Доброе утро инстанчане), клиент попросил немного доработать ленту в итоге, рекомендую всем покупателям, instantcms.ru/addons/feed-for-instantcms2.html отключить ленту (когда в каталог добавляют разработки куда смотрят?!))!), до внесения исправлений автора и выпуска обновы, в компоненте активная xss, немного сканирования и написание небольшой автоматизации и спокойно можно трафик с пака ресурсов покупателей слить на другой ресурс или скрытно подгрузить эксплоит, тем самым прогрузить зловред, сам способ вызова сюда не буду кидать, просто предупреждаю, способ вызова видео скину автору, если сам не догадывается.
#2
12 сентября 2019 в 11:00
ideasdigger, а написать автору в личку нельзя было? Тихонько. А после исправления уже принять лавры, если так хочется потешить себя.
Мы не тестируем добавляемые дополнения в каталог.когда в каталог добавляют разработки куда смотрят?!
#3
12 сентября 2019 в 11:14
можно было конечно и в лс скинуть и продолжать в том же духе сливать в лс, но ситуация в целом хуже чем кажется, таких компонентов в каталоге достаточно и в итоге у людей за кровный кеш вместо сайта решето, это ведь не нормально? (боюсь предположить что под ионкубом продают)ideasdigger, а написать автору в личку нельзя было? Тихонько. А после исправления уже принять лавры, если так хочется потешить себя.
ideasdigger:
когда в каталог добавляют разработки куда смотрят?!
Мы не тестируем добавляемые дополнения в каталог.
а без огласки на такие проблемы, эффекта решение глобально по моему мнению нет, а лавры мне не нужны, просто сколько тут нахожусь удивляюсь что в каталог выкладывают, не осознавая ответственность, клепая как пирожки
ну а как говорится критикуешь = предлагает, предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки
Сегодня в 12:43
#4
12 сентября 2019 в 11:26
ideasdigger, Хм… Если позволите, то теперь перед покупкой или после, сразу к вам.
#5
13 сентября 2019 в 05:01
Fuze, ТС явно не любит пиар и шумиху. Очень сильный и надежный разработчик. Сколько он наисправлял мне разработок из каталога — просто не счесть. Сколько сделал полезных разработок лично мне, которые бы пользовались спросом у сообщества — тоже немало.
Полностью поддерживаю данное предложение!предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки
предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки
Предложение хорошее… Одна проблема. Если админам брать кэш за размещение в каталоге — значит взять ответственность за то что там размещается. (Она конечно и так есть, но пока номинально)
НО: Взвалить на себя еще и проверку каждого дополнения
Fuze, и так один развитие движка тянет...
К тому же какой там кэш… слезы))
А проверять каждую разработку — время.
(Хотя с другой стороны пополнение разработками идет не "бешеными темпами")
Делать конечно что то надо, но пока, кроме "фантазий", как то не приходит на ум что именно…
#7
13 сентября 2019 в 15:44
Автор не аккуратный и не проверяет код. На заказ ошибок очень много. У меня была лента событий, вся в багах. Автор не смог в своей ленте найти решение как исправить баги.
Alya, Создайте тему или напишите в теме недобросовестные исполнители, со всеми доказательствами, что бы я тоже мог ответить и показать всю историю взаимодействий.
Не знаю кто сейчас с Вами работает, но уверен через несколько месяцев про него будете писать тоже самое, потому что про предыдущего разработчика говорили так же.
По теме: Проблема уязвимости решена благодаря автору темы
Не знаю кто сейчас с Вами работает, но уверен через несколько месяцев про него будете писать тоже самое, потому что про предыдущего разработчика говорили так же.
По теме: Проблема уязвимости решена благодаря автору темы
#9
13 сентября 2019 в 16:20
Fuze, ТС явно не любит пиар и шумиху. Очень сильный и надежный разработчик. Сколько он наисправлял мне разработок из каталога — просто не счесть. Сколько сделал полезных разработок лично мне, которые бы пользовались спросом у сообщества — тоже немало.
Полностью поддерживаю данное предложение!предлагаю ввести роялти (с размещения (фикс допустим ) и продаж (%) в сторону площадки) и всё таки реализовать автоматизацию покупки
"Очень сильный и надежный разработчик." — полностью с вами согласен! То же постоянно обращаюсь к нему за помощью.
Прикрепленный файл
s1200_pkosg.jpg
59 Кб
#10
13 сентября 2019 в 16:30
А можно на версии движка 2.11 посмотреть? А то обновление только на 2.12 идёт.Проблема уязвимости решена
#11
13 сентября 2019 в 16:40
@alekgla, Серьезной зависимости к 1.12 нет, я просто поставил, думал все уже обновили.
Можете открыть в архиве обновления файл manifest.ru.ini и строку 17 заменить на
core=2.11
Можете открыть в архиве обновления файл manifest.ru.ini и строку 17 заменить на
core=2.11
Спасибо большое. Сейчас попробую.Серьезной зависимости к 1.12 нет
Всё отлично — обновил!
Автор не аккуратный
Evanescence, очень аккуратный разработчик. Так у каждого может быть. Нашли и хорошо. Он сразу сделал обновление…