Как стать автором
Обновить

Комментарии 31

Спасибо, исправил. К сожалению такое имеет место быть, т.к. еще alpha версия, но система периодически переустанавливается по крону.
Извините меня. Это я сломал вашу админку переключив в настройках параметр сессия=apc.
Я, однако, не понимаю, зачем это делать в админке, ведь это относиться к серверным настройкам. Я бы своим клиентам не стал бы давать админку с такими настройками, ведь большинство из них дураки. Они даже не знают где поменять тайтл для главной страницы. А уж переключение драйверов хранения сессии точно должно быть в системном конфиге который редактируется только программистом.
Данные настройки планируется защищать через ACL модуль и давать права на их изменение только администраторам или еще каким либо ролям, ну а так да, я согласен, возможно стоит убрать. Именно этим и хороша обратная связь. Спасибо.
Администратор=программист? Мне кажется к этим настройкам никто не должен иметь доступа, кроме программиста.
И ещё, они не должны быть в админке только потому что можно всё сломать, а восстановить обратно уже не получится. Как сейчас и произошло.
Спасибо. Модуль API также в будущем будет использовать API ключи которые будут генерироваться в админ панели и будут требоваться в том случае если пользователь не авторизован или для доступа сторонним ресурсам.
Спасибо за счетчик, я совсем про него забыл. Добавил код также на внутренние страницы админ панели
отличной архитектурой, которую можно было бы доработать под свои нужды,

Ларавел хорош, удобно пользоваться, всё ок пока не придет нужда залезть в их исходники чтобы понять как расширить/переопределить что-то под свои нужды. Да и повсеместные __call() и, как следствие, невозможность «серфить» по коду в IDE не добавляют ощущения отличной архитектуры. Порой хочется грустно посмотреть в глаза таким архитекторам. Правда не так часто нужно лазить под капот.
...Hello Kodi XSS?
спасибо тому, кто порадовал с утра 8)
Не благодари :)

Виджеты > Меню > Редактирование виджета > Header menu
В «Название» пишем Header menu]-->тут_script
Проверил, другие поля XSS не пропускают.
«Теория разбитых окон» в действии, коммент теряет свой opacity )
Если сливаете, то разъясните по какой причине. Разработчики дали публичный доступ, решил протестировать.
Инициатива наказуема (
Ну собственно я не против твоего баловства, но это можно показать на внутренней странице и показать в чем проблема. На данный момент ты не единственный, кто может тестировать или хочет посмотреть систему, а если ее кто-то ломает, то для других появляется проблема доступа и всякие неудобства. Сломать всегда проще, чем сделать, но при этом всегда необходимо помнить о других. Мне вообще интересна проблема, которую ты показал, т.к. это явная недоработка, но хотелось бы видеть обратную связь немного по другому.
довольно глупо выкладывать в паблик со словами "вот, посмотрите, какой я молодец" и надеяться, что все будут только смотреть, не трогать и хвалить "какой ты молодец". Особенно с таким абмициозно-детским посылом:
При написании своей CMS мне хотелось собрать из них все самое лучшее и соединить в одну.
Моя ошибка, я не уточнил, что на данный момент alpha версия, и в данный момент активно ведется перенос модулей со старой версии. По ссылке можно посмотреть результат переноса на данный момент времени, но это не окончательный вариант. Об этом также говорит лейбл alpha в логотипе админ панели.

P.s. я с большим уважением отношусь к баг репортам и по возможности стараюсь проблемы исправлять в кратчайшие сроки.
Имея доступ в админку любой может сломать сайт. Например, удалив все разделы. Даже взламывать ничего не надо. Какой в этом смысл?
Речь идет не о поломке сайта, а о безопасности ваших пользователей. Приведу небольшой пример.
У тебя есть доступ в административную часть с ограниченными правами, например корректировать и публиковать статьи на сайте. Злоумышленник получает доступ к твоей учетной записи, внедряет xss, ловит сессию администратора сайта и получает полный доступ в админпанель. Остается залить шелл и выгрузить дамп БД.
А зачем вы даёте доступ к админке злоумышленникам?

Не возможно защититься от всех. Приведу другой пример: работник ДатаЦентра вынимает hdd из вашего сервера, вставляет в свой комп и выгружает БД. Просто не давайте доступ к админке злоумышленникам.
А можно, я попробую пояснить, что имел ввиду тов. Invision70?
Так вот, он пытается донести мысль, что обычно CMS пользуются не только админы. Зачастую доступ даётся всяким контент-менеджерам, которые по уровню компьютерной грамотности и элементарных навыков сетевой безопасности находятся где-то в пределах погрешности от абсолютного ноля. Они используют простые пароли, они оставляют залогиненные сессии в паблик местах, они не лочат комп на рабочем месте и тд. и тп.
Так вот речь о том, что получив доступ к аккаунту такого нерадивого товарища можно через xss получить доступ и к админскому аккаунту.
А почему phalcon не рассматривали? :)
Возможно потому что CMS должна вставать на 99,9% хостингов, включая shared, простым переписыванием файлов. Phalcon прекрасен, но не для таких «коробок».
Не знаю как Laravel 5, но 4 версия, по моему, вставала на shared хостинги с большим трудом и не желанием. Как сейчас с этим обстоит?
Без понятия. Но как минимум Laravel использует не столь специфические расширения PHP, как Phalcon, который им собственно и является. Поэтому уверен что Phalcon стоит на кол-ве хостингов стремящемся к 0, а то что нужно для того же Laravel можно найти много где.
Я в PHP не очень разбираюсь, просто интересно: зачем вообще сейчас нужны shared хостинги, когда есть, например, Digital Ocean за $5 в месяц.
Так не всякий сможет справится с администрированием, хотя конечно есть vds с панелями, но там тоже проблемы могут нарисоваться.
Собственно мы так и делаем и спокойно используем Phalcon и получаем все преимущества от этого. Но как правильно заметил предыдущий отвечающий, администрировать не все умеют.

Как минимум человек, который использует CMS, скорее всего не готов ставить дополнительные расширения PHP и т.п. Для таких CMS коробок инструкция сложнее чем «возьмите эти файлы и перепишите сюда», думаю равносильна забвению.
Лучше сделайте разовые демки для страждущих. Для каждого генерируйте на подомене отдельная установка (копируйте копию системы, да накатываете базу с префиксом например) и там пусть молодые таланты изливают свои мысли уровня «Здесь был Вася Пупкин все идите на три буквы!!!!!!!....».
Пройдет 1-3 года. Появятся другие фреймворки… Ларавел забудут. И что? Опять переходить на новый? Вот чем чистый ПХП лучше.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.