vasiliy78
-
Публікації
20 -
З нами
-
Відвідування
Тип публікації
Профілі
Форум
Маркетплейс
Статті
FAQ
Наші новини
Магазин
Блоги
module__dplus_manager
Усі публікації користувача vasiliy78
-
на тестовом домене, на локальной машине. На продакте через недельку думаю обновлю. Если интересно напишите ЛС пришлю куски кода, поэксперементируете сами. Может интересней вариант получиться.
-
я согласен с этим 100% о чем написал сразу. Если красиво то надо симплу править.
-
Вы же технарь, читать надо техническую часть. Без эмоций. Вы смотрите со стороны разраба, а я со стороны человека который поддерживает личный боевой сайт, и любые фэйлы на сайте напрямую отражаются на моем кармане) Вы вариант с интеграцией под симплу посмотрите, про который выше писал, я у себя запилил, интересней выглядит чем отдельная кнопка.
-
UPD : Автор решил вопрос, проблема безопасности устранена.
-
if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) да увидел, добавили.
-
Наконец то появился конструктив В исходниках которые скачиваются с сайта эта функция выглядит следующим образом public function ok_code($s) { $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4); $this->session->data['code_sms'] = $code; return $code; } ну и добавив запись телефона в сессию возможность подмены номера вы не убрали так как в модель для авторизации контроллер отправляет следующее $this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) номер для авторизации надо брать из сессии..
-
Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю вернуть уплаченные за него д/с и закрыть тему.
-
Вам есть что скрывать? Это тема поддержки дополнения, соответственно если в дополнении есть проблема я об этом написал в существующую тему, там где купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..) Но в место решения проблем, вы начинаете начинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.
-
ну да. кнопка. это не претензия. я про что можно обойтись без неё, вопрос юзабилити
-
Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано" Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте. Соответственно пытаюсь решить вопрос.
-
Всё просто. Я не зарабатываю деньги как программист, и не работаю программистом но свои офлайновые проекты я всегда поддерживал сам, поэтому скила достаточно. Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить. А тут такие сюрпризы.
-
legioner26, ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно. Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) { $('#simplecheckout_button_confirm')).click(function (e) { e.stopImmediatePropagation(); ... }); } и в момент нажатия тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле. может конечно тоже костыль, но запилил вроде работает...
-
Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"
-
По моему вполне логично что покупая что то, я хочу чтоб это работало. Я не готов быть бетта тестером. почему купив ту же симплу, вопросов к автору не возникло. поставил и забыл.
-
я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно поставьте да проверьте. могу на гит залить, для изучения проблеммы
-
Смеяться будете когда разруливать проблемы со своими клиентами будете.
-
Я не конкурент. Я обычный коммерс. ВЫ legioner26 должны быть первым кто заинтересован в безопасности вашего модуля. Если можно авторизоваться на любой неподвержденный номер то это говорит о существенных проблемах в модуле. первый пост data: $('#smspanel2 input[name=\'phone\']'), на сервере производится отправка смс без сохранения номера второй пост data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'), на сервере обработка второго поста if ($this->session->data['code_sms'] == $this->request->post["code"]) { $this->load->model('account/activity'); if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) { Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.
-
Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО! В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге. На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет. $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']); Для того чтоб авторизоваться на любой номер, отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо... Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии. Ув. legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке. еще из багов попробуйте выйти и снова войти, со страницы logout. не получиться. В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.
-
На сервере установлен На сервере установлен часовой пояс msk. ~# date Sun 22 Nov 2020 07:10:11 PM MSK php так же возвращает время сервера. модуль simple работает в gmt. в принципе достаточно один раз принять это и потом вопросов не возникает. потому нужна ли такая переделка. у юзеров/разрабов могут быть разные локали а gmt один....
-
В шаблоне указанна "Поддержка PHP 7+" при завелся он только на 7.0 пляски с перебором версий php-fpm на сервере.
