![](https://opencartforum.com/storage/themes/set_resources_1/84c1e40ea0e759e3f1505eb1788ddf3c_pattern.png)
![](https://opencartforum.com/storage/themes/set_resources_1/84c1e40ea0e759e3f1505eb1788ddf3c_default_photo.png)
vasiliy78
-
Публікації
20 -
З нами
-
Відвідування
Тип публікації
Профілі
Форум
Маркетплейс
Статті
FAQ
Наші новини
Магазин
Блоги
module__dplus_manager
Повідомлення, опубліковані користувачем vasiliy78
-
-
Только что, abramsDesign сказал:
Ваш вариант - костыль
я согласен с этим 100% о чем написал сразу. Если красиво то надо симплу править.
-
6 минут назад, legioner26 сказал:
Мне в случае чего, всегда пишут,и я иду всегда на контакт и правлю. Модуль постоянно обновляется. И скоро выйдет обновление по перрделки фронтовой части. Будет редактирование цветов и текста в админ панели. Вы начали очень агресивно, и это было похоже на заказную технику.
Вы же технарь, читать надо техническую часть. Без эмоций.
Вы смотрите со стороны разраба, а я со стороны человека который поддерживает личный боевой сайт, и любые фэйлы на сайте напрямую отражаются на моем кармане)
Вы вариант с интеграцией под симплу посмотрите, про который выше писал, я у себя запилил, интересней выглядит чем отдельная кнопка.
-
11 часов назад, vasiliy78 сказал:
Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!
В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы.
Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге. На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет. $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);
Для того чтоб авторизоваться на любой номер, отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...
Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.
Ув. legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.
еще из багов попробуйте выйти и снова войти, со страницы logout. не получиться.
В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.
UPD : Автор решил вопрос, проблема безопасности устранена.
-
3 минуты назад, legioner26 сказал:
Так ведь идет проверка номера то что в сессии и то что пришло.
if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel'])
да увидел, добавили.
-
7 минут назад, legioner26 сказал:
Наконец то появился конструктив
В исходниках которые скачиваются с сайта
эта функция выглядит следующим образом
public function ok_code($s) { $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4); $this->session->data['code_sms'] = $code; return $code; }
ну и добавив запись телефона в сессию возможность подмены номера вы не убрали так как в модель для авторизации контроллер отправляет следующее
$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))
номер для авторизации надо брать из сессии..
-
Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю вернуть уплаченные за него д/с и закрыть тему.
-
Только что, legioner26 сказал:
Ну Вы же не программист. )))
Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.
Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое.
Вам есть что скрывать?
Это тема поддержки дополнения, соответственно если в дополнении есть проблема я об этом написал в существующую тему, там где купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..)
Но в место решения проблем, вы начинаете начинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.
-
21 минуту назад, legioner26 сказал:
Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.
ну да. кнопка. это не претензия. я про что можно обойтись без неё, вопрос юзабилити
-
9 минут назад, legioner26 сказал:
С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.
Еслибы это было не так, то Вы бы написали просто мне в ЛС.
Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"
Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.
Соответственно пытаюсь решить вопрос.
-
11 минут назад, legioner26 сказал:
Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).
Всё просто.
Я не зарабатываю деньги как программист, и не работаю программистом но свои офлайновые проекты я всегда поддерживал сам, поэтому скила достаточно.
Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить.
А тут такие сюрпризы.
-
ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.
Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить
if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) { $('#simplecheckout_button_confirm')).click(function (e) { e.stopImmediatePropagation(); ... }); }
и в момент нажатия
тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.
может конечно тоже костыль, но запилил вроде работает...
-
7 часов назад, legioner26 сказал:
Уважаемый. Проверка идет по маске, формирование кода для отправки тоже. Тут вариантов ошибиться нету. Также проблем с выйти и зайти тоже нету. Если мой модуль составляет Вам конкуренцию какую то, то я Вас прощаю.
Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"
-
6 часов назад, AWARO сказал:
Вот с этого надо было начинать, бабло можно заработать на шахте
По моему вполне логично что покупая что то, я хочу чтоб это работало. Я не готов быть бетта тестером.
почему купив ту же симплу, вопросов к автору не возникло. поставил и забыл.
-
7 часов назад, AWARO сказал:
я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно поставьте да проверьте.
могу на гит залить, для изучения проблеммы
-
5 часов назад, abramsDesign сказал:
Посмеялся от души
Смеяться будете когда разруливать проблемы со своими клиентами будете.
-
Я не конкурент. Я обычный коммерс.
ВЫ legioner26 должны быть первым кто заинтересован в безопасности вашего модуля.
Если можно авторизоваться на любой неподвержденный номер то это говорит о существенных проблемах в модуле.
первый пост
data: $('#smspanel2 input[name=\'phone\']'),
на сервере производится отправка смс без сохранения номера
второй пост
data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),
на сервере обработка второго поста
if ($this->session->data['code_sms'] == $this->request->post["code"]) { $this->load->model('account/activity'); if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {
Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.
-
1
-
-
Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!
В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы.
Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге. На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет. $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);
Для того чтоб авторизоваться на любой номер, отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...
Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.
Ув. legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.
еще из багов попробуйте выйти и снова войти, со страницы logout. не получиться.
В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.
-
На сервере установлен
6 часов назад, deeman сказал:Вопрос записал, но изменения под пожелания каждого пользователя не вношу, задача просто встаёт в очередь и если будет полезна всем, то только тогда вношу изменения
На сервере установлен часовой пояс msk.
~# date
Sun 22 Nov 2020 07:10:11 PM MSKphp так же возвращает время сервера.
модуль simple работает в gmt.
в принципе достаточно один раз принять это и потом вопросов не возникает. потому нужна ли такая переделка. у юзеров/разрабов могут быть разные локали а gmt один....
-
В шаблоне указанна "Поддержка PHP 7+" при завелся он только на 7.0 пляски с перебором версий php-fpm на сервере.
Модуль Быстрая СМС регистрация/авторизация SMS-PRO [Поддержка]
в Письма, почта, рассылки, sms
Опубліковано:
на тестовом домене, на локальной машине. На продакте через недельку думаю обновлю. Если интересно напишите ЛС пришлю куски кода, поэксперементируете сами. Может интересней вариант получиться.