Высосано из пальца, на почве конкуренции и неприязни
Отвечу почему. Комментировать особо нечего, нету так называемой угрозы.
Итак. Все безопасно. Почему? Рассмотрим этот "гипотетический вопрос".
Начнем с цитаты
Вдумайтесь на секунду...ЛЮБОМУ ЧЕЛОВЕКУ получившему доступ к его серверу. Это ж надо так придумать (чаще проще Форт-Нокс взять, чем сервер взломать).
Зачем ему ("любому человеку") уже тогда заниматься столькими телодвижениями с системой управления лицензиями, когда есть пути легче. Ведь в день он может гипотетически (а кто ему даст еще, это быстро пресекается) словить ~5... всего то 5 магазинов (почему 5 - описано ниже) А может другим путем гораздо больше и проще ...
Это как? Т е для начала сервер надо взломать, опустим детали защиты.
Поехали дальше искать так называемые "уязвимости"
Гипотетически (так же как здесь все это рассматривается гипотетически, а никакой практической угрозы нет, разве что "угроза" доверия, о чем ниже я скажу)
Сервер одной сборки популярного автора, opencart.pro
https://forum.opencart.pro/applications/core/interface/file/attachment.php?id=3838
Что отдается? Архив сборки
Не забываем цитату
Т е ЛЮБОЙ ЧЕЛОВЕК (в дальнейшем сокращенно гипотетический - "я") уже с полным доступом т к взломал сервер "гипотетически"
Если "я" получаю полный доступ над сервером, "я" в этот архив вставляю шелл (думаю что это объяснять не надо никому и уж тем более его публиковать как Йода), как к примеру было сделано когда то со сборкой форума (ссылки кто то приводил выше)
Его (архив с шеллом) качают пользователи, устанавливают (не знаю сколько установок сборки форума opencart.pro, наверно больше чем с opencartadmin) на свой сервер с щеллом, "я" захожу на этот шелл (зная где "я" его замаскировал и каково его имя) и получаю полный доступ к серверу пользователя скачавшего архив сборки opencart.pro. Всё. Профит.
Мне создавать тему и писать чтобы в hosts прописывали все 0.0.0.0 opencart.pro, потому что сборка уязвима после цитаты
Да... и что там прячется под ioncube в сборке - никто не узнает, потому как на аудит можно одно дать, а засунуть у себя на сервере другое и никто не сломает потому как последний куб не ломается (байт коды разглядывать?).
Т е все только на доверии автору. Так это же "уязвимость" как оказалось! Т е давать разработчикам доступы нельзя, это "уязвимость"
Насчет связи с 10000 магазинов, это бред полный.
Невозможно технически сразу всем отдать "скрипт" (т к запрос идет с сервера пользователя), это видно из кода (который ты Yoda знаешь ~5 лет (который я же тебе и показал) и у тебя не было претензий, но вот в последние время на фоне конкуренции ты решил раскачать лодку в которой мы ВСЕ здесь плывем)
А чего ты не начал с кода SEO HTTPS FIX PRO - ты же там типа соавтор (был), но как здесь меня разбили в пух и прах разработчики "какой может быть ... за str_replace". Если ты типа соавтор (с ответственностью замечу) - там почти тот же код проверки лицензии. Т е ты за него тоже отвечаешь. Ладно отошли от темы
Человек который гипотетически "взломал" мой сервер может максимум отдать код только тем кто включит установку или обновление. Ну 5 магазинов в день +-
Всё. ~5-м только, отдаст "любой человек" (как оказалось уже далеко не любой) который взломал, код. Это еще "Форт-Нокс" надо взломать не забываем. Т е 10000 просто пустословие.
Как вы думаете долго ли я не увижу взлом, если каждый день работаю с этими данными и смотрю сколько ставят и по какой лицензии и не нарушают ли её.
Я тут же увижу сбой в работе системы лицензирования.
Т е количество скачавших сборку будет больше, чем количество установок моих модулей
И кто раньше заметит замаскированный шелл в 100500 файлах сборки или проблему и сбои в работе сервера лицензирования
А учитывая что доступы к opencart.pro имеют много людей, то факт угрозы opencart.pro превышает факт угрозы взлома opencartadmin с закрытыми IP
Я промолчу про ioncube, это скользкая тема (затрагивающая многих здесь)
Я сторонник не нарушать лицензию GNU GPL (в отличии от нарушающих лицензию кодированием ioncube), весь код открытый, каждый может увидеть.
Если вам не нравится код, вы можете обсудить этот вопрос со мной (замечу ты не обратился ко мне!) или модераторами площадки (которые попросили заэкранировать, чтобы не было разных инсинуаций, что и было сделано, т е вопрос закрыт так и не начавшись)
Все безопасно, также как безопасность пользователей сборки. Идеальной системы не бывает конечно, от этого никто не застрахован, я это показал на гипотетическом примере opencart.pro
Это больше вопрос доверия к автору, любому из нас
Собственно высосано из пальца по большому счету, если бы еще не одно но...
Вы нарушили правила форума - призыв и руководство по обходу системы защиты лицензий модуля конкурента.
Это не удивительно после ваших призывов к качанию модулей многих уважаемых здесь разработчиков на варезе
И не надо прикрываться - "я не призывал, это в целях обучения"
Читайте лицензию - она есть в описании модуля
Вы не только правила форума нарушили, но как минимум административную ответственность несете, а если доказать, что это на фоне злого умысла по конкуренции и извлечению из этого выгоды - уголовная ответственность
Вывод - целенаправленные атака по дискредитации модулей
Почему - убрать конкурентов.
Видно у .pro версии с его блогом и кешировщиком (только из-за них видно и покупают сборку), дела с продажами неважны и лучше убрать, дискредитировать, продаваемые модули конкурентов. Т е все как обычно банально просто - оказалось замешены деньги...
Больше ответов не будет - не о чем вести дискуссию (и слушать оправдания тоже нет никакого желания) на фоне неприязненности Йоды ко многим здесь на форуме и ко мне в том числе.
Опустим почему, это наше личное дело, я уважаю личное пространство любого человека, даже который так относится к другим
Внимательнее - ответ есть в моем ответе, модераторы попросили заэкранировать чтобы не было инсинуаций, заэкранировано (причем до открытия этой .. "темы") . Это не уязвимость, это вопрос доверия Все безопасно
