Василий Наумкин
С нами с 08 декабря 2012; Место в рейтинге пользователей: #1MODX 2.5.4
Для загрузки доступна новая версия MODX Revolution 2.5.4-pl. Версии 2.5.3 нет и не будет, потому что там была ошибка в инсталляторе — так что сразу 2.5.4:
Пользователи modhost.pro уже могут обновляться через панель управления.
- Обновление PHPMailer закрывает возможность выполнения произвольного кода через него
- Улучшение работы на MSSQL
- Исправлен вывод загруженных версий пакета в админке
- Font Awesome обновлён до версии 4.7.0
- Чуток улучшен внешний вид страницы входа в админку — с неё убрали дублирующие надписи в полях ввода. Теперь по одной странице логина можно отличать 2.5.4 от старых версий.
Пользователи modhost.pro уже могут обновляться через панель управления.
Про документацию
Уже которую неделю вижу в комментариях сообщения, мол «это нужно добавить в документацию», «а почему этого нет в документации» и подобные.
В связи с чем хочу напомнить, что у нас давно есть открытая документация, куда любой желающий может добавить что угодно! И сделали её такой именно для того, чтобы пополнять её могли все, а не только избранные.
Сколько можно ныть в комментариях?
Считаешь, что нужно что-то добавить — добавь. Считаешь, что такая статья должна быть — напиши и пришли. Кто мешает?
В связи с чем хочу напомнить, что у нас давно есть открытая документация, куда любой желающий может добавить что угодно! И сделали её такой именно для того, чтобы пополнять её могли все, а не только избранные.
Сколько можно ныть в комментариях?
Считаешь, что нужно что-то добавить — добавь. Считаешь, что такая статья должна быть — напиши и пришли. Кто мешает?
Смена директорий сайта на modhost
Привет, друзья!
Мы продолжаем бороться за звание лучшего хостинга для MODX Revolution и сегодня выкатываем очередное обновление: теперь вы можете менять системные директории прямо из панели управления:
— core
— connectors
— и manager
Причём, менять их можно сколько угодно и даже генерировать случайным образом — чтобы взломщикам было веселее угадывать.
Мы продолжаем бороться за звание лучшего хостинга для MODX Revolution и сегодня выкатываем очередное обновление: теперь вы можете менять системные директории прямо из панели управления:
— core
— connectors
— и manager
Причём, менять их можно сколько угодно и даже генерировать случайным образом — чтобы взломщикам было веселее угадывать.
[HybridAuth] Версия 2.0
Привет, друзья! Представляю вам сильно переписанный компонент для авторизации через сторонние сервисы.
— Весь код отформатирован в PSR-2
— Библиотека HybridAuth обновлена до последней версии 2.8.2. И обновление и подключение работают теперь через composer, что сильно упрощает дальнейшее обслуживание.
Код библиотеки больше не хранится в моём репозитории на GitHub и никаких правок я в него не вношу.
— Некоторые провайдеры теперь требуют версию PHP не ниже 5.4, например facebook*.
— Весь код отформатирован в PSR-2
— Библиотека HybridAuth обновлена до последней версии 2.8.2. И обновление и подключение работают теперь через composer, что сильно упрощает дальнейшее обслуживание.
Код библиотеки больше не хранится в моём репозитории на GitHub и никаких правок я в него не вношу.
— Некоторые провайдеры теперь требуют версию PHP не ниже 5.4, например facebook*.
*Meta, которой принадлежат facebook и instagram признана экстремистской в России
[Office] Версия 1.4.0 - работа с мобильными
Привет, друзья!
Как кто-то возможно помнит, в январе я рассказывал про создание сайта vrmedia.tv, на котором использовалась авторизация через мобильные телефоны. Тогда я написал для этого отдельный контроллер и много чего захардкодил.
И вот, спустя почти год, наконец-то дошли руки включить этот функционал в базовую поставку Office.
Теперь у нас есть новая системная настройка office_auth_mode, которая может быть в двух положениях: email или phone.
При переключении настройки в режим телефона email становится не нужен: регистрация, авторизация и сброс пароля работают через отправку sms сообщений.
Как кто-то возможно помнит, в январе я рассказывал про создание сайта vrmedia.tv, на котором использовалась авторизация через мобильные телефоны. Тогда я написал для этого отдельный контроллер и много чего захардкодил.
И вот, спустя почти год, наконец-то дошли руки включить этот функционал в базовую поставку Office.
Теперь у нас есть новая системная настройка office_auth_mode, которая может быть в двух положениях: email или phone.
При переключении настройки в режим телефона email становится не нужен: регистрация, авторизация и сброс пароля работают через отправку sms сообщений.
Вёрстка HTML5 баннера
7
Ситуация такая: очень хорошие друзья просят меня сверстать баннер (а, может, и сразу два) на HTML5. Если кто не знает, это баннеры, которые анимируются не на Flash, а на Javascript + SVG.
Помимо отказа от древнего флэша, такие баннеры еще и адаптивные (то есть, подстраиваются под размер экрана), и меньше жрут батарейку мобильных — что очень хорошо в наше время.
Исходные изображения есть, ТЗ во вложении, вот и пример уже готового баннера, можно посмотреть исходник — там всё включено: и скрипты, и картинки.
Нужен только человек, который умеет делать такие баннеры. Лично у меня времени (да и желания) осваивать еще и это совсем нет.
От вас стоимость и сроки. Если всё будет хорошо — отдам вам потом контакты заказчика, будете работать напрямую.
Помимо отказа от древнего флэша, такие баннеры еще и адаптивные (то есть, подстраиваются под размер экрана), и меньше жрут батарейку мобильных — что очень хорошо в наше время.
Исходные изображения есть, ТЗ во вложении, вот и пример уже готового баннера, можно посмотреть исходник — там всё включено: и скрипты, и картинки.
Нужен только человек, который умеет делать такие баннеры. Лично у меня времени (да и желания) осваивать еще и это совсем нет.
От вас стоимость и сроки. Если всё будет хорошо — отдам вам потом контакты заказчика, будете работать напрямую.
Срочные исправления безопасности в MODX 2.5.2
Привет, друзья! У меня для вас отличная новость!
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.
Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.
- Скрыты критичные системные настройки [#13170]
- Запрет возможности локального подключения файлов (LFE) [#13177]
- Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
- Запрет неавторизованного доступа к процессорам [#13175]
- Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
- Запрет слепой SQL инъекции при получении xPDOObject [подробности]
Потенциальная уязвимость при получении объекта xPDO
Привет, друзья! Настало время подвести некоторые итоги по новости недельной давности.
Если кто не в курсе, в xPDO, а соотвественно, и в MODX обнаружилась уязвимость, позволяющая проводить слепые SQL инъекции и ломать сайты. Точнее как, обнаружилась… Всегда там была, и кому нужно — давно это знали.
Суть в том, что при получении объекта xPDO можно указать вторым параметром любую строку, и она не фильтруется.
Правда, про эту фичу нет ни слова в документации, где говорят только о
Если кто не в курсе, в xPDO, а соотвественно, и в MODX обнаружилась уязвимость, позволяющая проводить слепые SQL инъекции и ломать сайты. Точнее как, обнаружилась… Всегда там была, и кому нужно — давно это знали.
Суть в том, что при получении объекта xPDO можно указать вторым параметром любую строку, и она не фильтруется.
$modx->getObject('modResource', 'тут любой SQL код')
Этот код выполнит произвольный SQL запрос, потому что «фича, а не бага».Правда, про эту фичу нет ни слова в документации, где говорят только о
The criteria can be a primary key value, an array of primary key values (for multiple primary key objects) or an xPDOCriteria object.и никаких сырых SQL выражений.
Изменение префиксов таблиц на modhost
Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.
От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.
Первое — случайный префикс при создании нового сайта.
От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.
Первое — случайный префикс при создании нового сайта.
[pdoTools] 2.7.0 - улучшения Fenom
Привет, друзья!
Для обновления доступна новая версия pdoTools, в которой обновлён сам Fenom, добавлена пара функций, а также исправлена одна серьёзная недоработка.
А теперь подробнее.
Для обновления доступна новая версия pdoTools, в которой обновлён сам Fenom, добавлена пара функций, а также исправлена одна серьёзная недоработка.
А теперь подробнее.