Speed Motion +4


Speed Motion

  • Speed Motion Speed Motion 31 мая 2019 16:50 #

    Зачем так над собой издеваться, есть автоматизированное и оптимальное решения, которое увеличит продажи - это раз и во вторых отлично соберет статистику продаж.

    https://www.webasyst.ru/store/plugin/shop/googlemc/

    Плагин GoogleMC

    в ответ на Google Merchants

  • Speed Motion Speed Motion 4 апреля 2019 10:00 #

    Спасибо, больше Михаил, за подсказки. 

    Окс, поразбираюсь.

    в ответ на Не работает проверка форм в сплывающем окне регистрации пользователя в последней версии Webasyst

  • Speed Motion Speed Motion 5 марта 2019 18:59 #

    Вот пример сайта, где проблема специально не отключена - fvsportest.ru там в правом углу регистрация.(просто авторизация работает)

    Тема гибрид Default 2.0 и custom, на разных страницах по разному.

    Если нужно будет дам доступы в личку - это все равно не рабочий сайт и закрыт от индексации.

    в ответ на Не работает проверка форм в сплывающем окне регистрации пользователя в последней версии Webasyst

  • Speed Motion Speed Motion 5 марта 2019 15:05 #

    Ясно, спасибо большое за развернутый ответ.

    в ответ на Обратиться через SMARTY к группе пользователей созданной в CRM

  • Speed Motion Speed Motion 5 марта 2019 13:56 #

    Очень надеюсь что тема не пройдет в бездну без ответа.)))

     Я так понял суда по тому насколько долго нет ответа, то под эту задачу только разработка своего плагина под CRM? Я так понимаю, что там нет встроенных статических методов, чтобы обратиться к группе пользователей и проверить пользователя через фронтенд на его причастность к этой группе?

     Скажите пожалуйста хотя бы какие классы и методы в CRM отвечают за формирование данных групп пользователей, те что в столбике контакты?

    в ответ на Обратиться через SMARTY к группе пользователей созданной в CRM

  • Speed Motion Speed Motion 1 марта 2019 08:24 #

    P.S. Задача проста в смарти условным оператором IF проверить обычного пользователя на, то состоит ли он в той или иной группе CRM. Мне показалось, что через смарти возможно как-то обратиться к группе через фронтенд запрос.

    в ответ на Обратиться через SMARTY к группе пользователей созданной в CRM

  • Speed Motion Speed Motion 28 февраля 2019 12:08 #

    Нужно определенных пользователей сайта, кто сделал покупки или планирует объединить в VIP группы, для которых будет доступна специальна подготовленная страница, определенное содержание контента на этой странице должны видеть только участники созданной группы.

     Просто менеджеры сайта очень активно используют CRM арсенал в своей работе, поэтому и подумал, что через группы CRM им было бы удобнее создавать такие списки пользователей, для одних предположим одно предложение, для других другое - другой листинг, потому что там очень удобно создавать такие списки и хотелось бы их как-то использовать на фронтенде. Какой-то смарти код, который бы для фронтенда проверил принадлежность пользователя к группе в CRM - и если это так, то вывел заранее подготовленный контент, там может, что угодно от товаров до обычной какой-то страницы - ее наполнение уже не проблема.

    в ответ на Обратиться через SMARTY к группе пользователей созданной в CRM

  • Speed Motion Speed Motion 26 февраля 2019 14:58 #

    Красиво стелите. 

    Давайте преземлимся на землю, как профессионалы и решим ее глобально для масс, а не только для себя индивидуально, чтобы не привлекать полчища горе хакеров в сторону CMS Вебасист, кто знает что они еще найдут, когда их будут полчища. 

    То есть специально,  оставляем админку https://site.ru/webasyst/ и т.п. все возможные самые тупые конфигурации, которые как не странно используют 99% магазинов - это уж я знаю, мне не раз присылали доступы, чтобы что-то починить там или там.

    в ответ на вход в личный кабинет

  • Speed Motion Speed Motion 26 февраля 2019 14:44 #

    Это конечно все замечательно работает:

    {if $wa->user()->isAuth()}
    тут содержимое для зарегистрированных
    {else}
    здесь обычные посетители, которые не залогинены
    {/if}

    Вопрос вот в чем, не получается найти через какой статический метод через SMARTY я могу обратиться предположим к группе пользователей созданной в CRM? Ну предположим "VipUserTest" в подсказках CRM такого к сожалению нет, то тоже странно. Тоесть что прописать вместо "$wa->user()->isAuth()", чтобы начало работать правило для группы пользователей VipUserTest?

    в ответ на Поддержка. Изменение группы контакта.

  • Speed Motion Speed Motion 26 февраля 2019 12:59 #

    Сервисы наподобие https://anti-captcha.com/mainp...

    без проблем Вам взломают любые капчи, если это действительно того стоит, а эти сервисы без особых сложностей подключаются к автоматезированным системам эмуляции человеческих действий на Веб страницах, наподобие таких программных комплексов как ЗенноПостер, ВебХьюмон эмулятор и т.п.. Короче, когда над, капча не защита - это именно тот случай.

    в ответ на Админы, обратите внимание, как я только что написал инструкцию по взлому новой системы входа в 9999 вариаций пароля в админскую часть

  • Speed Motion Speed Motion 26 февраля 2019 11:08 #

    Не просто так Гугл делает двух этапнуюаунтификацию! Даже через мобильный телефон, а не какаое-то там мыло. Если бы она была одноэтапной, то смысла и в мобильной не было бы.

    1) Эту систему нельзя делать отдельно от пароля! Не учтена математическая вероятность.

    Шутите?

    1. Капча - Вообще не проблема

    2. Это не ограничении, только проверил - вводи сколько хочешь, пока не попадешь всеголишь в 10 000 вариацию!!!

    Любой пароль пользователя более надежен, чем комбинация цифр на 10 000 вариаций

    Кто же брутом будет взламывать один магазин? Взломы такой технологией делаются пальцем в небо на большом количестве листингов. Как правило около 500 потоков. (сразу открытых сессий ежесекундно)

    Вот схема сходу, без особой изощренной фантазии особо не задумываясь и не продумывая, как ее улучшить.

    До этого возможность взлома брута сайта без этой включеной фичи была равна нулю, а теперь это просто дырыща.

    Находим 1000 магазинов на CMS Вебасист, кто сделает такую защиту в 4 символа. Простой скрипт предположим на ZennoPoster

    Далее, предположим через зенопостер заходим на страницу контактов, каждого такого магазина(парсинг через регулярку слово "контакты" на главной, ссылок где есть - contacts, contact, kontakti и т.п.) и собираем от туда мыло, каждое второе скорее всего будет с админскими правами.

    Далее включаем этот зенопостер в 500 потоков, где пароль рандомное число от 0001 до 9999, если комп более менее нормальный, то он без проблем выдержит такую нагрузку.

    Получаем 10 000 вариаций паролей делим на 500 потоков и того примерно 20 попытка в таком переборе большого списка магазинов будет удачная и у злоумышленика появится админка магазина.

    С такой сетью ip адресов(а с публичным TOR - это легко) где-то через 20 попыток умножаем на 5 секунд(реальная скорость перебора на 500 потоков) получаем около 2 минут, будет взломан магазин, который на этой одноэтапной защите в 10 000 вариаций.

    Ну, а далее человек может слить базу продаж и мыл - продать конкурентам, если более умный, чем какой нибудь школьники, поэтому можно даже немного вложиться и в сверх сложную капчу, если она будет, но скорее всего ее не будет и будет стоять 60 секунд - вообще не важно сколько секунд стоит.

    2) Даже с этой включенной системой я захожу на обычную страницу магазина(https://site.ru/), авторизируюсь через публичную форму для входа пользователей любой админской учеткой и далее под этим логином захожу на https://site.ru/webasyst/ и я без ввода пароля пришедшего на почту в админке.

    В чем тог-да смысл вообще включать эту систему, если просто под паролем так же можно попасть в админку?

    Нужно тогда сделать инструкцию как включать или выключать этот способ через постое редактирования файла в консоли, если что-то пойдет не так и будет сбой и нужно будет временно снова включить вход под паролем.

    Ну хотя бы сделать, что для группы администраторов или как-то объединять пользователей в гурппы и эти группы прописывать в настройках, для кого именно включена двухкратная-аунтификация и чтобы она работала во всех местах, а не только на странице https://site.ru/webasyst/

    А так получается - это просто была сделана бесполезная работа, на данный момента, которая еще и открыла дыру.



    Если я что-то не так понимаю и можно как-то включить именно двухатапную аутификации с абсолютно каждой страницы магазина, то поправьте, как это сделать?

    + Если это возможно спасите обычных не думующих пользователей от этих дефоултных настроек, чтобы не расхитили база их магазинов и не продали на черном рынке.

    в ответ на вход в личный кабинет

  • Speed Motion Speed Motion 25 февраля 2019 20:11 #

    P.S. Если все правильно поняли и оно действительно так, то спасибо огромное, не имея даже бот нет сеть, а просто написать элементарный скрипт через TOR сеть можно сбрутить админку на раз два! ))) Просто достаточно знать мыло админского аккаунта. Скорее всего, то с которого переписываюстя по тех. вопросам или директорское, да или вообще все можно сбрутить))) Спасибо, очень полезную штуку сделали.

    в ответ на вход в личный кабинет

  • Speed Motion Speed Motion 25 февраля 2019 20:09 #

    Если все правильно настроил и понял, то сделали не безопасно.

    Теперь не нужно вводить реальный пароль, просто приходит вход на почту и под ним заходим реальным админским аккаунтом, тоесть если включить программу брут, то рано или поздно за пару суток можно попасть в админскую панель, отключить, создать другой ак админский или еще что. 

    В чем логика, если просто на 4 цифры без основного пароля можно попасть в админку, наверно такую глупость надо срочно отключить? Зачем вообще такую возможность сделали? 

    Как сделать чтобы одновременно и пароль и плюс сообщение на почту? Может где-то не доглядел еще настройки?

    в ответ на вход в личный кабинет

  • Speed Motion Speed Motion 20 февраля 2019 17:40 #

    Ну да вполне очень удобно

    1) Заходим в табилцу wa_login_log Через phpMyAdmin

    2) вводим ИД пользователя в поиске 

    и видим все сессии с их временем входа и ИП адресами


    Спасибо, тема закрыта. 

    в ответ на ip с которых заходили в аккаунты

  • Speed Motion Speed Motion 20 февраля 2019 17:18 #

    Дмитрий, спасибо огромное за ответ.

    Установленная версия: 1.9.7.287

    Возможно что-то не знаю и не там искал. Раскройте пожалуйста тему, где это искать?

    Смотрел приложение логи, не вижу там такую таблицу. Есть только "действия пользователей" - "войти не удалось". Логи для удачной отсутствуют, там только неудачная авторизация.


    Указанное в посте приложение "Метрика" решает эту проблему, но по умолчанию на 28 дней, столько живет сессия. Это значение можно поменять, но хотя достаточно и этого срока для логов ну и корректной работы.

    Если есть какое-то другое решение и где смотреть эту таблицу, то скажите пожалуйста.

    в ответ на ip с которых заходили в аккаунты

  • Speed Motion Speed Motion 19 февраля 2019 14:21 #

    Спасибо. Да посмотрел еще раз внимательнее на это приложение, вроде на принтскирнах есть такая опция. 

    На почту писал, пока не ответили.

    в ответ на ip с которых заходили в аккаунты

  • Speed Motion Speed Motion 11 мая 2018 15:46 #
    Я надеюсь вот тут - https://startpack.ru/application/my-sklad/reviews все написано очень доходчиво и понятно. Сторонний сайт с отзывами. Читайте те, что негативные, потому что видно, те что положительные половина написаны походу в ходе накрутки самим же Моим Складом.

    Еще хочу Вас обрадовать, выход из облака особо Вас не спасет. )))

    в ответ на Синхронизация с Мой Склад