08 ноября 2016, 10:25 Я писал только про коннектор из modExtra, который используется для создания своих компонентов. А если заменить на $modx->user->getUserToken($modx->context->key)? Главное, проверить сессию с секретным ключом. Безопасность / Критическая уязвимость в MODX Revolution 340 0
08 ноября 2016, 10:21 Ну и шуточки у тебя. Чуть инфаркта Микарда не получил. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
08 ноября 2016, 08:55 Есть куча точек в хода из различных компонентов, которые оставляют коннекторы в /assets/components/Евгений, а такая проверка в коннекторе может закрыть эту точку входа? ... require_once MODX_CONNECTORS_PATH . 'index.php'; $auth = !empty($modx->user) && isset($_REQUEST['HTTP_MODAUTH']) && $_REQUEST['HTTP_MODAUTH'] == $modx->user->getUserToken('mgr'); if (!$auth) { // Тут можно любые переадресации делать. Этот код для примера. header("Content-Type: application/json; charset=UTF-8"); header('HTTP/1.1 401 Not Authorized'); echo $modx->toJSON(array( 'success' => false, 'code' => 401, )); @session_write_close(); die(); } ... Безопасность / Критическая уязвимость в MODX Revolution 340 0
08 ноября 2016, 06:54 В 5 минут не уложился, но комментарий, вижу, изменил. Мда, печально всё с MODX. Безопасность / Критическая уязвимость в MODX Revolution 340 0
07 ноября 2016, 17:53 Принимается. Уважительная причина. Хотя я ожидал что-то типа «Меня бабушка кушать зовёт. Как покушаю, сделаю уроки, посмотрю черепашек-ниндзя так сразу сразу». Безопасность / Критическая уязвимость в MODX Revolution 340 +14
07 ноября 2016, 17:39 Мы все с нетерпением через 5 минут ждём от тебя префикс этого сайта. Безопасность / Критическая уязвимость в MODX Revolution 340 +5
07 ноября 2016, 15:25 Не стоит сравнивать проприетарный софт с опенсорсом. С последним сплошь и рядом такая фигня — автор устал, автору некогда, автор рубит бабло, автор вспотел — множество причин, почему автор навалить сорок куч на на «совершенство своего детища». А авторы MODX бабло то на чём рубят, на ноде? Безопасность / Критическая уязвимость в MODX Revolution 340 +2
07 ноября 2016, 12:22 Но куда девать любовь к MODX? Может вернуть Джейсону обратно? Как мне кажется, автор должен быть заинтересован в совершенстве своего детища. А уж вопросы с безопасностью вообще должны решаться в доли секунды. Например, Цукерберг платит за найденные уязвимости. А тут нашли, сказали, наконец, доказали на собственном сайте, и только после этого они решили пошевилиться (речь о Евгении Борисове). Да и сейчас, видишь ли, у них выходные. Охренеть. «Такой хоккей нам не нужен». Безопасность / Критическая уязвимость в MODX Revolution 340 +1
06 ноября 2016, 20:06 Понял. Спасибо! Из этого делаю вывод, что ларавел не имеет таких проблем безопасности. :) Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:52 Каждый выбирает сам. Свой путь я выбрал.Если не секрет, скажи тихонько только мне :) Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:11 Спокойно спать можно если не делать сайты на MODX)).А на чём? Ларавел? Несколько лет назад также говорили про джумлу и WP. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:06 Т.е. если никого не пускать в админку и не делать загрузку файлов на сайте можно спокойно спать? Безопасность / Критическая уязвимость в MODX Revolution 340 +1
06 ноября 2016, 18:47 Мляха-буха, жаль тут нет смайлика с битьем головой об стену. Вставил бы 20. Чего делать-то? Безопасность / Критическая уязвимость в MODX Revolution 340 +3
06 ноября 2016, 17:48 Это проблема не минифая, а MODX. Вопросы / Как подгружать скрипты через плагин MinifyX async? 1 0
06 ноября 2016, 10:05 Но если ты считаешь, что я отмахнулся от проблемы и повёл себя как мудак — твоё право. Безопасность / Критическая уязвимость в MODX Revolution 340 +2
06 ноября 2016, 09:45 Да я вроде тоже не предлагал демонстрировать это на моих проектах, не правда ли?Как и авторы MODX. Но там ты встал на сторону Евгения, а тут на противоположную. Непоследовательно. Одно дело у меня на сайте пошалить, а другое дело обратить внимание человека, на котором лежит большая ответственность — у многих из нас сайты размещаются на modhost.pro, который работает на MODX, и это вызывает обоснованное беспокойство. Безопасность / Критическая уязвимость в MODX Revolution 340 +3
06 ноября 2016, 09:06 Могу ошибаться, но по-моему, вот это было изначально в статье. Кто хочет ощутить это на себе, может в комментах написать ссылку на сайт. Про доступ в админку тут не слова. Лично мне было интересно проверить, но я не рискнул. Страшновато. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 08:48 Евгения Борисова, помню, в итоге вообще обматерили. ...Ну, иначе высокое руководство не считало те дыры — дырами, и отмахивались, мол так и задумано. Пришлось доказывать на их же сайте.Кстати, пока Николай не залез к тебе, ты тоже отмахнулся. И ответная реакция у тебя тоже практически матерная. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 07:47 Дмитрий, а как вы пришли к выводу, что это именно из-за темы dark? Новые дополнения и их версии / [AdminTools] Избранные элементы 36 0
Возможно ли реализовать возможность предоплаты за доставку на сайте? У меня Робокасса, у них вроде есть docs.robokassa.ru/ru/iframe
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска события поставить ниже чем orderUI, после
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Дополнение доступно modstore.pro/packages/photos-and-files/imageoptimizer
Localizator3 для MODX 3: перевод полей и TV без отдельного context на язык, Vue 3 + PrimeV... Добавил localizator3_default_language
msInShopNotify Начиная с версии 3.0.0-beta добавлена поддержка MiniShop3 Минимальные требования: PHP 8.4 MODX 3.2 MiniShop3
MaxNotify Обновление 1.2.0-pl (03.07.2026) — добавлены уведомления о заявках FormIt через hook-сниппет `maxNotifyFormIt`; — добавлены уведомления о заявках SendIt через hook-...
[msBonus2] 1.3.0 Бонус-коды, уведомления о сгорании и совместимость с msMultiCurre... Да, планируется. Даже чуть больше, чем просто бонусная система)
А если заменить на $modx->user->getUserToken($modx->context->key)? Главное, проверить сессию с секретным ключом.
Одно дело у меня на сайте пошалить, а другое дело обратить внимание человека, на котором лежит большая ответственность — у многих из нас сайты размещаются на modhost.pro, который работает на MODX, и это вызывает обоснованное беспокойство.
Про доступ в админку тут не слова. Лично мне было интересно проверить, но я не рискнул. Страшновато.