WatchAsUser - просмотр страниц пользователей без пароля

Часто по сайту возникают индивидуальные проблемы у пользователей, ошибки и прочие проблемы. В MODx'е не предусмотрено для администраторов просмотр страниц пользователей и я решил написать свой компонент. Собственно, он довольно небольшой и простой в использовании. В один клик вы авторизуетесь под ником любого пользователя вашего сайта и выявляете причину неполадки без изменения или использования пароля. Очень полезная штука.
Преимущества:
— Вход на сайт под ником любого пользователя без использования пароля
— Предусмотрена защита от менеджеров. Компонентом может пользоваться только Администратор с неограниченными правами.
— Переведен на 2 языка. Английский и Русский
— Легкий и быстрый в установке
Инструкция:
1) Установить пакет
2) Перейти на страницу пользователя в Менеджере MODx
3) Перейти во вкладку «WatchAsUser»
4) Нажать на кнопку
Modstore: https://modstore.pro/packages/users/watchasuser
Комментарии: 18
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
как вы обходите факт хеширования паролей, просто авторизуете по логину, без проверок?
L I T O S HL I T O S HКогда я провожу на сайте авторизацию пользователя, то я объект c пользователем помещаю в $modx->user а также авторизую его в определеленном контексте $modx->user->addSessionContext('web');
мне кажется что факт новой сессии здесь не важен, важно то что, можно авторизоваться без пароля.
Но раз модераторы магазина проверили и сочли безопасным, то молчу)
L I T O S HПросто когда-то я имел опыт работы с джумлой и вордпресс и обе эти CMSки сами по себе были достаточно защищены. Но изза обилия сторонних плагинов, их безопасность стремилась к нулю.
Но опять же, я лишь высказал свое опасение, на мой взгляд сам факт авторизации без знания пароля уже звучит небезопасно, это как снятие денег с карточки без пинкода. Но я не специалист, раз модераторы выставили компонент в магазине, значит они его проверили.
Так или иначе — как ты можешь на 100% быть уверенным в том, что какой-то компонент на сайте образовал дыру?
Знаете я неделю-две как увлекся теорией docker. Изучаю как устрены образы и соответственно какой образ лежит у самых истоков. Пользователи либо используют готовые образы или строят свои на основе готовых. Так вот выяснилось что в основе 99 процентов всех образов лежит — alpine linux — легковестный дистрибутив основанный на еще более легковесной версии busybox. Так вот оказывается что в alpine linux есть огромная дыра в безопасности и 99% всех образов в докер хабе — небезопасны. Замечу — официальных образов! И тогда возникает вопрос — поскольку сейчас вся разработка ориентируется на упрощение и подход установки пакетов (в php это composer, в nodejs это npm, в python это pip, в докере это docker hub) то как разработчик может своими силами гарантировать неуязвимость всего этого? Ведь это сотни тысяч чужих файлов. Разве дополнения в modx не тоже самое? как физически можно оценить безопасен код или нет…
Это правда стоит 500 рублей?
L I T O S H