По поводу сбора конфиденциальной информации LS.

Для начала преамбула.
Мы начали разработку сайта на livestreet. Работаем с этой CMS в первый раз. И по этому мы начали изучать саму CMS. Второй день изучения и возникло несколько неприятных моментов в плане безопасности движка и самого сайта.

И так для начала вам стоит ознакомиться с документацией по API движка.
http://docs.livestreetcms.com/api/1.0/ModuleLs
Немного поясню. Эта функция получает данные о сайте и передает на указанный шлюз. Да эта возможность можно отключить, но первое она включена по умолчанию, в лицензии ни какого даже намека нет на сбор конфиденциальной информации о сайте.

Теперь, почему мы это нашли? Выводится гугл аналитика на всех страницах сайта. Мы начали рыть шаблон, ничего в нем не было, так как мы не сторонники чужих щетчиков мы начали копать другие части.

Итог мы отключили в конфигах это дело и вырезали часть функций отвечающих за передачу данных.

Почему я вам рекомендую отключить эту возможность?

Первое она бесполезна именно для вас.
Второе это потенциальная закладка.
Третье это нарушение лицензии, которую предложили сами же авторы.
Четвертое потенциальная возможность завалить сайт.

ЗЫ: разработчикам CMS перепишите эту функцию так как если ваш сайт будет недоступен… сайты могут выпасть в осадок вообще. Цикл уходящий в бесконечность :-)

В конфиге по идее это можно отключить через параметры

$config['module']['ls']['send_general'] = false; // Отправка на сервер LS общей информации о сайте (домен, версия LS и плагинов)
$config['module']['ls']['use_counter'] = false; // Использование счетчика GA
Не знаете как можно грамотно и просто вести складской учет? Качественная складская программа учета поможет вам. Простой интерфейс, удобное управление и огромный потенциал вас не разочаруют.

20 комментариев

avatar
Лично я сразу после установки закрыл эту функцию. И сайт быстрее работает.
avatar
Это понятно что надо эту ересь отключать… Но почему разработчики так поступают? Мы просто врезали все функции из движка прямо, чтоб соблазна так сказать не было. По сути я не сталкивался с таким ни в одной CMS разве.
Если уж собираются авторы собирать информацию то либо спрашивать при инсталяции, либо хотя бы включить такой пункт в лицензионное соглашение.
avatar
Теперь, почему мы это нашли? Выводится гугл аналитика на всех страницах сайта. Мы начали рыть шаблон, ничего в нем не было, так как мы не сторонники чужих щетчиков мы начали копать другие части.

Ну вообще-то вывод гуглоаналитики по моему по умолчанию выключен, а сама функция… да включена по умолчанию.
avatar
И то и другое по умолчанию включено.
avatar
Да, заглянул в оригинальный дистр… все верно, ошибся.
avatar
Обновил топик в связи с вопросами в личку как отключить эту самую засаду.
avatar
В версии 05.1 такой штуки нет кажется. Это в новой лс 1.1 вы нашли?
avatar
1.0 :)
avatar
Ну и в 1.0.1 естественно :)

// Модуль Ls
$config['module']['ls']['send_general'] = true; // Отправка на сервер LS общей информации о сайте (домен, версия LS и плагинов)
$config['module']['ls']['use_counter'] = true; // Использование счетчика GA
avatar
Да ничего там такого страшного нет. Отключил и не парься. Если, конечно, отключение срабатывает :)
avatar
мы на всякий случай выплатсали весь код… имхо мне это не нравится.
avatar
Где лежит этот расскажи плиз.
avatar
/engine/modules/ls/Ls.class.php

Сама функция SendToLs — строки 118-155
В принципе остальное сможете разобрать сами, благо комментами всё напичкано так, что аж зубы сводит. Из крайности в крайность ((
avatar
помимо отключения этих 2х параметров в конфиг файле, по идее содержимое файла Ls.class.php вообще можно удалить, разве нет?
avatar
тоже хотелось бы получить ответ… Сайт иногда жутко висит
avatar
Хотелось бы узнать как вырубить всё это
avatar
Вы читали топик-то?
avatar
А ни бекдор ли это господа?
avatar
нет
avatar


Увы, никто и не собирается ничего предпринимать. Даже когда вы ( разработчики ) пишите в Ls.class.php "* Вы всегда можете отключить передачу данных в конфиге, но просим этого не далать, тем самым вы поможете развитию LS CMS. Это важно для нас." :-(

А для нас? Понятно, что вы создали «продукт» и вам интересно, как он развивается. Но подглядывая в тихую, не поставив в известность конечного потребителя… :-(
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.