Meet Fred - 700 часов разработки под микроскопом
Для тех, кто не в теме, Fred это визуальный редактор от MODX LLC (название компании, не путать с MODX CMS). На официальном сайте MODX есть даже новость про выпуск этого редактора (перевод)
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
P.P.S. Цель поста не ясна даже мне. Скорее всего просто о наболевшем — MODX LLC считают, что раз название принадлежит им, то и CMS всегда останется с ними. Но увы, ветка Evolution уже откололась и успешно живет самостоятельно имея далеко идущие планы. Как будет с MODX 3 — покажет время.
Итак, на разработку Fred было потрачено 700 часов (MODX LLC инвестировала 63200 евро в разработку MODX 3, но как оказалось, эти деньги — часы разработчиков).
Если верить гитхабу, то над проектом активно работало 2 программиста (front + back), а работа началась аж с 7 января 2018 года.
К релизу ребта подготовились очень хорошо — помимо базовых вещей для компонентов в виде докуменации
MODX LLC запустила еще и сайт с презентацией пакета.
Чувствуее, как качественно подошли к выполнению поставленной задачи? Но увы, это только огорчает, поскольку сообщество объединяется для выпуска MODX 3, а MODX LLC лишь поглядывает на ход разработки, хотя сами уже как лет 5 сыпят обещаниями выпустить новую версию.
Таким образом, пока соторонние разработчики работают над обещаниями MODX LLC (обсуждение статьи «Что мы знаем о MODX 3 на данный момент» за 2015 год), они хрен пойми чем занимаются.
Итак, помимо установки редактора Fred (релиз которого состоялся уже 2 месяца назад и до сих пор находится в стадии бета) вы на свои сайты устанавливаете еще и полноценный бекдор. Без каких либо прав доступа можно получить доступ к файловой системе, отредактировать контент любых страниц, обойти ограничения по фильтрации MODX тегов…
Так может все-таки оно и к лучшему, что LLC не лезут в разработку. Ведь если при такой тщательной подготовке умудряются выпускать дырявый продукт потратив на него 700 часов, то что же мы получим в MODX 3? И какая вообще роль MODX LLC в этом всем, если даже им пиар удается с трудом (всего 12 постов за 2 месяца с хештегом #CreateWithFred).
P.S. Уязвимость уже исправлена. Но сделано это ооочень тихо (по всей видимости чтобы не портить и без того растерянную репутацию) и в регистрировать CVE они не захотели по причине beta (опять скорее всего ибо пиар, т.к. есть куча примеров CVE для OpenSource продуктов в статусе beta).
Комментарии: 9
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Вот кажется первое упоминание про MODX 3)
Я её даже переводил, сегодня еще смешнее читается.
Было более ранее упоминание MODX 3, чем статья от 2015 года, но фразу про 5 лет это не отменяет.
И молитесь, чтобы там не было других подобных дырок.