[Поддержка] SEO CMS TOP 2: Блог | Новости | Отзывы | Галерея | Формы

[vasilev86]

19 минут назад, markimax сказал:

Конечно уже все исправлено
Понятное дело что даже если потенциальная уязвимость которую можно использовать при каком то стечении обстоятельств и "приливах амазонки" - то надо обновиться на версию. где нету её.
И то что не относится к модулю но администраторы магазина должны знать и четко это делать.
И не забыть про то что ошибки во фронте должны быть выключены.
Не забыть про то что файл лога ошибок надо переименовывать.
Не забыть про то, что сервера создают файлы лога если включено это в настройках сервера (к примеру error_log) и закрыть его в htaccess
 

<FilesMatch "error_log">
 Order deny,allow
 Deny from all
</FilesMatch>

И закрыть  загрузку в стандартном контроллере opencart (не модуля)  \catalog\controller\tool\upload.php
Поставить после public function index() { 
return;
Потому как в стандартном контроллере opencart тоже есть потенциальная уязвимость.

 

Да был ляп "ночного кода", который написан 100500 лет назад (как увидел сам был удивлен. "кто его писал"), понятное дело что не ошибается тот кто ничего не делает и не бывает априори программного обеспечения без уязвимостей, даже те что проверяли специалисты по безопасности 100500 раз
 

  Скрыть контент

Для примера, свежайшее
https://www.rbc.ru/crypto/news/5c8ba6d09a79476d542dc9f2
 

И после еще нашли во многих криптовалютах
Не говоря про то что много уязвимостей находят у google, facebook, и т п

Вот свежайшее
https://www.ixbt.com/news/2019/03/08/srochno-obnovite-chrome-google-prosit-polzovatelej-obnovit-brauzer-izza-najdennoj-ujazvimosti.html
 

Не ошибается тот кто ничего не делает или спит
Самое главное что вы легально владеете лицензией (а не скачали на варезах)  и можете спокойно обновиться

 

Спасибо, я конечно на эмоциях, не ожидал что может быть такое у вас, поправим..

[markimax]

3 минуты назад, vasilev86 сказал:

Спасибо, я конечно на эмоциях, не ожидал что может быть такое у вас, поправим..

Такое бывает у всех, даже у ооочень уважаемых компаний,  кто что то делает, а не спит. Под спойлером читали?

 

[vasilev86]

10 минут назад, markimax сказал:

Такое бывает у всех, даже у ооочень уважаемых компаний,  кто что то делает, а не спит. Под спойлером читали?

 

да, ознакомился, спасибо

[HyperLabTeam]

А какой смысл разработчику спецом делать дыры тогда как у него 100500 покупателей?
Какой смысл убивать свою репутацию и терять по той или иной причине  свой доход?
Пусть даже если сугубо в целях контроля своих дополнений человек делает известные только ему дырки
и тем самым понимая, что ею может воспользоваться посторонний он её закрывает,
даже при том что доступ к ним можно получить только сломав его сервак..
Каждый из вас, нас из тех кто так или иначе привязан к этому и может создать дыру сам того не ведая,
да и не бывает ничего, что нельзя сломать из того, что придумано человеком,
хоть там перепрошито насквозь крипто в мать его за ногу степени шифрованием.
Ну нахуа это всё на всю вселенную горланить?
И так понятно да и у многих и не только тут да даже у тех же антивирусняков в описаниях нацарапано,
обновляйте приложения дополнения т.к. в них решения многих чего и всего и того.
Помню аддиста - тот на своём стоял, пока нафиг его нахер к шеям сабачим со всех ресурсов не послали и это за то,
что тот только хотел обезопасить свои дополнения от вареза своим изощрённым способом думая, что он умнее всех и потерял больше чем приобрёл.
Какого спрашивается мне тебе, тому, этому, пятому, десятому, двадцатому, любому, каждому разрабу,
если он не педрила или далбень дыры спецом херачить???
Нашли дыру - кайф, лечим и идем дальше, сраться то зачем?
или нужно за каждый чих того как я лечу свои модули - каждое утро перед завтраком отчитываться?
Перед кем? и нахуа мне это?!
Как только блог Марка появился я его юзаю и куды только не вставлял его да и не только я да кто угодно,
и я ни разу не заметил, чтоб этими дырами кто то воспользовался со злым или добрым умыслом,
А кто нибудь ещё заметил?? Кого отжарили через эти дыры?? Есть тут такие??
И даже если оно там присутствует, нахуа кому то нужно бадаться с этим, что бы найти что то там?
А раз нашли так давайте всему миру расскажем об этом. но зачем? кокой приход в этом?
Да блин весь варез со смеху давиться со всего этого..

Про библиотеки что за зашквар вообще?
С какого хера я не могу пользовать сторонние библиотеки?
Почему ни где на форуме, да фигли форум, где об этом сказано у автора опенкарта??

Дозакручиваетесь..

 

[markimax]

8 минут назад, Yoda сказал:

И самое главное. Автор аппелирует к мнению "каких то анонимных экспертов".  Ну что же, я не против экспертов. 

 

Не анонимных, а тебя. Напомнить наш спичь (когда были в хороших отношениях до твоего ножа в спину) в скайпе по поводу создания  "квалити департамент". И когда я попросил проверить мои модули на безопасность, чтобы не было претензий к нам... ты "проверил".  Каков был ответ- "все норм".
Да и насчет так называемой дыры. о которой я писал что это доверие к разработчику. Так вот она (дыра по твоему мнению) присутствует в ocStore 3.0.2 (я не буду пугать пользователей видео, на котором можно получить в управление все магазины на сборке opencart.cms 3 (ака ocStore 3.0.2)
Так что следите сами за собой для начала. Я понимаю - тот кто ничего не делает - не ошибается. Вы тоже ошиблись
Мне надо было рвать тельняшку и кричать на каждом углу "шеф фсё пропало"?
При том я знал о ней когда ты хайп подымал о SEO CMS TOP 2, которую ты  тогда "проверил" и ничего не нашел, это была халатность или "специально" сделано. И ты использовал в своих проектах модуль и даже хвастался ими. Это ты так "проверил". А вот когда упали продажи твоих продуктов, из-за конкуренции модулей, я получил нож в спину ("учитесь" коллеги) , "вдруг" они "объявились".
Всё мне не о чем даже разговаривать с теми кто так низко ведет конкурентную борьбу. Я промолчу про планомерные собрания через телеграмм  и атаки "последователей".  В нормальном цивилизованном обществе не подсылают ботов лицемерно обхаять. А пишут в ЛС - нашел баг, такой то, такой то, там то там то - рекомендую закрыть. Было такое - нет. Я тебе пытался цивилизованно показать (по твоему же мнению) дыру ocStore 3.0.2- ты проигнорировал. Причем не стал я "воду баламутить" на форуме, а известил администрацию. Они пообещали закрыть. Ты же действуешь как шантажист.
И опять какой то пафосный шантаж в стиле " гони бабки - иначе твою тему выложу на варез" (ты знаешь о чем я, не о себе).
Это уже переходит все границы. Реальный ляп (у всех бывает, и как оказалось у вашей команды тоже. Кстати до сих пор не закрыта)  который вы нашли, это потенциальная уязвимость в ajax_file.
Исправлено в 52 версии
Уведомление - рассылка от администрации ушла всем кто купил модуль
И в описании модуля таб Обновления стоит уведомление о потенциальной уязвимости которая закрыта

 

[HyperLabTeam]

Только что, Yoda сказал:

 

Так а где Марк противиться тому что если есть что то то лечить типа не надо? лечит же, обновляет, мне пришло письмо от форума.
Да и я прекрасно понимаю, что в тебе обострённое чувство справедливости,
я и сам такой возможно даже хуже и очень даже переживаю за всех с кем имел какие либо дела я хронически дурной в этом плане.
Я же совсем о другом. есть раздел разрабов, почему не там? Зачем тут, на всеуслышание.
Одно дело когда куча пользователей как у аддиста и сеошмео изрыгают ненависть к ним то да, там уже некуда,
хоч не хоч у всех на слуху. ибо такие как аддист и сеошмео - глухие и тугие осло-бараны - овце**ов на них не хватает.
А тут чего?
Я ваше ни разу не против ни одного из разрабов пусть он даже 96 с половиной раз мне дорогу перешёл, если его дополнение шикарно я его юзаю.
и мне пофиг как он его написал, потому как каждый из вас тут суперкодер и друг друга код вы называете Г* кодом.
А я этого нифига не вижу я ниразу ни кодер и ни верстала, но реальное Г* могу различить.
Как я появился на этом форуме тут друг в друга какашки летают, и переодически кожанные катапульты какашек бегают то в одну сторону то в другую.
Идите в раздел разрабов, тут пользователи нихера вас не понимают да им это и не надо
им главное, чтоб всё за то, что они заплатили работало и не пороло мозги.
Есть дыры, лоханки, сквозняки - да в чем проблема, лечите да и всё.
Ша создам там тему..

[tomm2001]

7 часов назад, markimax сказал:

Ты опоздал, всем рассылка пришла обновить модуль от администрации

От администрации чего ? Этого форума ? Я купил на сайте дополнения. Мне никакого уведомления не пришло. Это что, дискриминация по месту покупки или специально не уведомляются люди, купившие на официальном сайте ?

[Blondi]

1 час назад, tomm2001 сказал:

От администрации чего ? Этого форума ? Я купил на сайте дополнения. Мне никакого уведомления не пришло. Это что, дискриминация по месту покупки или специально не уведомляются люди, купившие на официальном сайте ?

Кстати, мне тоже ничего не пришло, как и огромному количеству магазинов, на которые я ставила данный модуль

[spectre]

в спам попало 

[Blondi]

45 минут назад, spectre сказал:

в спам попало 

нет. Потому как я покупала не тут, а на сайте разработчика. И если бы я не следила за форумом, то вообще не знала бы, что есть какая-то проблема

[Uper]

20 минут назад, Blondi сказал:

нет. Потому как я покупала не тут, а на сайте разработчика. И если бы я не следила за форумом, то вообще не знала бы, что есть какая-то проблема

И в чем же проблема ? Что какой то из ваших сайтов или какой то сайт из "огромного количества" где вы ставили взломали ?  

[Blondi]

31 минуту назад, Uper сказал:

И в чем же проблема ? Что какой то из ваших сайтов или какой то сайт из "огромного количества" где вы ставили взломали ?  

т.е  потенциальная возможность взлома это так, пустой звук? Не хочу вдаваться подробности, но да, были случаи попыток взлома. К счастью, безуспешные. 

[markimax]

2 минуты назад, Blondi сказал:

т.е  потенциальная возможность взлома это так, пустой звук? Не хочу вдаваться подробности, но да, были случаи попыток взлома. К счастью, безуспешные. 

Нет не пустой, потенциальная угроза, я писал выше, но если системный администратор магазина правильно настроил магазин (т е отключен вывод ошибок во фронте, переименован файл лога (как это рекомендуют на форуме уже давно) и т п) - то вероятность крайне мала.

[anboza]

3 часа назад, Blondi сказал:

потенциальная возможность взлома

чтобы ее не иметь, нужно не иметь сайта. Вопрос в значении вероятности. Как показывает практика, настройка хотя бы по "базовой инструкции" безопасности, решает большинство вопросов. А те, кто действительно способен, или занимаются более важными делами, либо не видят экономической целесообразности в этом.

Прямо всем-таки нужна клиентская база сайта "китайские кроссовки со скидкой 999% "...

[Blondi]

44 минуты назад, anboza сказал:

Прямо всем-таки нужна клиентская база сайта "китайские кроссовки со скидкой 999% "..

вот только не китайские кроссовки... и да, оказывается, что нужна )) 

[anboza]

3 минуты назад, Blondi сказал:

вот только не китайские кроссовки... и да, оказывается, что нужна )) 

ну это пример, вы же понимаете.

Повторюсь, очень рекомендую, инструкцию по базовой  настройке ОС. Очень помогает. А еще, не поскупиться и приобрести за целых $10/ год, белый IP и закрыть доступы везде, через аутентификацию. 

Как там в поговорке, нечего на зеркало пинять

[HyperLabTeam]

@tomm2001 @Blondi мне пришло

 

[pavazar]

19 часов назад, markimax сказал:

И закрыть  загрузку в стандартном контроллере opencart (не модуля)  \catalog\controller\tool\upload.php
Поставить после public function index() { 
return;

Подскажите как правильно сделать, весь код после public function index() {  стереть и дописать return; или просто дописать оставив весь код который ниже, извиняюсь за нубство

[PaulKravchenko]

@pavazar вы должны понимать, что после этого покупатели не смогут загружать файлы на сервер если таковая функция была включена в опциях, например.

 

 

[Nameless]

как корректно выпилить блог, после удаления валит ошибки в отзывах?

 

[PaulKravchenko]

ой, можно подумать, что все раздраженные здесь отсутствием уведомления регулярно получают тонны сообщений о закрытии уязвимостей от гугла, фейсбука, мелкософта, платежных систем, разработчиков ПО на рабочем тазике, на котором все доступы ко всем "мильёнам магазинов", а главное от хостера о закрытии уязвимостей в серверном ПО, где хостятся все эти магазины рядом с джумлопрессами и прочими уязвимыми цмс с кучей уязвимых молулей/дополнений; и они наперебой буквально сыпят уведомлениями, аж поработать некогда, да?

не модуль дырявый, дырявые подвижки дискредитации автора, на которые слетаются... нет, не пчёлы, ибо эти подвижки вовсе не мёд

 

оставьте в покое тему поддержки, дайте нормально решать вопросы настройки и использования

[poetiq]

Здравствуйте.

 

Поиском искал не нашлось.

Подскажите, пожалуйста, как заставить Модальное (Виджет форма) окно запускаться при клике на ссылку к примеру такого формата: Запуск модульного окна

[PiratRu]

Господа...

Заметил, что оставив отзыв, в заголовке таба не отображается кол-во отзывов! Может кто сталкивался с таким? Носом ткните где смотреть или куда копать.

Вот пример.

 

Так же периодически бывает, что таб Отзывы пропадает! Отключается в настройках магазина, приходится идти в настройки магазина и там опять включать Отзывы. Такое бывало у вас?

Может я что не так настроил в схемах или что?

Змінено 6 квітня 2019 користувачем PiratRu

[PiratRu]

И опять же, заметил, что в статьях блога есть коментарии!

В админке это увидел, но на сайте их не видно.

 

Может что не довключил? Пойду смотреть.

[neopl]

подскажите плиз  по обновлению, не могу обновить модуль до последней версии, получаю ошибку 

Спойлер

Fatal error: Cannot redeclare Response::seocms_setRegistry() in /home/mifonby/xiaomipro.by/system/storage/modification/system/library/response.php on line 26

 

Змінено 7 квітня 2019 користувачем neopl