Jump to content
Sign in to follow this  
ArtemPitov

Критическая уязвимость в дополнениях!

Recommended Posts

52 минуты назад, ravilr сказал:

ладно. у всех память разная. Она тоже обманывает.

Итог. 166 тут на опенкартфоруме. ~20 на лайвопенкарте, ~30-40 на опенкарт россия, ~100 на опенкарт.ком, 100 наверно прямых продаж.

Итого ~500 с потенциальной угрозой. Почему администрация устроила тут шуточки с насмешками, всякими проверками на сторонних ресурсах, а не приняла меры по оповещению пользователей?

Если уж написали новость официальную, то и меры должны быть официальные, а не посылание в блог где через каждое слово хуйнаны бла бла бла...

Как рассылать о черной пятнице, так пожалуйста, а как реально помочь людям, то нате выкусите, обрывки фраз. Нет бы написать как другие!  (мне вот вчера еще письмо пришло кстати)

Найдена уязвимость в модулях от разработчика Addist Ну не тайна уже. Везде информация об этом открыта висит!

Блин, вроде делали перезагрузку команды, форума, а цирка все больше! ((

Я конечно могу ошибаться в своей позиции, но все же.. так не делается. Делаем общее дело, развиваем опенкарт, боремся с варезом итд, а на деле.. хз что выходит.

Уважаемый, цирк это вы и вся ваша опенкартрашша, я чуть позже понятно объясню почему.

Не стоит со своим самоваром в Тулу ездить, поверьте.

Как минимум, администрация раши идиоты. Потому что оставили у себя в  продаже модули аддиста. Типа ж они особенные, и то что его погнали отовсюду для них не аргумент.

 

Share this post


Link to post
Share on other sites
53 минуты назад, Yoda сказал:

Уважаемый, цирк это вы и вся ваша опенкартрашша, я чуть позже понятно объясню почему.

Не стоит со своим самоваром в Тулу ездить, поверьте.

Как минимум, администрация раши идиоты. Потому что оставили у себя в  продаже модули аддиста. Типа ж они особенные, и то что его погнали отовсюду для них не аргумент.

Мои самовары на месте. По вашему и лайвопенкарт идиоты. А нет, вы же не можете про них так сказать, друганы ведь? Ведь все это ради них тут ? Я не прав?

Лайвопенкату просто вовремя подали информацию, а раши нет. А написали сказок огого...

Модули у них больше не продаются, если вы не вкурсе. Никому такие заморочки и репутации не нужны! Так что не нужно тут ляля...

Share this post


Link to post
Share on other sites
12 минут назад, ravilr сказал:

Ведь все это ради них тут ?

Вот поясните мне свою точку зрения, я одного не могу понял, для чего это ?!

1) Пост был создан для предупреждения что нашлась дыра в дополнении, и при этом никто не сказал какая и просто предупредили что бы все проверили, а у кого нашлись помогли залатать (денег никто не брал, все на добровольных засадах)

2) Причем тут ЛайвОпенкарт к безопасности пользователей ? 

 

15 минут назад, ravilr сказал:

Модули у них больше не продаются, если вы не вкурсе

Ну вот, после "кипиша" больше не продаются, и почему тогда тут все плохие ?

Share this post


Link to post
Share on other sites
Только что, ArtemPitov сказал:

Вот поясните мне свою точку зрения, я одного не могу понял, для чего это ?!

Когда один упорно хает безосновательно других, приписывает всякие ярлыки (не важно кто это пользователь или сообщество) то значит все это делается в угоду кому то или чего то.

Моя позиция такова. Вас втянули в интригу. Основная цель прослеживается изначально, т.е на найденной уязвимости получить себе какие то плюшки (реклама, клиенты итд), затем обвинить других, в угоду чему то.

Что и делается товарищем @Yodaв каждом сообщении в каждом удобном случаи. Это же все на поверхности, неужели не видно?

  • +1 3

Share this post


Link to post
Share on other sites
2 часа назад, ravilr сказал:

 

я тож свидетель жи есть,

в своё время даже заступался за него.. кто помнит соврать не даст.
на опенкарт.ком кто закубаненные модули пускает?
модуль снят с продаж с данного форума год назад - какая кому рассылка?
тем кто год назад купил? кто дырявил тот и пусть рассылает ему денег платили за дырку
а что там у кого там сняли не сняли как то...

Ваше тема о том как не стоит делать, и уж тем более не бегать на варезники в модулях которых не только дырка но и три метра против ветра полные сфинктера

Чё за хипишь?))

Share this post


Link to post
Share on other sites
10 минут назад, ArtemPitov сказал:

2) Причем тут ЛайвОпенкарт к безопасности пользователей ? 

лайфопенкарт как и все продавали модули addist, теперь писать в каждом сообщении лайфопенкарт-помойка-говно ?  Нет, @Yoda проплатили и он действует. Чему удивляться то?

Было получено задание, написать плохого про опенкарт россия и он его выполняет. Для чего? Они не конкуренты им. А вот лайфопенкарт, на который у них весь трафик, как раз конкурент. Делаем выводы господа! Вот так сообщество помогает..

  • +1 1

Share this post


Link to post
Share on other sites

Короче говоря, мне надоел спорит. 

Предупредили - предупредили, а дальше сами как говорится

Всем хорошего настроения, Вы держитесь там !

 

ЗЫ\\ Кругом один заговор =) 

  • +1 1

Share this post


Link to post
Share on other sites
Только что, ravilr сказал:

лайфопенкарт как и все продавали модули addist, теперь писать в каждом сообщении лайфопенкарт-помойка-говно ?  Нет, @Yoda проплатили и он действует. Чему удивляться то?

Было получено задание, написать плохого про опенкарт россия и он его выполняет. Для чего? Они не конкуренты им. А вот лайфопенкарт, на который у них весь трафик, как раз конкурент. Делаем выводы господа! Вот так сообщество помогает..

Он ж написал

1 час назад, Yoda сказал:

Уважаемый, цирк это вы и вся ваша опенкартрашша, я чуть позже понятно объясню почему.

Не стоит со своим самоваром в Тулу ездить, поверьте.

Как минимум, администрация раши идиоты. Потому что оставили у себя в  продаже модули аддиста. Типа ж они особенные, и то что его погнали отовсюду для них не аргумент.

 

ждем..)
p/s/
вообще ко всему стоит философски подходить
тролей тролить
добрым .. в общем как зеркало)
этж тырнет тыжпрограммист)

Share this post


Link to post
Share on other sites
1 минуту назад, AWARO сказал:

Он ж написал

и что? Напишет он очередную охинею, понятно же, про что он хочет написать. Разве все забыли как он писал статейки про опенкартфорум говно, динокс тоже итд.

Так же видимо теперь хочет написать про опенкарт-россия , в угоду себе и лайфопенкарту.

 

Share this post


Link to post
Share on other sites
Только что, ravilr сказал:

и что? Напишет он очередную охинею, понятно же, про что он хочет написать. Разве все забыли как он писал статейки про опенкартфорум говно, динокс тоже итд.

Так же видимо теперь хочет написать про опенкарт-россия , в угоду себе и лайфопенкарту.

 

Вам бы граждане объедениться
а то какаято леблядь раком и сука получается..........

чем бесплатный осStore и платный про не хватают?
нафиг силы распылять то?

Если уж когото по головке не гладили и он с линял то Yoda хотя бы своего добивается
пилит жалит, гадит, да он сам и говорит он такой уж извиняйте, не нравится не читаем и т.д. и т.п.

Давайте нах объеденяйтесь пролетарии
скок можно распылять в пустую

вы бы вместе и Даниель к вам прислушивался глядя на это огромное сообщество...
а так то под то адаптируй то под это... шо за тут отожмись там растянись...

Share this post


Link to post
Share on other sites
1 минуту назад, AWARO сказал:

Давайте нах объеденяйтесь пролетарии

А как тут объединятся, если люди в угоду себе все делают?

Есть 3 сборки, 3 сообщества, самодостаточны в принципе. Но нет же, нужно всякие гадости писать и вешать всех собак.

Нормальные люди например, пишу типа "У вас варез" , как я сделал как то лайфопенкарту.

А другие, видят что то, сидят молча и ждут момента потирая руки.

Share this post


Link to post
Share on other sites
2 часа назад, ravilr сказал:

Итог. 166 тут на опенкартфоруме. ~20 на лайвопенкарте, ~30-40 на опенкарт россия, ~100 на опенкарт.ком, 100 наверно прямых продаж.

Итого ~500 с потенциальной угрозой. Почему администрация устроила тут шуточки с насмешками, всякими проверками на сторонних ресурсах, а не приняла меры по оповещению пользователей?

Если уж написали новость официальную, то и меры должны быть официальные, а не посылание в блог где через каждое слово хуйнаны бла бла бла...

автору более года назад писали  - типа, с загрузчиком явные проблемы

автор отнекивался - нет, мол сами вареза накачали, я не виноват (только версии загрузчика регулярно менялись - может по причине развития, а может все же не так уж не виноват)

 

касательно администрации opencartforum - официальные меры были приняты еще год назад, причем она сейчас?

если почитать первоисточник репоста - там есть и ссылка на ресурс с проверкой на уязвимость, и информация что сам автор извещен, как и ряд ресурсов по продаже модулей

логично предположить, что оповещать своих покупателей и закрывать уязвимость в первую очередь должен сам автор

 

имя в блоге специально не называли, давая автору шанс/время на такое оповещение и устранение уязвимости

ну и чтобы защитить скомпрометированные сайты от наплыва пионеров-хакеров

 

зато возникают вопросы:

найденная уязвимость - это именно уязвимость, или же автор специально дыру хранил?

"меня самого взломали!" - так нафига делать загрузчик, если его и собственную безопасность не в состоянии обеспечить?

Share this post


Link to post
Share on other sites
3 минуты назад, AlexDW сказал:

касательно администрации opencartforum - официальные меры были приняты еще год назад, причем она сейчас?

Потому что как минимум, если у тебя купили > 100 плохих модулей и ты узнал про уязвимость, то нужно молчать? А те кто уже не читает форум, сами виноваты? Хороший поход...

 

6 минут назад, AlexDW сказал:

зато возникают вопросы:

найденная уязвимость - это именно уязвимость, или же автор специально дыру хранил?

"меня самого взломали!" - так нафига делать загрузчик, если его и собственную безопасность не в состоянии обеспечить?

тоже задавался этим вопросом. Правды тут нет. Говорят злого умысла небыло оставлять дыру, но видимо из за недостатка знаний в безопасности и не слушая других.... получилось то что получилось.

Share this post


Link to post
Share on other sites
11 минут назад, ravilr сказал:

Потому что как минимум, если у тебя купили > 100 плохих модулей и ты узнал про уязвимость, то нужно молчать? А те кто уже не читает форум, сами виноваты? Хороший поход...

если бы молчали - тема бы и не появилась

Share this post


Link to post
Share on other sites
13 минут назад, ravilr сказал:

Говорят злого умысла небыло оставлять дыру, но видимо из за недостатка знаний в безопасности и не слушая других

Ой да ладно, оставлять дырень и злого умысла не было, не смешите 

Share this post


Link to post
Share on other sites
22 минуты назад, ravilr сказал:

Говорят злого умысла небыло оставлять дыру, но видимо из за недостатка знаний в безопасности и не слушая других.... получилось то что получилось.

фига себе!

этак можно дойти до вывода что автор не так уж и умен, как заявлял

еще поди внезапно окажется что все остальные - не такие и г@внокодеры?!

Share this post


Link to post
Share on other sites

Имхо, но тему нужно закрывать, толку от нее нету, один срачь. Администрация я думаю все услышала, будет думать над модерацией, пользователи все услышали, что необходимо ознакомиться с описанием модуля/отзывами/темой поддержки. 

Edited by n3bo
  • +1 1

Share this post


Link to post
Share on other sites
1 час назад, n3bo сказал:

Имхо, но тему нужно закрывать, толку от нее нету, один срачь. Администрация я думаю все услышала, будет думать под модерацией, пользователи все услышали, что необходимо ознакомиться с описание модуля/отзывами/темой поддержки. 

+ это точно

Share this post


Link to post
Share on other sites

Почему молчит? Я пользуюсь модулем этого автора и в субботу мне пришло письмо со всеми рекомендациями и инструкциями, как избежать взлома. К слову хочу сказать, модуль отрабатывает на все 100 процентов, заражений за все время использования, а это полтора года не было. Может, конечно я что-то не так делаю?)))

Edited by DobryjJejeh

Share this post


Link to post
Share on other sites
4 часа назад, DobryjJejeh сказал:

Почему молчит? Я пользуюсь модулем этого автора и в субботу мне пришло письмо со всеми рекомендациями и инструкциями, как избежать взлома. К слову хочу сказать, модуль отрабатывает на все 100 процентов, заражений за все время использования, а это полтора года не было. Может, конечно я что-то не так делаю?)))

возможные варианты:

- вам повезло и злоумышленники еще не воспользовались дырой на вашем сайте

- вас уже поимели, просто вы об этом не знаете

 

само наличие уязвимости не означает что ваш сайт уже гарантированно взломан

но резко повышает наступление такого события если дыру не закрыть

Share this post


Link to post
Share on other sites
В 20.01.2017 в 10:50, markimax сказал:

Б.. вот буду скоро матом ругаться

Вы понимаете что кубирование это нарушение ЗАКОНА.
Перевожу: тот кто кубирует - ничем не отличается от второй стороны, варезников

Те плачутся, денег нет - воруем, нарушаем закон сознательно

Другие плачутся, денег нет - кубируем, нарушаем закон сознательно

Разницу видите ?

Пока на форуме сама администрация позволяет выкладывать кубированные модули, абсолютно ни чего не изменится.

Вот если бы это было запрещено, тогда другое дело, а то получается так- на красный ездить нельзя, но если ты гаишник, то можно.

Share this post


Link to post
Share on other sites
11 часов назад, alesco сказал:

Пока на форуме сама администрация позволяет выкладывать кубированные модули, абсолютно ни чего не изменится.

пока будут халявщики и любители вареза - будут и кодированные модули (неважно чем - кубом или штатными средствами php)

 

а равнять варезников и авторов, кодирующих из-за них свои модули, под одну гребенку - бред

это как приравнивать собственника квартиры к вору на том основании, что он свою квартиру на ключ запирает

  • +1 3

Share this post


Link to post
Share on other sites
2 минуты назад, AlexDW сказал:

пока будут халявщики и любители вареза - будут и кодированные модули (неважно чем - кубом или штатными средствами php)

 

а равнять варезников и авторов, кодирующих из-за них свои модули, под одну гребенку - бред

это как приравнивать собственника квартиры к вору на том основании, что он свою квартиру на ключ запирает

Не корректное сравнение совершенно!
Скорее не "на ключ запирает", а минирует все подходы запрещенными законом средствами
Я писал не раз - можно спокойно защищаться без ioncube

Но "вам" (не вам лично) же лень! Просто лень
Конечно легче "заминировать" все вокруг и пофиг на "соседей" с их "неудобствами"

  • +1 2

Share this post


Link to post
Share on other sites
7 часов назад, markimax сказал:

Скорее не "на ключ запирает", а минирует все подходы запрещенными законом средствами

толковый автор вряд ли будет кодировать ВСЕ файлы проекта

наоборот - накроет только минимум, оставив возможность пользователям что-то подправить в шаблоне/контроллере под себя, по мере надобности

 

бестолковый же - завернет все подряд, лишая возможности изменить любую мелочь

(по недалекости ли, или же ожидая челобитной, в надежде стрясти еще денег за каждый чих - это уже отдельный вопрос)

 

так что наверно проблема не в минах, а в минерах? ;)

  • +1 3

Share this post


Link to post
Share on other sites
57 минут назад, AlexDW сказал:

так что наверно проблема не в минах...

Проблемы вообще нет никакой - никуда они не денутся, будут покупать с кубом.И не важно, много или мало закублено.

Они и не поймут, где там тот куб? А где его нет? Я вот не понимаю, где там тот куб? Можно даже не писать, что он есть - я и знать не буду - буду думать, что его нет!

Так что куб, не проблема...

Пока не проблема.

До поры до времени. Пока есть спрос. До воображаемой "красной линии".

А потом все перейдут на престашоп, где модули продаются прямо из админки и не надо париться с их проверкой/совместимостью.

И вы замахаетесь доказывать, что опенкарт лучше... и закублено там "всего чуть-чуть"... и ни кому оно не мешает...

Будет поздно. После того, как будет сформировано общественное мнение, будет поздно что-то доказывать.

Edited by florapraktik

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.