
                    0
                    Когда обновление сборки будет? С обновлением Gallery до версии 1.7.1?
                      Андрей
                      05 октября 2020, 21:45
                      0
                      Нарисуем для начала в инструкции, в картинках как обновить, обычно этого достаточно, а потом обновим и сборку с новым функционалом.
                        Андрей Степаненко
                        05 октября 2020, 21:46
                        0
                        Все понятно и ясно дураку.
                        Андрей, сборку которую я купил, когда исправишь?
                          Андрей
                          05 октября 2020, 21:48
                          0
                          Флуд какой то… Я пас.
                            Андрей Степаненко
                            05 октября 2020, 21:50
                            0
                            Конечно пас сколько у тебя сайтов запущеных в demo с вирусами? Где гарантия что я там вирус не подхвачу, это к твоим словам которыми ты пытался в заблуждения ввести пользователей которые modx пользуются
                              Андрей
                              05 октября 2020, 22:08
                              0
                              Вирус и уязвимость это разные вещи, не вводите людей в заблуждение. А демки все обновляются.
                        Андрей Степаненко
                        05 октября 2020, 21:47
                        +1
                        Напишешь на сайте что там дыра? Ну так по честному, чтобы люди понимал что покупают
                    Павел Бигель
                    06 октября 2020, 03:38
                    +1
                    Шаблоны Ultron это сборище outdated решений с getimagelist, перемешки phx и fenom и 25 миллионов шабонов без понятия extend и include.
                    Покупать это я не советую никому, прям совсем никому
                      Дима Сайт
                      11 октября 2020, 15:00
                      0
                      А я вот считаю что нет ничего страшного в перемешивании синтаксиса. Главное чтобы решение было работоспособным.

                      Конечно, ситуация в которую попал @Андрей Степаненко очень не приятная и со стороны ultron-а нужно было хотя бы настоятельно предупредить о необходимости обновления, а лучше обновить заранее свое решение.

                      Напишешь на сайте что там дыра? Ну так по честному, чтобы люди понимал что покупают
                      Собственно он для этого, как я понял, топик и создал. Тут, кроме плюса, добавить нечего)

                      P.S. Не имею отношения к ultron.pro но помогал настраивать однажды купленную там сборку — ну да, хотелось бы переписать кое-что, оптимизировать, сократить, улучшить… но ведь и так работает! Разве есть хоть один программный продукт, который вот прям некуда уже улучшать и оптимизировать?

                      Мне кажется вы все же преувеличиваете, говоря что вот прям совсем никому такие решения не подходят. В кейсе который я видел покупатель полностью доволен и я бы пожалуй мог советовать сборки ультрон. Надеюсь они просто обновят все до недырявых версий и окажут должную поддержку топикстартеру и инцидент будет исчерпан)
                        Андрей Степаненко
                        11 октября 2020, 19:00
                        +1
                        Если бы Андрей с ультрона сказал что ок, сорян не заметил, сейчас исправлю. Этого топика даже бы не появилось.

                        Ты знаешь что есть дыра, только что об этом услышал, твои действия?
                        Меня это удивляет. По этому это смахивает на услугу: ах ваш сайт упал, мы его восстановим $$$.
                        Разве не похоже?

                        Про то что я совершил ошибку, ок. Не кажется ли что ультрон зная о уязвимости и не исправляя еe совершает ошибку… считаю что это так.

                        Фиксирую: утроен сам не знает обновлял ли он свои демки или нет. При входе на сайт в полне реально может залиться какой то вирус. Где написано что это не так?
                      Михаил
                      06 октября 2020, 08:40
                      +7
                      Поэтому шаблоны нужно реализовывать так, что бы компоненты подтягивались во время установки. Тогда проблем с актуальностью не будет. На пример как тут Alistyle и тут Instruments
                        Роман
                        06 октября 2020, 15:12
                        +1
                        Михаил, вы бы туда скриншоты поставили, больше бы было скачиваний. А так правильно все говорите.
                          Михаил
                          06 октября 2020, 15:45
                          +1
                          ДА надо бы. На днях займусь, поправлю
                        iWatchYouFromAfar
                        06 октября 2020, 16:41
                        0
                        Согласен с @Михаил, ультрон про это вообще падший сервис. Когда идея было изначально хорошая, а реализация как обычно. Надеюсь все таки дойдут у меня руки показать, как нужно собирать подобные темы/сборки на примере моего билдера… Как для клиента, так и для разработчика.

                        Да и ответ представителя магазина, это конечно адище. Если вы думаете покупать шаблон у ультрон про, лучше вот у Миши закажите…
                          Дима Сайт
                          11 октября 2020, 15:16
                          0
                          Поработаю адвокатом для ультрона)) Гляньте мой коммент перед тем как минусовать :)

                          К чему вешать обидные ярлыки, «падший» или «топовый» — пусть покупатели решают! Средняя цена готовой сборки там равна стоимости нескольких часов работы опытного программиста, который «в соло» за эти несколько часов ничего подобного (даже такого, как у ультрон, уровня культуры кода) сделать не сможет без аналогичных «своих сборок»

                          Конечно так круче, как @Михаил делает:
                          Поэтому шаблоны нужно реализовывать так, что бы компоненты подтягивались во время установки. Тогда проблем с актуальностью не будет. На пример как тут Alistyle и тут Instruments
                          и лучше у него закажите, или на ultron купите сборку и обновите сразу, ничего сложного нажать несколько кнопок. По заверению ultron (@Андрей как я понял) в комментария к посту, обновления ставятся без проблем. И они уже обещали все исправить в 2 этапа (сначала инструкиция, потому что это быстро, а потом и обновление сборок), ну нормальный подход же, разве нет?
                            iWatchYouFromAfar
                            11 октября 2020, 20:23
                            +1
                            Я категорически не согласен с твоими словами — «И так все работает». Если клиент хочет сайт за ~ 5.000 рублей, то пусть идет и покупает это гавно (иначе я эти псевдосборки назвать, увы, не могу), и потом тратит хрен знает сколько времени, денег и нервов на разного рода доработки. Это воля клиента и я не собираюсь никого переубеждать, у каждого есть голова на плечах а в ней мозг. Я видел две сборки ультрона для MODx изнутри. И оба раза я отказывался от работы с этим дерьмом даже за плату. Это мое решение.

                            Что касается ультрона. То они продают опасное ПО, которое может перезаражать все и вся. Нет никакого оправдания. При желании этого ИПшника можно по судам затаскать (правда у нас в РФ суды это такая себе инстанция). Нормальный подход — это делать нормальную продукцию а не опасное гавно, разве нет?
                              Николай
                              12 октября 2020, 02:04
                              +1
                              При желании этого ИПшника можно по судам затаскать (правда у нас в РФ суды это такая себе инстанция).
                              Да это вообще чушь. Если я оставлю двери своей квартиры открытыми, то отвечать будет тот, кто залез в квартиру и вынес имущество, а не я за свою беспечность. А судьям до наших MODXов и тёрок вокруг него пофигу, есть законы, есть судебная практика. Короче, человек не может отвечать за действия третьих лиц. Вот если он сам воспользуется уязвимостью, и будет лазить на клиентские сайты, то другой вопрос. И вообще, какой-то тухлый базар пошёл. Человек когда-то сделал сборки 100 лет назад как он считал нужным, как ему казалось правильным. Они рабочие, про уязвимости он мог не знать, но даже если бы знал, подобные вопросы решаются только самим разработчиком в рабочем порядке, на его усмотрение. Когда у него появится время и/или желание, вопрос чисто этики, репутации и т.д. Принудить или обязать его никто не может. Да и галерея эта сторонний компонент. А вот напор в попытках потопить коллегу характеризует скорее не его, а тех кто это делает, ну и сообщество в целом. Лично я не стал бы опускаться до того, чтобы перемывать кому-то кости таким образом. Тем более в деле которое не стоит выеденного яйца. Видать в мире MODX совсем глухо стало, что разрабы от скуки начали друг друга гнобить за свои поделки))
                                Андрей Степаненко
                                12 октября 2020, 09:04
                                0
                                Когда сайты на modx в 2018 были массово заражены, об этом тоже стоило промолчать?
                                  Николай
                                  12 октября 2020, 12:43
                                  0
                                  Почему, просто когда было указано на проблему это одно, а дальше обсуждение начало плавно скатываться в хейт и угрозы судами. Считаю, что рамки должны быть определённые. Кстати, как-то мне попадался сайт от ультрона на доработку, не мелкую. Не помню точно что там было, но каких-то негативных ощущений, как тут выше писалось, я не испытал. Большинство подобных сайтов не требует постоянных доработок. Поэтому, за 3-5 тыс. готовое решение с неплохим дизайном вариант вполне себе. В любом случае заниматься адаптацией будет разработчик, больше некому, нужны компетенции, поэтому проверка актуальности дополнений на его совести в том числе.
                                    Андрей Степаненко
                                    12 октября 2020, 12:53
                                    0
                                    Поэтому, за 3-5 тыс. готовое решение с неплохим дизайном вариант вполне себе
                                    Поддерживаю.

                                    По этому надо улучшать сервис. Хотя бы сборку обновить с компонентом Gallery чтобы другие не напарывались на эти грабли.
                                  iWatchYouFromAfar
                                  12 октября 2020, 17:49
                                  0
                                  Отвечать будет тот кто залез к тебе в квартиру — уголовно. А ты будешь отвечать за свою расточительность временем, деньгами и нервами. Но это немного неправильное сравнение. В данном случае тебе поставили дверь с замком и замок вроде как закрыт, но оказалось что его легко можно взломать. Разве не будет у тебя претензий к фирме, что ставила дверь с замком? Скорее всего будет и фирма должна нести ответственность за то, что предоставила тебе некачественный и опасный для твоей жизни и твоего благосостояния товар. И когда и кем был сделан этот замок, тебя уже мало будет волновать, у тебя будут совсем другие хлопоты.

                                  Смотри, вот я клиент, в сайтах мало что понимаю, денег нет а бизнес хочется мутить. Взял и купил шаблон, поставил и в душе не чувствую что там нужно где-то и что-то обновить. Я что, разработчик? Поставил как указано в инструкции и все. Эти шаблоны для кого? Для разработчиков или для клиентов? Видишь, даже такой опытный разработчик как @Андрей Степаненко и тот попался.

                                  Так что, если ты хочешь быть терпилой и вечно искать причины не предъявлять претензии исполнителю, которому ты заплатил деньги, а получил проблемы — дело твое. Я продолжу писать что шаблоны ультрона хлам всратый и рекомендую клиентам не покупать эти шаблоны.
                                    Николай
                                    12 октября 2020, 18:21
                                    0
                                    В данном случае тебе поставили дверь с замком и замок вроде как закрыт, но оказалось что его легко можно взломать.
                                    Сломать можно много замков обычной монтировкой. Гостов на замки нет (наверное), а раз нет прописанных норм, стало быть все другие оценки качества чисто субъективные и никакой ответственности за них не предусмотрено.
                                    Взял и купил шаблон, поставил и в душе не чувствую что там нужно где-то и что-то обновить. Я что, разработчик?
                                    Это как рассуждать, типа, я взял и купил запчасть на авто, решил поставить, я что автослесарь? Нет не автослесарь, но будешь ставить на свой страх и риск. И некому будет претензии предъявлять, что на ней не было инструкции по установке, не было специнструмента, никто не сказал про метки и т.д.
                                    Я продолжу писать что шаблоны ультрона хлам всратый и рекомендую клиентам не покупать эти шаблоны.
                                    Чисто по логике, чтобы не быть пиз.... голословным, нужно как-то аргументировать, желательно по пунктам. Поэтому, взрослые ребята стараются впустую не молоть языком. Хотя бы потому-что понимают, что это крайности, и чем ниже уровень в решении споров, тем дороже итоговая цена конфликта. Ну то есть, когда ты излил душу, выговорился как следует, но нажил врагов, потратил время, испортил настроение себе и окружающим, а в итоге не добился никакого результата. А хуже когда ещё и получил в ответку. Кстати, сайт ultron существует с 2016 года, за 4 года аналогов больше не припомню, не то чтобы не хлам, а хоть каких-нибудь.
                                      iWatchYouFromAfar
                                      13 октября 2020, 00:00
                                      0
                                      А если купил запчасть которую я могу поставить сам и она дала сбой? Потом выяснилось что сбой произошел не по моей вине, я что, не имею права дать свою оценку продавцу? Это называется отзыв, я поддерживаю ТС и считаю и всегда считал сборки от ультрона низкого уровня, а теперь оказалось, что продавец продавая товар не удосужился следить за обновлениями и безопасностью бесплатных компонентов, которые входят в его платные сборки. Удачи клиентам ультрона. Я прекращу спор насчет дверей, замков и прочих запчастей для авто. Еще раз — у каждого своя голова на плечах.

                                      Мне как-то похер кого я там нажил и кому испортил настроение. Возможно клиент найдет эту тему перед покупкой этих сборок и решит не покупать. Вот это и будет моя цель, а добьюсь я ее или нет, мне как-то, тоже похер. Но будет круто, если я избавлю людей от проблем с которыми столкнулся Андрей.

                                      Я бы мог кинуть свой оффер, что могу дать клиенту нормальную и современную сборку его сайта, с которой будет приятно работать будущим разработчикам клиента, которая будет версионироваться через Github, а так же я могу привести не менее 5-ти пунктов, почему сборки ультрона редкое дерьмо, даже верстка во многих темах мало чем отличается. Я думаю можно легко найти больше 5-ти пунктов если потратить время и т.д. Да даже текущая тема дала еще один пункт… Но я не хочу тратить свое время на что-то большее, чем написание вот этих вот комментариев, благо много времени они не занимают… Все равно такие как ты будут считать мои аргументы профанацией. Но если ты готов оплатить мое время, я проведу аудит какой-нибудь темы ультрона (хотя это темами сложно назвать) и расскажу, почему не стоит их покупать.

                                      А по поводу аналогов, модстор дал площадку для продажи тем. И как я уже сказал, лучше у Михаила взять шаблон, чем у ультрона купить сайт в архиве…
                            Андрей
                            12 октября 2020, 12:18
                            0
                            В первом посте я написал, что наши демо все обновляются, ядра и модули у сборок обновляются тоже без проблем, денег за какое-то «лечение» никто не просил и не собирался.
                              Bor
                              Bor
                              18 октября 2020, 22:43
                              0
                              Спасибо Андрею за оповещение. Считаю, что Ultron @Андрей должен переосмыслить случившееся, и немного изменить логику, чтобы пакеты были обновленным, а также, сделать рассылку своим клиентам, чтобы обновляли.
                              Была схожая ситуация, ко мне недавно пришла компания, которая своими силами развернула шаблон и только наполнила контент. Там с Gallery ровно такая же ситуация.

                              По поводу качества, вообще не согласен с комментами выше, которые валят ультрон. Это рассуждение чисто программистов, которые не видят задач бизнеса. Задача бизнеса одна — зарабатывать деньги, и если даже тема собрана на костылях, но решает задачи бизнеса, чем же она плоха? Это лучше, чем идеальная внутри тема, но которая не продает.
                                Denis
                                23 октября 2020, 00:48
                                0
                                Бизнес должен быть чистым, а не с «грязным» и опасным продуктом который в будущем может вылиться за края как сейчас со сниппетом Gallery…
                                Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
                                41