4 часа назад
Еще снова вернулась проблемка, после выбора способа доставки почтой РФ — появляется стоимость доставки, но она «прилипает» и не исчезает после переклю...
Расчет стоимости доставки msRussianPost 11
7 часов назад
Лучше деинсталировать и установить новую версию. Там полностью переписан JS.
ms_CDEK2 пропал? 5
8 часов назад
Фильтрация как правило предполагает точное совпадения значений, а тебе нужен поиск.
mFilter2 фильтрация tv 1
9 часов назад
Все исправилось, после замены на 'parents' => $_modx->resource.id
Помогите найти ошибку в шаблоне, теги 13
Вчера в 09:31
А кто подскажет, как в форму Создания/Редактирования ресурса, через ms2Form, добавить возможность выбирать несоклько параметров в одном TV?
Ну то-ест...
Создание ресурсов из фронтенда сайта, зарегистрированными пользователями. 4
Вчера в 08:53
если правильно понял то так
{set $rows = json_decode($_modx->resource.constructor_block, true)}
{foreach $r...
getImageList. Вывести вложенный migx на fenom 1
Вчера в 08:43
Подскажите, если на странице будет две формы, они будут работать? К примеру reCaptchaV3 этого сделать не может, нужно через костыль в виде скрипта, ко...
YaSmartCaptcha - защитите ваши формы от спама умной капчей от Яндекс 5
20 ноября 2024, 16:25
В сниппете rcv3_html достаточно отложить загрузку через setTimeout (хотя кто-то делает через onClick). Не думаю что мой вариант самый правильный и что...
reCaptcha v3 - отложенная загрузка 1
19 ноября 2024, 10:51
Решил свою проблему через имя пользователя, но хотелось бы через права пользователя «Неограниченные права»
<?php
/**
* Системное событие OnMan...
Редактирование контекста в мультидоменном сайте 1
19 ноября 2024, 09:09
Спасибо, тоже очень интерестное решение.
Помогите советом, по реализации платных одноразовых услуг на сайте. 4
Просто рынок модикса ничтожно мал по сравнению с гигантом WP. По этому под MODX еще не пишут ботов всяких итд итп, которые бы проверяли сайт на дыры и грузили бы шеллы, а вот по WP это все есть и прекрасно работает.
Но, это все не спасет, если бот будет проверять наличие какого-нибудь дополнения.
pdoTools почти на каждом сайте же, а 200 ответ от сервера по данному URL modx.pro/assets/components/pdotools/js/pdopage.js на 99,9% идентифицирует о том, что это MODX.
Можно переименовывать папку /assets/ от ботов может быть спасет, но не более.
А так дыры есть везде, одно дело если они в компонентах, другое дело, когда в системе.
У Евгения был раньше, а сейчас что-то нет.
Сказать, что выложим в публичный доступ все email + имена. Это как-никак конфиденциальная информация и мало кто этому обрадуется. Получится своеобразный пинок под зад, надеюсь они выйдут на контакт и приложат усилия к фиксу.
Получается что все дополнения рассчитывали на безопасность XPDO на нижнем уровне (жесткую проверку на авторизацию, строгая типизация какая-нибудь), а как оказалось её там нет, так?
Или это все та же песня о том, что разработчики (дополнений) сами не фильтруют входные данные и открывают дыры XSS/SQL?
Авторы позиционируют MODX как безопасную CMS, а тут выясняется, что это не так, что они не занимаются закрытием дыры, а просто меняют вектор атаки.
Я был вообще не в курсе таких проблем, даже после публикации этой статьи, пока не отписал Евгений Борисов. Я не менял префиксы таблиц, я просто закрыл доступ к /core/ /connectors/ и /manager/ там где можно, но есть проекты, где я сделать это не могу.
На мой взгляд именно Open Source способствует поиску уязвимостей. Ведь автор не один, комьюнити MODX это не комьюнити AltoCMS или Livestreet, где продукт пилят 1-2 разработчика.
Наличие такой дыры заставило серьезно задуматься о дальнейшей разработки проектов на MODX CMS.
Laravel сейчас топ-1 PHP фреймворк. Если важна скорость, то можно посмотреть в сторону Phalcon, а если какое-то Enterprise решение, то на мой взгляд — Symfony.
Для всего остального есть Laravel :D
P.S.: Писать на Laravel приятно. Но куда девать любовь к MODX?
Можно к файлам в connectors перекрыть доступ, но это только, если статический IP у манагеров, админов.
А далее foreach перебираем результаты.
docs.modx.com/xpdo/2.x/class-reference/xpdo/xpdo.query
И это еще не все. Имхо сайт выглядит недоделанным, 2 статьи и пару комментариев на главной странице я вынужден идти в Статьи, что бы просмотреть ленту. Авторизация, которая почему-то меня не авторизует (http://pix.toile-libre.org/upload/original/1478086203.png).
Не понимаю, почему у специалистов такого уровня, такой плохой портал, modx.pro на обычном бутстрапе выглядит намного достойнее и сразу располагает к себе посетителя.
Всегда заходил на modxclub из-за интересных и полезных статей, но публикация подобных статей сократилась до 1-3 в месяц.
Но это так, к слову.
P.S. хотелось бы видеть конкурентный modx.pro портал, тем более, что у Вас есть большое количество своих дополнений.