Рубрика «drupal»

PHP-Дайджест № 150 (11 – 25 февраля 2019) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: изменены правила голосования за RFC в PHP Internals, стартовал прием заявок на доклады для PHP Russia 2019, новое расширение для реализации параллельного исполнения кода, свежие материалы для обучения, видео, порция полезных инструментов, и многое другое.

Приятного чтения!

Читать полностью »

  1. Для хеширования паролей используется модифицированная версия phpass, от которой на официальном сайте открестились. Но менять механизм не спешат [#1845004].
  2. Не желают даже предоставить возможность выбора механизма хеширования [#2939888].
  3. Число итераций для стойкости хеширования не обновлялось больше 7 лет [#1850638], хотя предполагалось увеличение итераций не реже чем в 2 года [#1203852].
  4. Читать полностью »

PHP-Дайджест № 147 (1 – 14 января 2019) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: обновления всех веток PHP, Deployer 6.4, doctrine/migrations 2.0, Psalm 3 и другие релизы, Никита Попов в JetBrains, новости PHP Internals, порция полезных инструментов, видео, и многое другое.
Приятного чтения!

Читать полностью »

Security Week 40: уязвимости в CMS Drupal и не только - 1На прошлой неделе разработчики CMS Drupal закрыли (новость, подробнее у них на сайте) сразу две критические уязвимости. Обе проблемы затрагивают Drupal версий 7.x и 8.x. Наиболее серьезная уязвимость была обнаружена во встроенной системе отправки e-mail (DefaultMailSystem::mail()). Можно задействовать ее таким образом, что при обработке сообщения появляется возможность выполнения произвольного кода. Виной тому, как обычно, отсутствие должной проверки ряда переменных.

Вторая уязвимость обнаружена в модуле Contextual Links — он позволяет модифицировать элементы веб-страниц без перехода в панель управления. Отсутствие проверки параметров, передаваемых при выполнении такого запроса, также может привести к выполнению кода. Правда, в отличие от первой уязвимости, эта эксплуатируется, только если атакующий уже имеет права на редактирование сайта.

Такие новости обычно не попадают в дайджест: ну нашли, ну закрыли, молодцы! Но как минимум раз в год стоит посмотреть на самые популярные системы управления сайтом и понять в перспективе, как там обстоят дела с безопасностью. Есть ли фрагментация версий CMS, похожая, например, на фрагментацию платформы Android? Так ли все плохо с безопасностью, как, например, в индустрии тех IoT-устройств, которые вроде и вовсе не IoT-устройства, а роутеры и камеры? Давайте посмотрим.
Читать полностью »

Прошу прощения за желтый заголовок, но в данном случае он действительно отражает суть дела. Год назад в сообществе разработчиков Drupal произошел вопиющий случай, который на Хабра и даже в Рунете прошел несколько незамеченным. В контексте недавних волнений вокруг Линуса и Linux, имеет смысл вспомнить о тех событиях.

Обложка 23-й книги — «Renegades of Gor» саги «Хроники Гора».
Страсти по Гору

Однажды в конце февраля Dries Buytaert — основатель CMS Drupal, попросил одного из самых активных разработчиков Ларри Гарфилда (Larry Garfield) покинуть проект. Есть все основания полагать, что решение было вызвано ценностными расхождениями великодушного диктатора проекта с Ларри. В чем же суть этого расхождения и причем здесь Гор?

Читать полностью »

PHP-Дайджест № 139 (3 – 17 сентября 2018) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: PHP 7.3 RC 1, PhpStorm 2018.3 EAP, Laravel 5.7 и другие релизы, HHVM прекращает поддержку PHP, типизированные свойства в PHP, порция полезных инструментов, видеозаписи докладов, и многое другое.
Приятного чтения!

Читать полностью »

PHP-Дайджест № 129 (8 – 22 апреля 2018) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: CakePHP 3.6.0 и другие релизы, расширение php-ffi, порция полезных инструментов, и многое другое.
Приятного чтения!

Читать полностью »

Drupalgeddon2 все-таки пришел к нам.

image

Что случилось? После безумного анонса «одной из самых страшных уязвимостей Drupal» все замерли в ожидании рабочего эксплойта и через 4 дня даже начали немного грустить, считая, что вся паника была зря, так как никто не мог придумать ничего стоящего. Но стоило только CheckPoint'у сегодня опубликовать рабочий PoC на SA-CORE-2018-002, как армия ботов начала атаковать сайты на Drupal, что называется, «in the wild». Читать полностью »

PHP-Дайджест № 128 (25 марта – 8 апреля 2018) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: PhpStorm 2018.1 и другие релизы, критическая уязвимость в Drupal, видеозаписи докладов, порция полезных инструментов, и многое другое.
Приятного чтения!

Читать полностью »

PHP-Дайджест № 127 (1 – 25 марта 2018) - 1

Свежая подборка со ссылками на новости и материалы. В выпуске: Zend Expressive 3 и другие релизы, пара улучшений в PHP 7.3, порция полезных инструментов, и многое другое.
Приятного чтения!

Читать полностью »