Да не надо жалеть. Уязвимости есть везде, тем более там, где есть передаваемые параметры. Другое дело, есть возможность решить проблему или нет. Здесь эта возможность есть. Хотя с коннекторами там сейчас все очень плохо. Есть мысли как улучшить защищенность MODX-а, но это довольно серьезные трудозатраты. Может в будущем.
Это все та же проблема с префиксами (ссылка на статью в топике написана). Проблему модификации SQL-запросов практически не реально решить, так как много где принимаются извне параметры типа where, limit, sort, dir и т.п., потому вопрос как именно запрос прошел — не актуален (хотя да, с контексами я тоже проблему нашел, но это не относится именно к твоему случаю). Вопрос в том, что чтобы воспользоваться данной уязвимостью, надо знать префикс таблиц, так как надо выполнить запросы типа update table_name… Не зная префикса, нельзя указать корректное название таблицы. Без этого атаку не провести. Поэтому я и говорю: указывайте сложные префиксы для таблиц, будет гораздо гораздее.
Речи нет о радости. Речь есть о реальных проблемах в безопасности. Я всего лишь показал наглядно, так как ты не часто прислушиваешься к словам.
В общем, проблему я обозначил, а тебе уже решать исправлять ее или нет.
Василий, это одно из средств, которое позволяет закрыть пару дверей, но не решает проблему в принципе. Проверь в модсторе, не судо ли я там? Подозреваю, что уже. Во всяком случае я сумел себе fullname сменить и модифицировать один из своих документов. Это как раз стало возможно из-за того, что у тебя базовые префиксы используются. Да, я не могу зайти в админку, так как она закрыта, но я запросто могу сейчас создать сниппет, который при заходе на страницу сработает, сделает копии папок манагер и коннекторс, и там уже не будет двухфакторной. Или просто тупо шелл создаст.
Я не гажу. Я просто, априори считаю, что люди не так глупы, чтобы этого не понимать и не делать. Это реалии. Потому я сразу исхожу именно из этого. Я не против этого, пусть качают и ставят на сколько угодно сайтов или другим перепродают. Но я хочу, чтобы ко мне потом за поддержкой обращался только тот, кто его именно купил, и обратится он за нормальную стоимость, а не за 450 рублей.
Здорово, конечно, когда люди вот так делают joxi.ru/BA0dezWIBG1apA, и это добавляет к чистому профиту в итоге, но, к сожалению, не всегда.
Может быть, вот именно сейчас мы и пришли к сути моего ценообразования…
Антон, вы уж хоть чуть-чуть культуры проявите, раз вы взрослый и опытный человек.
Дурацкого я ничего не вижу, если вы не в курсе, все скаченные пакеты на стороне сайта хранятся: joxi.ru/GrqM6o9hNoRoEr
Лайфхак вам: качаете пакет, а потом на другом сайте через менеджер пакетов загружаете joxi.ru/GrqM6o9hNoRoEr
Если вы не знали этого, то еще кто из нас дурак.
5 тыс. Руб. за установку на Один сайт (по условиям магазина)
Условия магазина никак не отменяют технической возможности скачать установочный пакет из core/packages/ и потом устанавливать его на сколько угодно сайтов, так что как «5 тыс за пакет» — я не воспринимаю. «5 тыс с клиента» — это ближе к реалиям.
1) В чём существенное отличие от debugParser? В том, что modMonitor сохраняет всё это дело в базу?
Не только. Там сам парсер сильно отличается. Вот смотри, debugParser переопределяет метод modParser::processTag(). Этот метод вызывается только при работе самого парсера, то есть при обработке MODX-тегов. Я же хотел, чтобы монитор фиксировал не только такие вызовы, но и вызовы на уровне API, то есть методов modX::runSnippet() и modX::getParser(). Собственно, этого я и добился, переопределив метод modParser::getElement();
Второе, что я хотел победить — это нормальную работу со сторонними базами, чтобы можно было с нескольких сайтов сливать статистику в одну единую базу. Тоже сделано.
Так что это принципиально разные компоненты.
2) Если modMonitor сохраняет все данные в базу, а посещений за день может быть и по 100к, не раздует ли базу до нереальных размеров?
Шоб мы так жили, чтобы у нас было по 100к уников в день…
Но, как я и говорил, как раз планирую ввести механизмы ограничения, чтобы не все записывалось, а только полезное. К тому же, изначально задача ставилась такая, чтобы парсер включался плагином, а не на уровне фиксированной системной настройки. То есть когда надо включить отладку — включаем плагин и смотрим статистику. Не актуально стало — отключили плагин. Это тоже реализовано.
Антон, сообщество — это не только молча выложенные готовые решения, но и в целом атмосфера, настроения, тенденции и т.п. То, что мои топики чем-то сопровождаются — это может смешение цепляемых тем + отношение сообщества лично ко мне. Не суть. Есть темы, которые обсуждать надо. К примеру, в подобных томах можно примерно понять состояние рынка MODX-а и т.п. Если кто-то срач устраивает, я не считаю, что надо именно мне перестать что-то писать. Может надо народу чуть этику свою подтянуть? Тогда и срача меньше будет, и пользы от обсуждения больше.
Владимир, спасибо за положительную оценку, но стоимость останется прежней. Совсем скоро мы графики еще там выведем, может доберет в ваших глазах до 5000.
PS кстати, вопрос, отдельно контексты мониторить можно или все ресурсы моняторятся и выводятся без разбиения по контекстам?
Мы сейчас продумываем дополнительные плюшки в логику. Будем добавлять как механизмы исключения (к примеру, не сохранять статистику меньше указанного в настройке времени (типа нафиг нужны успешные показатели?)), так и возможность собственные данные в статистику добавлять (к примеру, $modx->modmonitor->addData(print_r($_REQUEST, 1)), или $modx->monitor->addRequestItem([«type» => «plugin», «name» => «my_plugin»]));
То есть для более тонкой диагностики конечно же нужны какие-то и собственные данные, можно будет все фиксировать. Иногда какой-нибудь плагин больше ресурсов съедает, чем вся остальная часть страницы. Но это так, для примера.
Оценивал маркетолог спортсмена… Антоша, иди подучи что-нить в программировании, прежде чем оценивать чьи-то разработки с точки зрения унылости, длины кода и т.п. Заодно в личку Василия, Володю и Андрея спроси считают ли они ShopModx унылым. Не думаю, что они будут так же категоричны, как ты. Просто потому что понимают больше.
Диалог закончен.
В общем, проблему я обозначил, а тебе уже решать исправлять ее или нет.
Здорово, конечно, когда люди вот так делают joxi.ru/BA0dezWIBG1apA, и это добавляет к чистому профиту в итоге, но, к сожалению, не всегда.
Может быть, вот именно сейчас мы и пришли к сути моего ценообразования…
Дурацкого я ничего не вижу, если вы не в курсе, все скаченные пакеты на стороне сайта хранятся: joxi.ru/GrqM6o9hNoRoEr
Лайфхак вам: качаете пакет, а потом на другом сайте через менеджер пакетов загружаете joxi.ru/GrqM6o9hNoRoEr
Если вы не знали этого, то еще кто из нас дурак.
Не только. Там сам парсер сильно отличается. Вот смотри, debugParser переопределяет метод modParser::processTag(). Этот метод вызывается только при работе самого парсера, то есть при обработке MODX-тегов. Я же хотел, чтобы монитор фиксировал не только такие вызовы, но и вызовы на уровне API, то есть методов modX::runSnippet() и modX::getParser(). Собственно, этого я и добился, переопределив метод modParser::getElement();
Второе, что я хотел победить — это нормальную работу со сторонними базами, чтобы можно было с нескольких сайтов сливать статистику в одну единую базу. Тоже сделано.
Так что это принципиально разные компоненты.
Шоб мы так жили, чтобы у нас было по 100к уников в день…
Но, как я и говорил, как раз планирую ввести механизмы ограничения, чтобы не все записывалось, а только полезное. К тому же, изначально задача ставилась такая, чтобы парсер включался плагином, а не на уровне фиксированной системной настройки. То есть когда надо включить отладку — включаем плагин и смотрим статистику. Не актуально стало — отключили плагин. Это тоже реализовано.
Кстати, по поводу эксперимента: это я проверял можно ли имея самые минимальные права в админке, поднять права до судо. Как я и предполагал, можно :)
Проблему описал здесь: modxclub.ru/topics/zapoved-dlya-paranoikov-ukazyivat-slozhnyij-table-prefix-pri-ustanovke-modx-2238.html
Сорри, не прав был. Это UserKarma. Поправил.
Мы сейчас продумываем дополнительные плюшки в логику. Будем добавлять как механизмы исключения (к примеру, не сохранять статистику меньше указанного в настройке времени (типа нафиг нужны успешные показатели?)), так и возможность собственные данные в статистику добавлять (к примеру, $modx->modmonitor->addData(print_r($_REQUEST, 1)), или $modx->monitor->addRequestItem([«type» => «plugin», «name» => «my_plugin»]));
То есть для более тонкой диагностики конечно же нужны какие-то и собственные данные, можно будет все фиксировать. Иногда какой-нибудь плагин больше ресурсов съедает, чем вся остальная часть страницы. Но это так, для примера.
Диалог закончен.