art&pr [Підтримка] Оплата на карту Сбербанк для OC2

[Shureg]

Цитата

ну понятно что я и ожидал, никакой конкретики

Не совсем понимаю, какую еще конкретику вы хотите? Примеры инъекций, которые не сработают, потому что запрещен eval? 

Ваш метод защиты создает проблемы покупателям, препятствует защите сайта. И, при этом , по большому счету, никакого бонуса к защите модуля не добавляет. Долго ли строку декодировать.

PS: А зачем вы мне какие-то отмазки  всякие под цифрами написали? 

На сайте не должно быть eval. Совсем. Нигде.

Это  не мое личное мнение, это общепринятое правило. Примерно как "мойте руки перед едой". 

[ashap]

Только что, Shureg сказал:

Не совсем понимаю, какую еще конкретику вы хотите? Примеры инъекций, которые не сработают, потому что запрещен eval? 

Ваш метод защиты создает проблемы покупателям, препятствует защите сайта. И, при этом , по большому счету, никакого бонуса к защите модуля не добавляет. Долго ли строку декодировать.

PS: А зачем вы мне какие-то отмазки  всякие под цифрами написали? 

На сайте не должно быть eval. Совсем. Нигде.

Это  не мое личное мнение, это общепринятое правило. Примерно как "мойте руки перед едой". 

не создает он проблемы никакой, и я повторяю тот кто готов отключить eval есть файл в кубе

я не вижу у вас не одного написанного дополнения что бы рассуждать и кого то учить и вести статистику, данная защита достаточна для продаж и никому она не мешает

ну так делайте, декодируйте
сделайте инъекцию в данном случае, а потом чешите языком

 

или вы только шелы умеете заливать? а сделать что то самому наверно знаний не хватает

 

[Shureg]

Я так понял, поскольку никаких разумных доводов у вас не нашлось, вы решили перейти на личности.

"А сам-то!", "Сначала петь научись, потом критикуй!" и т.д. - прямо таки стандартный неджентльменский набор.

 

 Для тех, кто на паровозе:

Используя в своем модуле eval, вы вынуждаете покупателя критически понизить защиту своего сайта, разрешив его. 

 

Мои личные способности, возможности, моральные принципы и т.п. к данному факту никакого отношения не имеют, и безопасность сайта, использующего ваш модуль, не увеличивают.

 

 

[ashap]

Только что, Shureg сказал:

Я так понял, поскольку никаких разумных доводов у вас не нашлось, вы решили перейти на личности.

"А сам-то!", "Сначала петь научись, потом критикуй!" и т.д. - прямо таки стандартный неджентльменский набор.

 

 Для тех, кто на паровозе:

Используя в своем модуле eval, вы вынуждаете покупателя критически понизить защиту своего сайта, разрешив его. 

 

Мои личные способности, возможности, моральные принципы и т.п. к данному факту никакого отношения не имеют, и безопасность сайта, использующего ваш модуль, не увеличивают.

 

 

вы читаете между строк видимо и недопонимаете как работает eval и в чем его опасность

если вы выключили eval на сервере я вам без проблем дам файл в ионкубе!

а если вы его не выключили то мой модуль критически понизить или повысить защиту сайта не сможет!

запретить или разрешить eval можно только на сервере но никак не в модуле!

[Shureg]

Нет, это вы не понимает. На пальцах:

 

Вариант А) У меня, например ваш модуль не заработает вообще. Поскольку запрещено.

Мне придется разрешить eval, тем самым значительно снизив защиту от инъекций.

 

Вариант Б) У вероятного вашего покупателя шаред хостинг. На таких eval часто или запрещают, или отслеживают и уведомляют клиента. После покупки модуля он, соответственно, сталкивается с ограничением, пишет своему хостеру, что все нормально. Хостер пожимает плечами и отключает блокировку/мониторинг для данного клиента. Результат тот же  - защита сайта критически понижена.

[ashap]

10 минут назад, Shureg сказал:

Нет, это вы не понимает. На пальцах:

 

Вариант А) У меня, например ваш модуль не заработает вообще. Поскольку запрещено.

Мне придется разрешить eval, тем самым значительно снизив защиту от инъекций.

 

Вариант Б) У вероятного вашего покупателя шаред хостинг. На таких eval часто или запрещают, или отслеживают и уведомляют клиента. После покупки модуля он, соответственно, сталкивается с ограничением, пишет своему хостеру, что все нормально. Хостер пожимает плечами и отключает блокировку/мониторинг для данного клиента. Результат тот же  - защита сайта критически понижена.

вы видимо немного как вы выражаетесь "не понимает"

 

Вариант А) не заработает это громко сказано, не заработает только проверка ключа, т.е настройки вы не сохраните

1 час назад, ashap сказал:

те кому eval мешает я без проблем дам файл без него под ионкубом, вопрос в том что разницы нет, только с этим вы админку мою доработаете если надо а вот с

 

47 минут назад, ashap сказал:

не создает он проблемы никакой, и я повторяю тот кто готов отключить eval есть файл в кубе

 

24 минуты назад, ashap сказал:

 

если вы выключили eval на сервере я вам без проблем дам файл в ионкубе!

 

Вариант Б) описан в документации к модулю, добавляется только файл и это делают хостеры а не выключают защиту - никто также не отменяет вариант А

 

еще есть вопросы?

надеюсь что нет, а то придется еще раз вас умыть

[Shureg]

Ну что вы, вы меня уже так умыли, что чище некуда  

Я смотрю, у модуля не только код, но и автор - человек вежливый, воспитанный. По стилю общения сразу чувствуется.

Осталось еще умыть, например мануал по php

http://php.net/manual/ru/function.eval.php

или хабр

https://habrahabr.ru/post/221937/

 

 

[ashap]

31 минуту назад, Shureg сказал:

Ну что вы, вы меня уже так умыли, что чище некуда  

Я смотрю, у модуля не только код, но и автор - человек вежливый, воспитанный. По стилю общения сразу чувствуется.

Осталось еще умыть, например мануал по php

http://php.net/manual/ru/function.eval.php

или хабр

https://habrahabr.ru/post/221937/

 

 

 

Мануал ПХП

Цитата

Если вы полностью убеждены
может быть очень опасно - ключевое слово может быть

 

ну так воспроизведите, воспроизведите произвольный код в настройках моего модуля, не думаю что у вас что то выйдет

я согласен не комильфо

но ион куб я не хочу использовать

можно и без eval в новых модулях использую новый подход(связано только с сообщениями о жалобе сканеров у хостеров, но никак что считаю этот метод который я использую не безопасным)

 

это не код работы модуля и не код фронта!

 

Хабр ставить в ряды Учебника не вижу смысла, есть полно совершенно не объективных статей, так как туда может писать любой

да, нет идеального евал, в данном случае основная защита строится на доступе к админ панели и на правах на редактирования модуля а также валидации, без этих прав к админ панели произвольный код не выполнит даже автор топика на хабре, ну и почитайте комменты в полне есть библиотеки с безопасным евалом, а то что пишет автор топика не говорит что то что что написано на хабре подходит для всех случаев, это только примеры

 

цитата из коментов на хабре

 

Цитата

 

Как реализовать REPL без eval?

 

• mayorovp 28.07.16 в 14:56

REPL как правило доверенный — а потому проблема безопасного eval в этом случае не стоит

 

 

в данном случае редактирование настроек модуля является доверенным местом

 

 

поломать сервер можно имея доступ к разделу бэкап, к разделу настроек лога и тд и без eval

[aaasss]

Что то мне не понятен ответ автора . Яндекс с которым работаем по директу и маркету отключил наш магазин с вашем модулем ссылаясь Вебмастером на обнаруженные вирусы ,просканировав сайт на сервере обнаружили вирусы в данных выше файлах ,что делать ?

[ashap]

1 час назад, aaasss сказал:

Что то мне не понятен ответ автора . Яндекс с которым работаем по директу и маркету отключил наш магазин с вашем модулем ссылаясь Вебмастером на обнаруженные вирусы ,просканировав сайт на сервере обнаружили вирусы в данных выше файлах ,что делать ?

никаких вирусов в данных файлах вебмастер найти не может(их нет изначально) так как он не может читать ваши файлы на сервере и ссылаться он на них не может так как они из-вне недоступны и даже запустить их из-вне нельзя и даже если он сможет получить доступ к панели то тоже этого не увидит так как на фронте админ панели этого нет - это только на сервере (может у вас есть в доказательство скрин где вебмастер указывает на данные файлы? не думаю) Вы хоть полностью удалите модуль вместе со всеми потрахами, картину будите наблюдать такуюже

а отключил он вас из - за других вирусов которые у вас есть на фронте или еще какието причины

 

а что делать что бы серверный сканер(внимание не вебмастер, он их не видит, а тот сканер которым вы после проверяли файлы вручную на сервере) не реагировал написано в faq документации, банально добавить или попросить хостера добавить в исключения проверки, если вас это напрягает

[aaasss]

Добрый день , как внести свои изменения в этот текст:

 

Заказ #409 успешно сформирован!

Вы выбрали способ оплаты на карту Сбербанк России
После получения нами оплаты, наш менеджер свяжется с Вами.

[ashap]

44 минуты назад, aaasss сказал:

Добрый день , как внести свои изменения в этот текст:

 

Заказ #409 успешно сформирован!

Вы выбрали способ оплаты на карту Сбербанк России
После получения нами оплаты, наш менеджер свяжется с Вами.

 

весь текст в языковых файлах модуля

 

[nik123]

@ashap  Приветствую!

 

указывать в инструкции номер карты не безопасно, можно ли поменять поле "номер карты" на текст вроде такого, над ним можно подумать, перевод на карту сбербанка по номеру телефона, карта определится автоматически 

[ashap]

49 минут назад, nik123 сказал:

@ashap  Приветствую!

 

указывать в инструкции номер карты не безопасно, можно ли поменять поле "номер карты" на текст вроде такого, над ним можно подумать, перевод на карту сбербанка по номеру телефона, карта определится автоматически 

Здравствуйте

В модуле можно использовать свой текст , вы можете сделать и по номеру телефона если вам так больше подходит

[nik123]

что в итоге с модулем? ) почти 2 страницы спора, вирус не вирус

покупать можно?

Змінено 16 січня 2018 користувачем nik123

[ashap]

11 часов назад, nik123 сказал:

что в итоге с модулем? ) почти 2 страницы спора, вирус не вирус

покупать можно?

Вирусов нет и не было никогда

Это ложное срабатывание простейших сканеров на хостинге

[nik123]

10 часов назад, ashap сказал:

Вирусов нет и не было никогда

Это ложное срабатывание простейших сканеров

 

так то потребитель разбираться не будет, если выдает какую то угрозу клиент просто закроет сайт и все.

вы писали что свой модуль можете как то подругому упаковать чтобы никаких угроз гипотетически даже не вылазили

[ashap]

3 минуты назад, nik123 сказал:

 

так то потребитель разбираться не будет, если выдает какую то угрозу клиент просто закроет сайт и все.

вы писали что свой модуль можете как то подругому упаковать чтобы никаких угроз гипотетически даже не вылазили

перекручиваете все

потребитель этого ничего не увидет

уведет только продавец сообщение от сканера на хостинге которое можно игнорировать или добавить в исключения файл

перепаковать могу если будет такое сообщение будет и будет вам жить мешать

[ashap]

алгоритмы сменил

файлы модуля обновил

ложных срабатываний хостера больше быть не должно

[nik123]

19 минут назад, ashap сказал:

перекручиваете все

потребитель этого ничего не увидет

уведет только продавец сообщение от сканера на хостинге которое можно игнорировать или добавить в исключения файл

перепаковать могу если будет такое сообщение будет и будет вам жить мешать

тогда ок!

будем брать

[ashap]

31 минуту назад, nik123 сказал:

тогда ок!

будем брать

алгоритмы уже изменены

файлы модуля обновлены

ложных срабатываний хостера больше быть не должно

 

[nik123]

11 часов назад, ashap сказал:

алгоритмы уже изменены

файлы модуля обновлены

ложных срабатываний хостера больше быть не должно

 

Подскажите, а можно сделать чтобы с помощью вашего модуля можно было принимать карты разных банков? как то размножить или два раза установить ?

[ashap]

Только что, nik123 сказал:

Подскажите, а можно сделать чтобы с помощью вашего модуля можно было принимать карты разных банков? как то размножить или два раза установить ?

нет

[nik123]

6 минут назад, ashap сказал:

нет

получится ли решить этот момент таким способом, вместо номера карты укзаать номер телефона который привязан к картам и в скобках указать на карты каких банков можно перевести, вот только иметь бы дополнитеьное поле "карта какого банка" рядом с полем последнии 4 цифры карты

[ashap]

1 минуту назад, nik123 сказал:

получится ли решить этот момент таким способом, вместо номера карты укзаать номер телефона который привязан к картам и в скобках указать на карты каких банков можно перевести, вот только иметь бы дополнитеьное поле "карта какого банка" рядом с полем последнии 4 цифры карты

текст можно менять

дополнительного поля рядом с 4 цифрами нет