LiveStreet CMS

А ники не обязательно подписывать.
На самом деле, идея автора имеет право на жизнь. Я тоже на эту тему писал где-то год назад тут.
Правда, стоит ожидать что оценок будет в 3 раза меньше чем обычно.

Ой, не слышал о таком. Может и есть такое, проверять лень. Кстати, в таком случае можно попробовать открыть попап, который отсылает форму и закрывается или опять же фреймы.

Но это всё уже не так важно. Главное, что можно отправить форму и она примется.

А чего там пробовать) Какая разница?)

Ну разумеется, форма будет отправляться не напрямую, а так как я отправляю этот комментарий.

По-хорошему он ничего не заметит) Будет смотреть на картинку с ребенком.

О том и речь. Так обычно и делается. Причем, передавать можно в том же экшене (url'е формы).

в плане? Если ты авторизирован и я тебе даю ссылку типа yavsesam.ru/example.php в которой автоматом жмется кнопка «Сабмит» и на создается топик с ссылкой на мой любимый сайт. А тебе показывается картинка с ребенком =)

«его можно тупо послать с сайта злоумышленника, но тогда не будет доступа к кукам :)»…
Это в новой версии проверка?

сейчас в старой версии(на holywars.10slov.ru) закомментировал

//$oEngine->Security_ValidateSendForm();

Захожу на holywars.10slov.ru, авторизируюсь.
Захожу на yavsesam.ru/example.php ввожу id топика и жму «добавить».

Комментарий появляется в базе holywars, но не выводится (не разбирался почему, может кеш).
В commentAdd.php после строчки

$oEngine->User_GetUserCurrent();
Возвращает авторизированного пользователя.

Кстати, на холиварсах че-то статика не отображается, надо разобраться…

Разумеется, зайти на страничку злоумышенника придется тебе)

Если ты сам можешь послать форму с другого сайта и при этом, куки будут твои, то за тебя ее же может послать javascript, а ты этого и не заметишь.

Какой ключ?

Защита действий, инициированных POST-запросом обеспечивается проверкой авторизации пользователя. Исходя из этого простого соображения, все ajax запросы были переведены в режим явной отправки переменных в POST, а в обработчиках соответственно добавлена проверка isPost().

Сейчас работает старая система) С ней не получилось форму отправить

Я вообще не особенно разбираюсь во фреймах, но что межает пользователю просто создать форму где-то и отправить ее на сервер)

ща, сек

Чего-то я не могу понять, а что мешает злоумышленнику передать пост-запрос в том же самом айфрейме?

В общем-то не хочу спорить… Конечно же, случаи бывают разные.
Хотя пока в сообществе 1000 человек, ни о какой массовости речи идти не может.

Срок окупаемости модуля до года? :)) Мы говорим про айти-решение для конкретной ниши.
Это вам не палатку продуктовую делать с окупаемостью в 3 года.

Пожалуй, выскажусь и я…

На данный момент, в каталоге размещено 2 моих модуля по 1000 рублей Галерея и Фотоконкурсы.
Оба модуля появились достаточно давно и как всё происходит, я достаточно хорошо понимаю.

Итак, какими мотивами я руководствуюсь при ценообразовании…
1. Ресурсы, затраченные на разработку. На разработку галереи(с доработками) у меня ушел примерно месяц. Средняя зп программиста в Москве 40 тысяч рублей.
2. Ресурсы, затраченные на поддержку. Практически каждый второй пользователь периодически задает какие-то вопросы. У каждого возникают какие-то трудности, несмотря на неплохое описание по установке.

Конечно, создатель движка старается снизить стоимость модулей (это в интересах и его и его пользователей), но при стоимости в 500 рублей для того чтобы окупить модуль, стоимость которого 40 тысяч рублей нужно всего каких-то 80 покупок…

Тут скорее не «кидалово», а безответственность:)
Потому что «кидать» на модулях смысла в общем-то нет… от того что он вышлет, с него не станет.

Я буду писать обертку на руби) На сам плагин, к сожалению, нет времени…