Василий Наумкин

Для загрузки доступна новая версия MODX Revolution 2.5.4-pl. Версии 2.5.3 нет и не будет, потому что там была ошибка в инсталляторе — так что сразу 2.5.4:

• Обновление PHPMailer закрывает возможность выполнения произвольного кода через него
• Улучшение работы на MSSQL
• Исправлен вывод загруженных версий пакета в админке
• Font Awesome обновлён до версии 4.7.0
• Чуток улучшен внешний вид страницы входа в админку — с неё убрали дублирующие надписи в полях ввода. Теперь по одной странице логина можно отличать 2.5.4 от старых версий.

Официальный анонс вот здесь, а полный changelog вот здесь.

Пользователи modhost.pro уже могут обновляться через панель управления.

Уже которую неделю вижу в комментариях сообщения, мол «это нужно добавить в документацию», «а почему этого нет в документации» и подобные.

В связи с чем хочу напомнить, что у нас давно есть открытая документация, куда любой желающий может добавить что угодно! И сделали её такой именно для того, чтобы пополнять её могли все, а не только избранные.

Сколько можно ныть в комментариях?
Считаешь, что нужно что-то добавить — добавь. Считаешь, что такая статья должна быть — напиши и пришли. Кто мешает?

Привет, друзья!

Мы продолжаем бороться за звание лучшего хостинга для MODX Revolution и сегодня выкатываем очередное обновление: теперь вы можете менять системные директории прямо из панели управления:
— core
— connectors
— и manager

Причём, менять их можно сколько угодно и даже генерировать случайным образом — чтобы взломщикам было веселее угадывать.

• 
• 

Привет, друзья! Представляю вам сильно переписанный компонент для авторизации через сторонние сервисы.

— Весь код отформатирован в PSR-2

— Библиотека HybridAuth обновлена до последней версии 2.8.2. И обновление и подключение работают теперь через composer, что сильно упрощает дальнейшее обслуживание.
Код библиотеки больше не хранится в моём репозитории на GitHub и никаких правок я в него не вношу.

— Некоторые провайдеры теперь требуют версию PHP не ниже 5.4, например facebook*.

Привет, друзья!

Как кто-то возможно помнит, в январе я рассказывал про создание сайта vrmedia.tv, на котором использовалась авторизация через мобильные телефоны. Тогда я написал для этого отдельный контроллер и много чего захардкодил.
И вот, спустя почти год, наконец-то дошли руки включить этот функционал в базовую поставку Office.

Теперь у нас есть новая системная настройка office_auth_mode, которая может быть в двух положениях: email или phone.
При переключении настройки в режим телефона email становится не нужен: регистрация, авторизация и сброс пароля работают через отправку sms сообщений.

Ситуация такая: очень хорошие друзья просят меня сверстать баннер (а, может, и сразу два) на HTML5. Если кто не знает, это баннеры, которые анимируются не на Flash, а на Javascript + SVG.

Помимо отказа от древнего флэша, такие баннеры еще и адаптивные (то есть, подстраиваются под размер экрана), и меньше жрут батарейку мобильных — что очень хорошо в наше время.

Исходные изображения есть, ТЗ во вложении, вот и пример уже готового баннера, можно посмотреть исходник — там всё включено: и скрипты, и картинки.
Нужен только человек, который умеет делать такие баннеры. Лично у меня времени (да и желания) осваивать еще и это совсем нет.

От вас стоимость и сроки. Если всё будет хорошо — отдам вам потом контакты заказчика, будете работать напрямую.

Привет, друзья! У меня для вас отличная новость!

Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.

• Скрыты критичные системные настройки [#13170]
• Запрет возможности локального подключения файлов (LFE) [#13177]
• Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
• Запрет неавторизованного доступа к процессорам [#13175]
• Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
• Запрет слепой SQL инъекции при получении xPDOObject [подробности]

Привет, друзья! Настало время подвести некоторые итоги по новости недельной давности.

Если кто не в курсе, в xPDO, а соотвественно, и в MODX обнаружилась уязвимость, позволяющая проводить слепые SQL инъекции и ломать сайты. Точнее как, обнаружилась… Всегда там была, и кому нужно — давно это знали.

Суть в том, что при получении объекта xPDO можно указать вторым параметром любую строку, и она не фильтруется.

$modx->getObject('modResource', 'тут любой SQL код')

Этот код выполнит произвольный SQL запрос, потому что «фича, а не бага».

Правда, про эту фичу нет ни слова в документации, где говорят только о

The criteria can be a primary key value, an array of primary key values (for multiple primary key objects) or an xPDOCriteria object.

и никаких сырых SQL выражений.

Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.

От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.

Первое — случайный префикс при создании нового сайта.

Привет, друзья!

Для обновления доступна новая версия pdoTools, в которой обновлён сам Fenom, добавлена пара функций, а также исправлена одна серьёзная недоработка.

А теперь подробнее.