vasiliy78

1 минуту назад, legioner26 сказал:

Скиньте ссылочку.

на тестовом домене, на локальной машине.  На продакте через недельку думаю обновлю.  Если интересно напишите ЛС пришлю куски кода, поэксперементируете сами. Может интересней вариант получиться.

Только что, abramsDesign сказал:

 

Ваш вариант - костыль

я согласен с этим 100% о чем написал сразу. Если красиво то надо симплу править.

6 минут назад, legioner26 сказал:

Мне в случае чего, всегда пишут,и я иду всегда на контакт и правлю. Модуль постоянно обновляется. И скоро выйдет обновление по перрделки фронтовой части. Будет редактирование цветов и текста в админ панели. Вы начали очень агресивно, и это было похоже на заказную технику.

Вы же технарь, читать надо техническую часть. Без эмоций. 

Вы смотрите со стороны разраба, а я со стороны человека который поддерживает личный боевой сайт, и любые фэйлы на сайте напрямую отражаются на моем кармане)

Вы вариант с интеграцией под симплу посмотрите, про который выше писал,  я у себя запилил, интересней выглядит чем отдельная кнопка.

11 часов назад, vasiliy78 сказал:

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

 

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

 

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

 

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

 

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

 

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

 

 

UPD : Автор решил вопрос, проблема безопасности устранена.

3 минуты назад, legioner26 сказал:

Так ведь идет проверка номера то что в сессии и то что пришло.

 if (!empty($this->request->post['phone']) && $this->request->post['phone'] == $this->session->data['sms_tel']) 

да увидел, добавили.

7 минут назад, legioner26 сказал:

Наконец то появился конструктив

В исходниках которые скачиваются  с сайта 

эта функция выглядит следующим образом

public function ok_code($s)
{
    $code = substr(hexdec(substr(md5($s . rand(100, 900)), 0, 6)),0, 4);

    $this->session->data['code_sms'] = $code;
    return $code;
}

 ну и добавив  запись телефона в сессию возможность подмены  номера вы не убрали так как в модель для авторизации контроллер отправляет следующее

$this->model_extension_module_sms_reg->loginTel($this->request->post['phone']))

номер для авторизации надо брать из сессии..

Конкретно по моей покупке, я не планирую использовать ваш модуль в том формате в котором он есть, в него однозначно необходимо вносить правки. Поэтому предлагаю  вернуть уплаченные за него д/с и закрыть тему.

Только что, legioner26 сказал:

Ну Вы же не программист. )))

Просто если что то и находят пользователи или программисты, то они пишут мне в ЛС, и я решаю проблемы. А Вы пишите в паблик, так делают только на заказ.

Я всегда иду на контакт со своими клиентами. Если бы я не шел на контакт, дело другое. 

Вам есть что скрывать?

Это тема поддержки дополнения, соответственно если в дополнении есть проблема я об этом написал в существующую тему, там где купил модуль ( думаю что если бы это была заказуха то на всех профильных форумах возня была бы..)

Но в место решения проблем, вы начинаете начинаете писать что это заказуха. Даже если заказуха, в вашем модуле есть проблема с авторизацией и её надо устранить.

21 минуту назад, legioner26 сказал:

Причем тут это? Кнопка выходит на стороне симплы и все. Я сделал вывод кнопки.

ну да. кнопка. это не претензия. я про что можно обойтись без неё, вопрос юзабилити

9 минут назад, legioner26 сказал:

С самого начала существования модуля, я старался прислушивать к клиентам и делал в модуле все их пожелания. В вашем же случае, в 1 же посте пытаетесь обосрать модуль. Так делают только на заказ, пытаюца найти хоть что то до чего можно докапаться.

Еслибы это было не так, то Вы бы написали просто мне в ЛС. 

Вы ведете себя как типичный обидчивый програмист, которому сказали что код "гуано"

Я не докапываюсь, я заплатил деньги и после установки получил дырку в сайте.

Соответственно пытаюсь решить вопрос.

11 минут назад, legioner26 сказал:

Мне вот интересно. Вы не программист. А пытаетесь писать как программист, вы же себя выдаете ))).

Всё просто.

Я не зарабатываю деньги как программист, и не работаю программистом  но свои офлайновые проекты я всегда поддерживал сам,  поэтому скила достаточно.

Конкретно по авторизации было откровенно лень писать самому поэтому предпочел купить. 

А тут такие сюрпризы.

legioner26,

ну а в целом, если уйти от основной темы обсуждения, по модулю действительно есть куда работать, тот  же модификатор для симплы, добавляющий кнопку... ну некрасиво/неудобно.

Что мешает, чтоб не лезть в код симплы, повесить дополнительный обработчик на кнопку продолжить/оформить

if ($('a').is('#simplecheckout_button_confirm') && $('input').is('#customer_telephone')) {    
    $('#simplecheckout_button_confirm')).click(function (e) {
      e.stopImmediatePropagation(); 
         ...
    });
}

и в момент нажатия  

тормозить всплывание, обрабатывать подтверждение смс и возвращать управление симпле.

может конечно тоже костыль, но запилил вроде работает...  

7 часов назад, legioner26 сказал:

Уважаемый. Проверка идет по маске, формирование кода для отправки тоже. Тут вариантов ошибиться нету. Также проблем с выйти и зайти тоже нету. Если мой модуль составляет Вам конкуренцию какую то, то я Вас прощаю. 

Очень жаль что вы не вникая в проблему, клонируете своим покупателям отписки в стиле "сам дурак"

6 часов назад, AWARO сказал:

 @vasiliy78

Вот с этого надо было начинать, бабло можно заработать на шахте

 

  Показать контент

дыра в безопасности - бонусы в опасности

 

По моему вполне логично что покупая что то, я хочу чтоб это работало. Я не готов быть бетта тестером.

почему купив ту же симплу, вопросов к автору не возникло. поставил и забыл.

7 часов назад, AWARO сказал:

 @vasiliy78
А пруфы где? че за голословное

 

 

  Показать контент

дыра в безопасности - бонусы в опасности

 

я описал последовательность, чуть выше выложил куски кода, для того чтоб понять проблему. Если вам интересно поставьте да проверьте.

могу на гит залить, для изучения проблеммы

5 часов назад, abramsDesign сказал:

Посмеялся от души

Смеяться будете когда разруливать проблемы со своими клиентами будете.

Я не конкурент. Я обычный коммерс. 

ВЫ  legioner26  должны быть первым кто заинтересован в безопасности вашего модуля.

Если можно авторизоваться на любой неподвержденный  номер то это говорит о существенных проблемах в модуле.

первый пост

data: $('#smspanel2 input[name=\'phone\']'),

на сервере производится отправка смс без сохранения номера

второй пост

data: $('#smspanel2 input[name=\'phone\'], .registrsms input[name=\'code\']'),

на сервере обработка второго поста

if ($this->session->data['code_sms'] == $this->request->post["code"]) {
    $this->load->model('account/activity');
    if (!$this->model_extension_module_sms_reg->loginTel($this->request->post['phone'])) {

 Таким образом отправив произвольный номер телефона в о втором запросе, можно получить доступ к любому существующему аккаунту или наплодить неподтвежденных.

Купил модуль установил. Потестил. К УСТАНОВКЕ ЭТО НЕДОПУСТИМО!

В модуле дыра в безопасности позволяющая авторизоваться на любой номер телефона который есть в базе. Сделать заказ, потратить бонусные баллы. 

Проблема заключается в том что отправляется смс на номер который берется из phone, на него отправляется смс. При вводе кода, на сервер постом улетает код и повторно номер телефона который берется из инпута введенного на первом шаге.  На сервере клиент авторизовывается по номеру телефона который пришел во втором посте. проверки нет.    $this->model_extension_module_sms_reg->loginTel($this->request->post['phone']);

Для того чтоб авторизоваться на любой номер,  отправляем смс на свой, вводим полученный код, скрываем modal-sms2 , появляется поле телефон с первого шага, вводим номер на который хотим авторизоваться, возвращаем видимость modal-sms2, жмем отправить. чудо...

Для решения данной проблемы необходимо на первом шаге писать номер который пришел в сессию, а на втором авторизовывать из сессии.

Ув.  legioner26 , ну и в целом код просмотрел, хот я и не програмист, но слабо. модуль писан на коленке.

еще из багов попробуйте выйти и снова войти, со страницы   logout. не получиться.

В связи с тем что в текущем варианте использовать модуль не является возможным, предлагаю оплатить мой труд в развитии вашего модуля и вернуть потраченные на него денежные средства.

На сервере установлен

6 часов назад, deeman сказал:

Вопрос записал, но изменения под пожелания каждого пользователя не вношу, задача просто встаёт в очередь и если будет полезна всем, то только тогда вношу изменения

На сервере установлен часовой пояс msk.

~# date
Sun 22 Nov 2020 07:10:11 PM MSK

php так же возвращает время сервера.

модуль simple работает в gmt.

в принципе достаточно один раз принять это и потом вопросов не возникает. потому нужна ли такая переделка. у юзеров/разрабов могут быть разные локали а gmt один....

В шаблоне указанна "Поддержка PHP 7+"  при завелся он только на 7.0  пляски с перебором версий php-fpm на сервере.