Meet Fred - 700 часов разработки под микроскопом

Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)

Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).

Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.

К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.

Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.

Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.

Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…



Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).

P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).

P.P.S. Цель поста не ясна даже мне. Скорее всего просто о наболевшем — MODX LLC считают, что раз название принадлежит им, то и CMS всегда останется с ними. Но увы, ветка Evolution уже откололась и успешно живет самостоятельно имея далеко идущие планы. Как будет с MODX 3 — покажет время.
Евгений Борисов
15 сентября 2018, 11:21
739
+18

Комментарии: 9

Dmytro Lukianenko
15 сентября 2018, 11:36
+1
meetup.by/event/2013-03-13/modx-club-v-minske

Вот кажется первое упоминание про MODX 3)
Pashkevich Aleksandr
15 сентября 2018, 11:37
+1
meetup.by/event/2013-03-13/modx-club-v-minske
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
Василий Наумкин
15 сентября 2018, 12:21
+3
Цель поста, как минимум — обновляйте Fred, если он у вас зачем-то установлен.

И молитесь, чтобы там не было других подобных дырок.
    kanthrad
    13 октября 2018, 14:47
    0
    А что за проблема с безопасностью была у Fred (или где можно почитать об этом)?
Sergey Leleko
15 сентября 2018, 13:58
0
Мне название изначально не понравилось этого редактора =)
    Баха Волков
    15 сентября 2018, 14:18
    +4
    Название «Федор» больше бы подошло
      Sergey Leleko
      15 сентября 2018, 18:55
      0
      Вот с Фёдором я да, полностью согласен! И заголовок первичной публикации бы зашёл нормально «Meet Fedor..»
Вася
18 сентября 2018, 02:21
0
Это какой то п****ц, как мне кажется