08 ноября 2016, 10:25 Я писал только про коннектор из modExtra, который используется для создания своих компонентов. А если заменить на $modx->user->getUserToken($modx->context->key)? Главное, проверить сессию с секретным ключом. Безопасность / Критическая уязвимость в MODX Revolution 340 0
08 ноября 2016, 10:21 Ну и шуточки у тебя. Чуть инфаркта Микарда не получил. Безопасность / Критическая уязвимость в MODX Revolution 340 +1
08 ноября 2016, 08:55 Есть куча точек в хода из различных компонентов, которые оставляют коннекторы в /assets/components/Евгений, а такая проверка в коннекторе может закрыть эту точку входа? ... require_once MODX_CONNECTORS_PATH . 'index.php'; $auth = !empty($modx->user) && isset($_REQUEST['HTTP_MODAUTH']) && $_REQUEST['HTTP_MODAUTH'] == $modx->user->getUserToken('mgr'); if (!$auth) { // Тут можно любые переадресации делать. Этот код для примера. header("Content-Type: application/json; charset=UTF-8"); header('HTTP/1.1 401 Not Authorized'); echo $modx->toJSON(array( 'success' => false, 'code' => 401, )); @session_write_close(); die(); } ... Безопасность / Критическая уязвимость в MODX Revolution 340 0
08 ноября 2016, 06:54 В 5 минут не уложился, но комментарий, вижу, изменил. Мда, печально всё с MODX. Безопасность / Критическая уязвимость в MODX Revolution 340 0
07 ноября 2016, 17:53 Принимается. Уважительная причина. Хотя я ожидал что-то типа «Меня бабушка кушать зовёт. Как покушаю, сделаю уроки, посмотрю черепашек-ниндзя так сразу сразу». Безопасность / Критическая уязвимость в MODX Revolution 340 +14
07 ноября 2016, 17:39 Мы все с нетерпением через 5 минут ждём от тебя префикс этого сайта. Безопасность / Критическая уязвимость в MODX Revolution 340 +5
07 ноября 2016, 15:25 Не стоит сравнивать проприетарный софт с опенсорсом. С последним сплошь и рядом такая фигня — автор устал, автору некогда, автор рубит бабло, автор вспотел — множество причин, почему автор навалить сорок куч на на «совершенство своего детища». А авторы MODX бабло то на чём рубят, на ноде? Безопасность / Критическая уязвимость в MODX Revolution 340 +2
07 ноября 2016, 12:22 Но куда девать любовь к MODX? Может вернуть Джейсону обратно? Как мне кажется, автор должен быть заинтересован в совершенстве своего детища. А уж вопросы с безопасностью вообще должны решаться в доли секунды. Например, Цукерберг платит за найденные уязвимости. А тут нашли, сказали, наконец, доказали на собственном сайте, и только после этого они решили пошевилиться (речь о Евгении Борисове). Да и сейчас, видишь ли, у них выходные. Охренеть. «Такой хоккей нам не нужен». Безопасность / Критическая уязвимость в MODX Revolution 340 +1
06 ноября 2016, 20:06 Понял. Спасибо! Из этого делаю вывод, что ларавел не имеет таких проблем безопасности. :) Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:52 Каждый выбирает сам. Свой путь я выбрал.Если не секрет, скажи тихонько только мне :) Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:11 Спокойно спать можно если не делать сайты на MODX)).А на чём? Ларавел? Несколько лет назад также говорили про джумлу и WP. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 19:06 Т.е. если никого не пускать в админку и не делать загрузку файлов на сайте можно спокойно спать? Безопасность / Критическая уязвимость в MODX Revolution 340 +1
06 ноября 2016, 18:47 Мляха-буха, жаль тут нет смайлика с битьем головой об стену. Вставил бы 20. Чего делать-то? Безопасность / Критическая уязвимость в MODX Revolution 340 +3
06 ноября 2016, 17:48 Это проблема не минифая, а MODX. Вопросы / Как подгружать скрипты через плагин MinifyX async? 1 0
06 ноября 2016, 10:05 Но если ты считаешь, что я отмахнулся от проблемы и повёл себя как мудак — твоё право. Безопасность / Критическая уязвимость в MODX Revolution 340 +2
06 ноября 2016, 09:45 Да я вроде тоже не предлагал демонстрировать это на моих проектах, не правда ли?Как и авторы MODX. Но там ты встал на сторону Евгения, а тут на противоположную. Непоследовательно. Одно дело у меня на сайте пошалить, а другое дело обратить внимание человека, на котором лежит большая ответственность — у многих из нас сайты размещаются на modhost.pro, который работает на MODX, и это вызывает обоснованное беспокойство. Безопасность / Критическая уязвимость в MODX Revolution 340 +3
06 ноября 2016, 09:06 Могу ошибаться, но по-моему, вот это было изначально в статье. Кто хочет ощутить это на себе, может в комментах написать ссылку на сайт. Про доступ в админку тут не слова. Лично мне было интересно проверить, но я не рискнул. Страшновато. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 08:48 Евгения Борисова, помню, в итоге вообще обматерили. ...Ну, иначе высокое руководство не считало те дыры — дырами, и отмахивались, мол так и задумано. Пришлось доказывать на их же сайте.Кстати, пока Николай не залез к тебе, ты тоже отмахнулся. И ответная реакция у тебя тоже практически матерная. Безопасность / Критическая уязвимость в MODX Revolution 340 0
06 ноября 2016, 07:47 Дмитрий, а как вы пришли к выводу, что это именно из-за темы dark? Новые дополнения и их версии / [AdminTools] Избранные элементы 36 0
[Tickets] Версия 1.14.0-pl — первый релиз с апреля 2022 При установке на чистый MODx 3.2.2 ошибка Warning: Undefined array key «modUser» in /var/www/html/core/vendor/xpdo/xpdo/src/xPDO/xPDOMap.php on line 48После установки из админки ...
Редизайн сообщества .v2-site-header__nav > .container { display: flex; flex-wrap: nowrap; align-items: center; min-height: 4rem; padding-top: 0.625rem; padding-right: 1rem; p...
Reactions — современная система реакций для MODX 3 [1.0.1-pl] — 2026-07-15 Added ReactionsCount: live-обновление рядом с виджетом (span.reactions-count + reactions:updated) без F5
[aiAssist] Я же просто попросил его создать магазин, а он СДЕЛАЛ ЭТО! А поддержка macOS не планируется, ато увидел только runner под linux? Если к примеру сайт для разработки развернут локально, настроены все доступы к нейронкам чтобы не заморачивать...
Как ограничить вебмастеру доступ к заказам? Допустим вы закроете доступ к заказам и пользователям через админку, но для полноценной работы с сайтом нужен доступ в БД, а там вся эта информация есть и спрятать её невозможно, т...
Возможно ли реализовать возможность предоплаты за доставку на сайте? Отлично, значит можно не создавать заказ пока оплата не пройдёт успешно, а поскольку класс-обработчик оплаты будет кастомный сможет сами решать какую стоимость пробрасывать. Ещё на...
ImageOptimizer - WebP/AVIF и responsive <picture> для MODX 3 Выпустил новую версию [1.0.3-beta1] — 2026-07-13 Fixed — Inject сохраняет ``, `` и `` на полном HTML-документе (больше не оборачивает страни...
MiniShop3 1.11.0 при клике на radio идет пересчет итоговой суммы в orderUI, в зависимости от способов(оплаты доставки) я так поняла. попробуй код запуска события поставить ниже чем orderUI, после
А если заменить на $modx->user->getUserToken($modx->context->key)? Главное, проверить сессию с секретным ключом.
Одно дело у меня на сайте пошалить, а другое дело обратить внимание человека, на котором лежит большая ответственность — у многих из нас сайты размещаются на modhost.pro, который работает на MODX, и это вызывает обоснованное беспокойство.
Про доступ в админку тут не слова. Лично мне было интересно проверить, но я не рискнул. Страшновато.