Алексей Шумаев
С нами с 30 ноября -0001; Место в рейтинге пользователей: #2429 минут назад
Отличное дополнение, спасибо!
Подскажите, как организовать файл если стоит msOptionsPrice2 привязан к опции size там может быть много позиций с разн...
[YandexMarket2] интеграция с msOptionsPrice2 1
Сегодня в 00:42
Еще снова вернулась проблемка, после выбора способа доставки почтой РФ — появляется стоимость доставки, но она «прилипает» и не исчезает после переклю...
Расчет стоимости доставки msRussianPost 11
Вчера в 21:57
Лучше деинсталировать и установить новую версию. Там полностью переписан JS.
ms_CDEK2 пропал? 5
Вчера в 20:33
Фильтрация как правило предполагает точное совпадения значений, а тебе нужен поиск.
mFilter2 фильтрация tv 1
Вчера в 19:55
Все исправилось, после замены на 'parents' => $_modx->resource.id
Помогите найти ошибку в шаблоне, теги 13
Вчера в 09:31
А кто подскажет, как в форму Создания/Редактирования ресурса, через ms2Form, добавить возможность выбирать несоклько параметров в одном TV?
Ну то-ест...
Создание ресурсов из фронтенда сайта, зарегистрированными пользователями. 4
Вчера в 08:53
если правильно понял то так
{set $rows = json_decode($_modx->resource.constructor_block, true)}
{foreach $r...
getImageList. Вывести вложенный migx на fenom 1
Вчера в 08:43
Подскажите, если на странице будет две формы, они будут работать? К примеру reCaptchaV3 этого сделать не может, нужно через костыль в виде скрипта, ко...
YaSmartCaptcha - защитите ваши формы от спама умной капчей от Яндекс 5
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
reCaptcha v3 - отложенная загрузка 1
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
Редактирование контекста в мультидоменном сайте 1
Если сайт не на базовом функционале — смотрите ваши данные — единицы измерения, плагины, кастомизации штатных методов — где-то что-то округляет, наверное.
Если есть интерес этому вопросу, нужно отдельную тему создать.
Для меня странно, что никому эта тема особо не интересна. Либо все уже умеют защищаться, либо (что вероятнее) большинство народа не знает или не заморачивается. Почему это плохо, я написал выше.
Если вы знаете, как защищать ограниченные полномочия (указанные выше в обсуждении общеизвестны и не достаточны в этом контексте) — напишите статью, лично я буду очень благодарен. Я вот пока не знаю. Идеи есть, но надо проверять.
Евгений указал путь, за что ему спасибо.
Насчёт остального — не согласен, и особенно если вы не прекращаете сотрудничество после сдачи проекта — большинству клиентов нужна поддержка/обновления и т.д.
Впрочем, это сугубо моё дело, ваша точка зрения понятна и оправданна.
Защититься на 100% нельзя, никто не спорит.
Тут важно именно следующее: многие (и я в т.ч.) полагали, что у нас CMS и ограниченная учётка может отдаваться контент-менеджеру без особых опасений.
Евгений продемонстрировал, что это не так. Для меня это важно и я буду думать над изменением политики работы с modx.
Ещё раз извиняюсь за старт обсуждения в вашей теме.
Извинился выше, минуса почикал как смог…
Тема же не про ваше дополнение! Оно отличное и никак во взломе не виновато!
Майнер можно не найти годами, а у вас на примете сайт на модх с 10000 уников.
Последствия понятны, я думаю.
У меня есть печальный опыт борьбы с последствиями инсайда. Тут тоже самое — добыл ограниченный доступ к панели (это просто!) — сохранил в ресурсе сниппет и готово — авторизовался под админом (например). Редиске даже думать не надо будет — «эксплоит» он сможет купить где надо.
Для любого серьёзного сайта — это крайне опасно. Выход тут действительно один — не давать доступ вообще. Никакие базовые авторизации глобально не помогут, корпоративные сети никто не отменял. Про резервные копии — когда вы обнаружите проблему, чистых уже может у вас и не быть (проходили).
Однако нам всем нужно понимать: если вы отвечаете за сайт (поддерживаете), но даёте доступ представителю клиента для управления контентом (у нас же ещё и CMS) — то… ну вы понимаете. Можно даже не настраивать права — как бы и не зачем.
Василий, это не сарказм, если что — я с большим уважением отношусь ко всем участникам сообщества и не желаю менять систему — она мне нравится.
Я вижу в этом большую проблему и не только в случае поддержки сайта после запуска (это важно!), а вообще для будущего modx. Редкие, но меткие комментарии Евгения показывают нам нехорошее, особенно в ретроспективе.
Сейчас идёт активное развитие системы, это отлично. При этом развивается и коммерческая часть — великолепно, но вот тут-то наличие таких фичей на мой взгляд недопустимо. Такие факторы будут тормозом для дальнейшего развития системы. Дыры в компонентах, массовые взломы — это одно, а наличие перманентной «багофичи» — уже совсем другое.
Ограниченные доступы легко расходятся по рукам.
Как показывает время, любая бага/фича рано или поздно используется, когда информация о ней попадает в соответствующие «справочники».
Для популярных сайтов — там вообще охота идёт за любой информацией и получение любым способом доступа к админке от «доверенных юзеров» — не проблема для соответствующих «товарищей».
С интересом наблюдаю за комментариями после сообщения Евгения.
Мне одному интересны следующие моменты: знают ли про «дырень» разработчики, учитывается для modx3?
Компонент классный, спасибо!
msOptionsPrice2 — классный компонент. Из моего опыта — я его сильно модифицировал (оптовые цены, совместимость с msDiscount) под проект и заложенный функционал сильно порадовал.
Нюанс: исключите из поиска /core/cache/ как минимум. Или убейте папки до сканирования )
Я сейчас не вспомню точно, инфа на Bob's Gides есть. Ну или просто постепенно обновить.
В этом случае, если сайт достаточно популярен, гарантированы очень хорошие закладки по всему сайту.
Спасение только в контроле за всем файлами сайта.