Meet Fred - 700 часов разработки под микроскопом
Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
P.P.S. Цель поста не ясна даже мне. Скорее всего просто о наболевшем — MODX LLC считают, что раз название принадлежит им, то и CMS всегда останется с ними. Но увы, ветка Evolution уже откололась и успешно живет самостоятельно имея далеко идущие планы. Как будет с MODX 3 — покажет время.
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
15 сентября 2018, 11:21
Поблагодарить автора
Отправить деньги
Комментарии: 9
Была заметка в официальном блоге еще в 2012 году.
Я её даже переводил, сегодня еще смешнее читается.
Я её даже переводил, сегодня еще смешнее читается.
meetup.by/event/2013-03-13/modx-club-v-minske
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.
18 ноября 2024, 15:21
'where' => [
'Data.price:!='=>'0'
]
18 ноября 2024, 14:19
miniShop2.Order.add('extfld_delivery_price','100', function() {
miniShop2.Order.getcost();
})
Это вот работает, но чтобы увид...
18 ноября 2024, 10:11
Благодарю за ответы.
16 ноября 2024, 21:12
Спасибо. Работает.
