Meet Fred - 700 часов разработки под микроскопом
Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
P.P.S. Цель поста не ясна даже мне. Скорее всего просто о наболевшем — MODX LLC считают, что раз название принадлежит им, то и CMS всегда останется с ними. Но увы, ветка Evolution уже откололась и успешно живет самостоятельно имея далеко идущие планы. Как будет с MODX 3 — покажет время.
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
15 сентября 2018, 11:21
Поблагодарить автора
Отправить деньги
Комментарии: 9
Была заметка в официальном блоге еще в 2012 году.
Я её даже переводил, сегодня еще смешнее читается.
Я её даже переводил, сегодня еще смешнее читается.
meetup.by/event/2013-03-13/modx-club-v-minske
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
8 часов назад
Понятно, изучать вкладки в migx…
Так то я пока освоил: создаем и заполняем таблицу с данными… Потом ее выводим…
Вчера в 00:59
Будет обновление АПИ до 3 версии или нет????
25 апреля 2024, 16:40
Когда планируется обновление? :'э
25 апреля 2024, 14:36
Насколько я помню, не во всех последних релизах была проблема со старой версией PHP (с 7й), а в 2.8.6 и 3.0.4 (предыдущих на текущий момент релизах из...
25 апреля 2024, 09:58
Попробую, спасибо!
25 апреля 2024, 00:32
Демо вроде автор закрыл, а ссылка из поста на компонент вполне рабочая, или о чем речь?
24 апреля 2024, 14:54
Давай попробуем вот так — youtu.be/BbyfFDARgZU