Еще маленькая соломинка в сторону "все". Сейчас Битрикс типа наводит порядок в маркетплейсе, проверяя на безопасность размещенные там модули. Вроде хорошее дело, но, доведенное до маразма, перестает быть хорошим.
Опишу свой кейс. У меня на маркетплейсе были два бесплатных модуля, один и них - простенький расчет стоимости доставки по километражу. Используя апи яндекс карт делает на фронте роутинг, считает километраж, отдает его стандартным для шаблонной страницы оформления заказа способом на сервер. Понятно, что теоретически возможно с фронта подставить фейковое значение километража и обмануть продавца с суммой доставки. Однако, я считаю, на практике этим риском можно пренебречь - трудно представить себе человека, который будет разбираться в то ли 7 то ли 9 тыс строках js кода, чтобы вклиниться ради условных 500 рублей сомнительной выгоды. За несколько лет эксплуатации 555 установок модуля я про таких людей не слышал.
Но Битрикс так не считает и извещает меня, что это есть критическая уязвимость, которую я должен устранить в течение 7 дней, иначе модуль будет снят с публикации. И описывает мне идеальный мир, в котором сервер будет делать запрос к апи роутинга яндекс карт, чтобы проверить, что ему прислал фронт. Да г-вопрос, не так уж трудно добавить несколько строк. Однако, есть одна закавыка - если простой пользователь пойдет на официальную страницу этого сервиса, то увидит, что минимальная стоимость лицензии, которая позволяет делать серверные запросы к роутингу яндекс карт, стоит 195 тыс в год. Да, в документации есть ссылка, которая позволяет получить бесплатный ключ, но, строго говоря, такое его использование уже как минимум спорно с юридической точки зрения. Его можно толковать как нарушающее условия бесплатного использования.
Итого в сухом остатке - да, есть уязвимость, которая чревата риском, который, будучи оцененным в деньгах, составляет порядка нескольких копеек или, может быть, даже рублей в месяц. Для устранения этой уязвимости нужно платить 195 тыс рублей в год. Думаю, что кроме Битрикса мало найдется дураков, которые будут руководствоваться такой бизнес-логикой, поэтому просто снял с публикации этот модуль.
По другому модулю пришло письмо аж от ФСТЭК, тоже снял его с публикации даже не читая письма. Почитаю на досуге, но, скорее всего, там похожая бизнес-логика.
В общем, лично я пессимистично оцениваю перспективы компании, которая считает нормальной (обязательной) практикой платить 195 тыс в год для устранения риска потерять в среднем несколько копеек или рублей в месяц.
Опишу свой кейс. У меня на маркетплейсе были два бесплатных модуля, один и них - простенький расчет стоимости доставки по километражу. Используя апи яндекс карт делает на фронте роутинг, считает километраж, отдает его стандартным для шаблонной страницы оформления заказа способом на сервер. Понятно, что теоретически возможно с фронта подставить фейковое значение километража и обмануть продавца с суммой доставки. Однако, я считаю, на практике этим риском можно пренебречь - трудно представить себе человека, который будет разбираться в то ли 7 то ли 9 тыс строках js кода, чтобы вклиниться ради условных 500 рублей сомнительной выгоды. За несколько лет эксплуатации 555 установок модуля я про таких людей не слышал.
Но Битрикс так не считает и извещает меня, что это есть критическая уязвимость, которую я должен устранить в течение 7 дней, иначе модуль будет снят с публикации. И описывает мне идеальный мир, в котором сервер будет делать запрос к апи роутинга яндекс карт, чтобы проверить, что ему прислал фронт. Да г-вопрос, не так уж трудно добавить несколько строк. Однако, есть одна закавыка - если простой пользователь пойдет на официальную страницу этого сервиса, то увидит, что минимальная стоимость лицензии, которая позволяет делать серверные запросы к роутингу яндекс карт, стоит 195 тыс в год. Да, в документации есть ссылка, которая позволяет получить бесплатный ключ, но, строго говоря, такое его использование уже как минимум спорно с юридической точки зрения. Его можно толковать как нарушающее условия бесплатного использования.
Итого в сухом остатке - да, есть уязвимость, которая чревата риском, который, будучи оцененным в деньгах, составляет порядка нескольких копеек или, может быть, даже рублей в месяц. Для устранения этой уязвимости нужно платить 195 тыс рублей в год. Думаю, что кроме Битрикса мало найдется дураков, которые будут руководствоваться такой бизнес-логикой, поэтому просто снял с публикации этот модуль.
По другому модулю пришло письмо аж от ФСТЭК, тоже снял его с публикации даже не читая письма. Почитаю на досуге, но, скорее всего, там похожая бизнес-логика.
В общем, лично я пессимистично оцениваю перспективы компании, которая считает нормальной (обязательной) практикой платить 195 тыс в год для устранения риска потерять в среднем несколько копеек или рублей в месяц.