Евгений Борисов
С нами с 17 декабря 2012; Место в рейтинге пользователей: #3803 июля 2026, 13:55
Обновление
1.2.0-pl (03.07.2026)
— добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`;
— добавлены уведомлени...
MaxNotify 2
03 июля 2026, 13:42
Да, планируется. Даже чуть больше, чем просто бонусная система)
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurrency 7
30 июня 2026, 13:13
Добрый день! Может что-то с правами доступа к файлам? Посмотрите логи в modx, в php. С ходу сложно ответить, ранее не было таких случаев.
FileMan - прикрепление файлов к ресурсам для MODX 3 74
29 июня 2026, 21:27
Большое спасибо за подсказку, но проблема решилась переустановкой.
Зависает корзина минишоп2 2
27 июня 2026, 10:51
Применительно к данному компоненту не знаю, что можно сделать специфического для ИИ. Хотя в целом идея интересная, можно в пакет добавлять скилл или п...
Хватит логгировать как в каменном веке 🪵 5
26 июня 2026, 09:30
Все рекомендации учтены
CommerceBridge1C — двусторонняя интеграция 1С с MODX 3 и miniShop3 по CommerceML 2. 8
25 июня 2026, 21:21
Я и не искал. С новым Formit необходимость в Fetchit и аналогах отпала. Переезд легкий, только событие в js изменить.
FormIt 5.2: нативный AJAX и reCAPTCHA v3 7
25 июня 2026, 01:17
Кстати вопрос возник. Раздражало что для базовой локализации надо было делать версию ru — т.е. создавать дублирование информации из полей и доп.полей....
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeVue 2
К слову, рядом с uploadify.php должен быть еще один файл, который позволяет получать список файлов в папках на сервере. Так же без всякой авторизации.
— Аудит modhost.pro/
— Проверка компонентов (хотя бы из modstore.pro)
А потом уже может быть я напишу на security@modx.com
Очень жаль, что Николаю выражается благодарность за то, что он развел троллинг со сменой префиксов. Если бы все согласились сего исправлением — дырка бы так и осталась в ядре. Так за что спасибо то?)
Хотя кто-то, а ты должен знать всю истории и понимать, почему я им принципиально ничего не сообщаю.
Так что осталось только дождаться сигнала к действию. Чтобы это стало началом конца.
Причина 1
Ты приходишь и начинаешь обосновывать стоимость
офигеннымкачеством. А им там даже не пахнет. Как уже выше говорили — большинство твоих компонентов так и находится в статусе beta. Часть из них с дырками, которых нет в других компонентах. Я понимаю, что тебе хочется верить в свою охрененность. Но когда эта вера начинает зашкаливать и ты заявляешь, что даже консультировал меня — это уже перебор. Даже если мы и обсуждали смену контекстов — то это никак не консультация, а диалог. Более того, этот диалог закончился ничем.Причина 2
То, что ты нашел дырку в ядре — молодец. Но решение предложенное тобой — нифига не решение. Да, +1 к безопасности добавляет. Но не более. Меня просто возмутило то, что ты людей вводишь в заблуждение.
P.S. Я изначально знал, что диалог с тобой бесполезен. Поэтому шел сюда в первую очередь донести информацию не до тебя, а до общественности. И судя по рейтингам комментариев у меня это получилось. Так что на этом моя миссия выполнена.
Тема консультаций раскрыта
Хорошо, господин главнокоманндующий. Пойду дальше свои здания строить, а то еще закидаешь фекалиями.
Но знаешь, когда для человека расширение системных процессоров с отключением проверки уровень доступа это норма, то да — во многих компонентах можно найти дыры. Даже тот же modLiveStreat делает все правильно:
и просто modx не умеет этот код готовить…
В modImporter точку входа ты сам организовал assets\components\modimporter\connectors\connector.php. Но коли она тебе не видна, это еще не значит, что ее там нет.
Для примера, P.A.S. можно бесплатно скачать. И по функционалу достаточно объемен:-)
— при массовых взломах насколько мне известно запросы идут сразу на уязвимый сценарий. — Попытки найти админку бывают из любопытства.
— Определение CMS по сигнатурам это только если сайт действительно интересен. Коли это так, то спрятать все сигнатуры довольно сложно. Особенно если сайт чекается руками, а не через 2ip
Так что небольшой профит в получите. Возможно даже узнаете об уязвимостях в других CMS таким способом. Но полагаться на подобную защиту нет смысла.