Comments 28
Вы переживаете, что CMS отправляет чувствительные данные наружу, или что она отправляет их в Аризону? Складывается впечатление, что второе — хотя негодования заслуживает (если это действительно злонамеренно и не отражено в договоре) первое.
Тут не столько переживание, сколько обозначение статей, которые нарушаются (N 152-ФЗ Ст. 12. Трансграничная передача персональных данных)
То есть если бы всё это уезжало куда-нибудь на левый хостинг в РФ — галактика не была бы в опасности? Хотя, если подумать, именно у отечественных мошенников, а не зарубежных, куда больше шансов успешно применить массив подобной информации.
Отнюдь. Ваши данные, кстати, с большой долей вероятности у них тоже имеются с учётом популярности движка.
Что «отнюдь»-то? Вы если не согласны с каким-то тезисом — извольте как-то более развёрнуто обозначать позицию и контраргументы. А то мы всё ближе скатываемся к уровню дискуссии «ты не прав, иди нафиг».
За свои данные я не переживаю, даже если они куда-то утекли. Предоставляя их любому сервису, не важно — российскому или зарубежному, я отдаю себе отчёт, что потенциально отдаю их неограниченному кругу лиц.
За свои данные я не переживаю, даже если они куда-то утекли. Предоставляя их любому сервису, не важно — российскому или зарубежному, я отдаю себе отчёт, что потенциально отдаю их неограниченному кругу лиц.
Простите, мне кажется, что, когда речь идёт о том в опасности ли галактика или нет, более развёрнутого ответа не предполагается. Мне лично без разницы национальный состав банды, которая меня грабит, если Вы об этом.
Не знаю как Вы, а лично я свои фио+адрес+мыло+телефон даю совершенно не предполагая, что они могут быть переданы 3-м лицам.
И уж тем более, думаю, этого не предполагают владельцы интернет-магазинов)
Не знаю как Вы, а лично я свои фио+адрес+мыло+телефон даю совершенно не предполагая, что они могут быть переданы 3-м лицам.
И уж тем более, думаю, этого не предполагают владельцы интернет-магазинов)
del
Объяснять надо.
Вы на основе пинга делаете вывод что кто-то тырит информацию. Хотя абсолютно очевидно, что у них там просто стоит платный конвертер и они не особо горят желанием расставлять его копии по всему миру, имею геморрой с хостингами, синхронизацией, балансингом, доступностью этого всего и прочим счастьем.
А пока это выглядит так, будто вы просто хотели демо версию ручками поправить в не очень демо. И ваше возмущение неудачей понятно, но немного не очень в тему…
Вы на основе пинга делаете вывод что кто-то тырит информацию. Хотя абсолютно очевидно, что у них там просто стоит платный конвертер и они не особо горят желанием расставлять его копии по всему миру, имею геморрой с хостингами, синхронизацией, балансингом, доступностью этого всего и прочим счастьем.
А пока это выглядит так, будто вы просто хотели демо версию ручками поправить в не очень демо. И ваше возмущение неудачей понятно, но немного не очень в тему…
На основе пинга? Вы немного в ЯП понимаете? Вверху чёткий разбор участка кода (который, как в демо, так и в платных версиях одинаковый), где воруется информация, и уж совершенно никого не волнует какие мотивы Вы этим ворам приписываете.
Вот человек верно написал, что по адресу находится проприетарное ПО для конвертации в ПДФ и использование его неправомочно только с привязкой к соглашению об использовании движка, где про обработку данных данным сервисом не будет ни слова. Вот если бы Вы привели аргументацию, что в договоре про это ни слова ни в каком виде, то да «галактика в опасносте», потому что прописывая данный код разработчики берут на себя ответственность, а если нет - значит они по-тихому скрывают (видимо ведь не зря скрывают) и Вы нашли нарушение закона и пост - причина требовать справедливости.
В ЯП — не особо, у меня другая терминология. Но понимаю немножко в бизнес логике и прочих странных буквосочетаниях. и я вот, могу представить достаточно много вполне валидных сценариев на эту тему.
Причем, я ж не спорю что там могут быть нюансы с росс законодательством, я не в курсе какие там запросы при запуске/установке/клике по пункту оплатить, и даже не собираюсь прояснять разницу между хранением и обработкой в данном аспекте. Но у вас с красной строки идет: «алярм, троян, все пропало», и подтверждаете вы это в стиле роскомнадзора. Не надо так.
Причем, я ж не спорю что там могут быть нюансы с росс законодательством, я не в курсе какие там запросы при запуске/установке/клике по пункту оплатить, и даже не собираюсь прояснять разницу между хранением и обработкой в данном аспекте. Но у вас с красной строки идет: «алярм, троян, все пропало», и подтверждаете вы это в стиле роскомнадзора. Не надо так.
Популярные «разрабы» с адресом «планета Земля» и телефоном на WhatsApp?
Я не думаю, что мало-мальски серьёзный бизнес будет с ними связываться.
Я не думаю, что мало-мальски серьёзный бизнес будет с ними связываться.
Москва, ул. Беговая, д. 3, корп. 1
8 (800) 500 80 71
7 (495) 150-19-43
help@cs-cart.ru
#simtechru
/cscartru
г. Ульяновск, проезд Сиреневый, 7А
+7 (8422) 525-929
www.cs-cart.ru/contacts.html
8 (800) 500 80 71
7 (495) 150-19-43
help@cs-cart.ru
#simtechru
/cscartru
г. Ульяновск, проезд Сиреневый, 7А
+7 (8422) 525-929
www.cs-cart.ru/contacts.html
Я имел ввиду заграничную версию сайта.
www.cs-cart.ru/clients
по-моему выглядит достаточно серьёзно для немалого количества бизнессов
по-моему выглядит достаточно серьёзно для немалого количества бизнессов
Что из приведённого в списке является "счётом", фигурирующим в заголовке?
ФИО покупателя интернет-магазина
Адрес покупателя
Телефон покупателя
email покупателя
Сумма заказа, заказанные товары и услуги
Почтовые треки
Что из этого вы называете "утечкой счетов"?
Материал интересный, но оформлен в лучших традициях жёлтой прессы.
"Накоплена база". Есть основания полагать, что результат генерации бессрочно хранится?
Утечка счетов - утечка это нечто незапланированное. По факту мы видим абсолютно штатную работу системы. Возможно нарушающую какие-то законы. И то, если об этом не сказано в каком-нибудь их соглашении пользователя.
Какие счета под угрозой - тоже не видно из материала.
У шопифай вообще все магазины на своих серверах. Можете следующую статью назвать "утечка счетов миллионов магаизнов первого по популярности движка екомерс"
Или ещё лучше "троян: разработчики встроили в свой продукт облако"
Простите, но шопифай и цскарт- совершенно разные услуги. Одно дело, когда вы получаете сервис, другое дело, когда вы покупаете продукт. Это всё равно, что сравнивать банк, который в курсе ваших дел и другое дело если, например, АвтоВАЗ будет получать GPS-треки ваших передвижений, или фирма по выпуску презервативов будет получать адреса-телефоны ваших партнёров. Первое- прозрачно и ясно, второе- явно малварь.
Очень уж желтушный заголовок, особенно для такого сообщества как Хабр. “Кто пострадал”, “установила закладку”, “накопленная база” — эти разоблачающие формулировки основаны на чем? Это, конечно, риторический вопрос.
Генерация PDF находится в отдельном сервисе, потому что он требует особого окружения, которое не на каждом сервере поднимешь.
Сервис converter.cart-services.com принадлежит CS-Cart. Исходный код сервиса для конвертации PDF открытый: https://github.com/cscart/pdf
По коду можно увидеть, что сервис занимается только преобразованием данных из HTML в PDF, никакого дополнительного извлечения данных по заказам при генерации нет, после генерации документа мы у себя никаких данных не оставляем — ни исходных, ни преобразованных.
Генерация PDF находится в отдельном сервисе, потому что он требует особого окружения, которое не на каждом сервере поднимешь.
- Одно из немногих решений для генерации PDF, которое просто работает и не требует постоянного допиливания — это утилита wkhtmltopdf
- Ставится он на уровне системы, взаимодействие с ней идет через вызов бинарника через exec
- Соответственно, клиенты на shared хостингах такого себе позволить не могут, а клиенты на выделанных серверах не очень то хотят по соображениям безопасности
- Чтобы инвойсы в PDF работали для всех, а не для избранных, генерация вынесена в сервис, который принимает HTML, а отдает PDF
Сервис converter.cart-services.com принадлежит CS-Cart. Исходный код сервиса для конвертации PDF открытый: https://github.com/cscart/pdf
По коду можно увидеть, что сервис занимается только преобразованием данных из HTML в PDF, никакого дополнительного извлечения данных по заказам при генерации нет, после генерации документа мы у себя никаких данных не оставляем — ни исходных, ни преобразованных.
То, что вы не смогли в pdf не означает, что нужно «особое окружение», тот же mpdf.github.io ставится за 15 минут:
Другие как-то справляются.
А про то, что «после генерации документа мы у себя никаких данных не оставляем [мамой клянусь]» скажу одно: верю! Отчего же не верить. И у меня был белый гусь. Вот как-то запряг я его в телегу, по делам поехал. А в дороге проголодался. Дай, думаю, половину гуся съем, а сам на второй доеду! Посолил гуся, поперчил, маслом ореховым полил… Ох! Выросло на спине гуся ореховое дерево!
public static function render($html, $filename = '', $save = false, $params = array())
{
require_once __DIR__ . '/app/lib/vendor/autoload.php';
$file = fn_create_temp_file();
$mpdf = new \Mpdf\Mpdf();
$mpdf->WriteHTML($html[0]);
$content = $mpdf->Output('', 'S');
file_put_contents($file, $content);
if (!empty($file)) {
return self::output($file, $filename, $save);
}
return false;
}
Другие как-то справляются.
А про то, что «после генерации документа мы у себя никаких данных не оставляем [мамой клянусь]» скажу одно: верю! Отчего же не верить. И у меня был белый гусь. Вот как-то запряг я его в телегу, по делам поехал. А в дороге проголодался. Дай, думаю, половину гуся съем, а сам на второй доеду! Посолил гуся, поперчил, маслом ореховым полил… Ох! Выросло на спине гуся ореховое дерево!
Я просто оставлю это здесь… Скриншот с официального форума в закрытой от случайных глаз теме. Подтвердили, что данные передаются на другой континент, но им пох на это.
По* им на это чуть более, чем полностью
я вебвизором не пользовался уже года три, но когда пользовался, он именно что собирал данные форм. Там был встроенный кейлоггер по сути.
Поэтому аргументация в стиле «если бы… то стоял бы вой на весь мир» не работает.
ЗЫ: yandex.ru/support/metrica/webvisor-v2/settings.html
Поэтому аргументация в стиле «если бы… то стоял бы вой на весь мир» не работает.
ЗЫ: yandex.ru/support/metrica/webvisor-v2/settings.html
Вы им добровольно пользовались? Сами то-есть себе устанавливали? Знаете, бывает, что люди себе устанавливают кейлоггеры или, например, GPS-трекеры для каких-то нужд, а бывает, что одним людям без их ведома другие люди устанавливают кейлоггеры и GPS-трекеры. Не могли бы Вы эти два примера прокомментрровать как Вы их понимаете?
Не буду ничего комментировать. Вы постоянно меняете аргументы.
Я лучше подожду, когда вы напишите, какие конкретно статьи и каких законов были нарушены и дадите оценку соглашению пользователя cs-cart (или как там называется).
Тогда будет хоть какой-то намёк на конструктив, а не эмоции и обвинения в духе «а если бы».
Я лучше подожду, когда вы напишите, какие конкретно статьи и каких законов были нарушены и дадите оценку соглашению пользователя cs-cart (или как там называется).
Тогда будет хоть какой-то намёк на конструктив, а не эмоции и обвинения в духе «а если бы».
Доведение до абсурда (лат. reductio ad absurdum), или апагогия («сведе́ние», др.-греч. Εις άτοπον απαγωγή), — логический приём, которым доказывается несостоятельность какого-нибудь мнения таким образом, что или в нём самом, или же в вытекающих из него следствиях обнаруживается противоречие.
Вы просто ввязались в неравный бой.
Вы просто ввязались в неравный бой.
Sign up to leave a comment.
Троян в CS-Cart. Утечка счетов из 35'000 интернет-магазинов