Fi1osof

Да не надо жалеть. Уязвимости есть везде, тем более там, где есть передаваемые параметры. Другое дело, есть возможность решить проблему или нет. Здесь эта возможность есть. Хотя с коннекторами там сейчас все очень плохо. Есть мысли как улучшить защищенность MODX-а, но это довольно серьезные трудозатраты. Может в будущем.

Это все та же проблема с префиксами (ссылка на статью в топике написана). Проблему модификации SQL-запросов практически не реально решить, так как много где принимаются извне параметры типа where, limit, sort, dir и т.п., потому вопрос как именно запрос прошел — не актуален (хотя да, с контексами я тоже проблему нашел, но это не относится именно к твоему случаю). Вопрос в том, что чтобы воспользоваться данной уязвимостью, надо знать префикс таблиц, так как надо выполнить запросы типа update table_name… Не зная префикса, нельзя указать корректное название таблицы. Без этого атаку не провести. Поэтому я и говорю: указывайте сложные префиксы для таблиц, будет гораздо гораздее.

Речи нет о радости. Речь есть о реальных проблемах в безопасности. Я всего лишь показал наглядно, так как ты не часто прислушиваешься к словам.
В общем, проблему я обозначил, а тебе уже решать исправлять ее или нет.

Василий, это одно из средств, которое позволяет закрыть пару дверей, но не решает проблему в принципе. Проверь в модсторе, не судо ли я там? Подозреваю, что уже. Во всяком случае я сумел себе fullname сменить и модифицировать один из своих документов. Это как раз стало возможно из-за того, что у тебя базовые префиксы используются. Да, я не могу зайти в админку, так как она закрыта, но я запросто могу сейчас создать сниппет, который при заходе на страницу сработает, сделает копии папок манагер и коннекторс, и там уже не будет двухфакторной. Или просто тупо шелл создаст.

Я не гажу. Я просто, априори считаю, что люди не так глупы, чтобы этого не понимать и не делать. Это реалии. Потому я сразу исхожу именно из этого. Я не против этого, пусть качают и ставят на сколько угодно сайтов или другим перепродают. Но я хочу, чтобы ко мне потом за поддержкой обращался только тот, кто его именно купил, и обратится он за нормальную стоимость, а не за 450 рублей.

Здорово, конечно, когда люди вот так делают joxi.ru/BA0dezWIBG1apA, и это добавляет к чистому профиту в итоге, но, к сожалению, не всегда.

Может быть, вот именно сейчас мы и пришли к сути моего ценообразования…

Антон, вы уж хоть чуть-чуть культуры проявите, раз вы взрослый и опытный человек.

Дурацкого я ничего не вижу, если вы не в курсе, все скаченные пакеты на стороне сайта хранятся: joxi.ru/GrqM6o9hNoRoEr
Лайфхак вам: качаете пакет, а потом на другом сайте через менеджер пакетов загружаете joxi.ru/GrqM6o9hNoRoEr
Если вы не знали этого, то еще кто из нас дурак.

5 тыс. Руб. за установку на Один сайт (по условиям магазина)

Условия магазина никак не отменяют технической возможности скачать установочный пакет из core/packages/ и потом устанавливать его на сколько угодно сайтов, так что как «5 тыс за пакет» — я не воспринимаю. «5 тыс с клиента» — это ближе к реалиям.

Павел, не увидел я что-то твоего сообщения…

1) В чём существенное отличие от debugParser? В том, что modMonitor сохраняет всё это дело в базу?

Не только. Там сам парсер сильно отличается. Вот смотри, debugParser переопределяет метод modParser::processTag(). Этот метод вызывается только при работе самого парсера, то есть при обработке MODX-тегов. Я же хотел, чтобы монитор фиксировал не только такие вызовы, но и вызовы на уровне API, то есть методов modX::runSnippet() и modX::getParser(). Собственно, этого я и добился, переопределив метод modParser::getElement();
Второе, что я хотел победить — это нормальную работу со сторонними базами, чтобы можно было с нескольких сайтов сливать статистику в одну единую базу. Тоже сделано.
Так что это принципиально разные компоненты.

2) Если modMonitor сохраняет все данные в базу, а посещений за день может быть и по 100к, не раздует ли базу до нереальных размеров?

Шоб мы так жили, чтобы у нас было по 100к уников в день…
Но, как я и говорил, как раз планирую ввести механизмы ограничения, чтобы не все записывалось, а только полезное. К тому же, изначально задача ставилась такая, чтобы парсер включался плагином, а не на уровне фиксированной системной настройки. То есть когда надо включить отладку — включаем плагин и смотрим статистику. Не актуально стало — отключили плагин. Это тоже реализовано.

Давайте жить дружно и обсуждать конструктивно!

Я не против :)

Ага))

Вот только для чего???

Антон, сообщество — это не только молча выложенные готовые решения, но и в целом атмосфера, настроения, тенденции и т.п. То, что мои топики чем-то сопровождаются — это может смешение цепляемых тем + отношение сообщества лично ко мне. Не суть. Есть темы, которые обсуждать надо. К примеру, в подобных томах можно примерно понять состояние рынка MODX-а и т.п. Если кто-то срач устраивает, я не считаю, что надо именно мне перестать что-то писать. Может надо народу чуть этику свою подтянуть? Тогда и срача меньше будет, и пользы от обсуждения больше.

Ээ, не выспался видимо я… Хотел сказать Напишу))) Написал. Но сегодня праздник, скорее всего в понедельник только сделает.

У меня страница в админке «Статистика запросов» бесконечно грузится — это нормально?

Да, с учетом того, что я экспериментировал и JSON бился :) Сейчас все ОК, проверяйте.
Кстати, по поводу эксперимента: это я проверял можно ли имея самые минимальные права в админке, поднять права до судо. Как я и предполагал, можно :)
Проблему описал здесь: modxclub.ru/topics/zapoved-dlya-paranoikov-ukazyivat-slozhnyij-table-prefix-pri-ustanovke-modx-2238.html

А где находится страница создания правил в switchUser? Не могу найти её на своём сайте в списке приложений, хотя версия последняя

Сорри, не прав был. Это UserKarma. Поправил.

Какие же вы настойчивые… Напиши Леониду просьбу, пусть сделает 30% скидку на ближайшую неделю. Учтите, вряд ли когда еще будет скидка на него.

Владимир, спасибо за положительную оценку, но стоимость останется прежней. Совсем скоро мы графики еще там выведем, может доберет в ваших глазах до 5000.

PS кстати, вопрос, отдельно контексты мониторить можно или все ресурсы моняторятся и выводятся без разбиения по контекстам?

Мы сейчас продумываем дополнительные плюшки в логику. Будем добавлять как механизмы исключения (к примеру, не сохранять статистику меньше указанного в настройке времени (типа нафиг нужны успешные показатели?)), так и возможность собственные данные в статистику добавлять (к примеру, $modx->modmonitor->addData(print_r($_REQUEST, 1)), или $modx->monitor->addRequestItem([«type» => «plugin», «name» => «my_plugin»]));
То есть для более тонкой диагностики конечно же нужны какие-то и собственные данные, можно будет все фиксировать. Иногда какой-нибудь плагин больше ресурсов съедает, чем вся остальная часть страницы. Но это так, для примера.

Оценивал маркетолог спортсмена… Антоша, иди подучи что-нить в программировании, прежде чем оценивать чьи-то разработки с точки зрения унылости, длины кода и т.п. Заодно в личку Василия, Володю и Андрея спроси считают ли они ShopModx унылым. Не думаю, что они будут так же категоричны, как ты. Просто потому что понимают больше.
Диалог закончен.

Демка наглядней)

Сергей, демо-сайт развернул, в топик информацию добавил.

Александр, пост был создан, чтобы услышать как можно больше За и Против. Их тут высказали достаточно. Есть над чем подумать.

Николай, это, я так понимаю, было адресовано Ивану. Имело смысл ему ответным комментарием писать, чтобы путаницы меньше было.