Новости Joomla

Joomla 6: Автоматические обновления ядра в Joomla

Joomla 6: Автоматические обновления ядра в Joomla

👩‍💻 Joomla 6: Автоматические обновления ядра в Joomla. В октябрьском номере официального журнала Joomla - Joomla Community Magazine вышла статья David Jardin, где рассказывается о внедрении функционала автоматического обновления ядра Joomla.❓Почему сейчас? Joomla же жила как-то 20 лет без автоматических обновлений?Это оказалась самая востребованная за последнее время от пользователей Joomla функция. Но, основная причина внедрения - проблемы безопасности. Всякий раз, когда в новой версии Joomla устраняется уязвимость, злоумышленники начинают анализировать код, чтобы выяснить, какая именно уязвимость была исправлена. И как только они это выясняют - начинается разработка автоматизированных скриптов для взлома как можно большего количества сайтов. Затем доступы к автоматически взломанным сайтам продаются в профильных чатах и ресурсах "пачками" по несколько сотен тысяч или миллионов сайтов. Ваш сайт могли взломать несколько лет назад, но воспользоваться уязвимостью могут не сразу, а тогда, когда у злоумышленников возникнет необходимость. И только после этого вы может быть узнаете об этом.Анализ патча, понимание проблемы и разработка скрипта требуют времени. И если владелец сайта не обновит его до истечения этого срока, сайт может быть взломан. А хакеры действуют быстро! Для критических, легко эксплуатируемых уязвимостей речь идёт о временном окне в 10–12 часов — и этого времени явно недостаточно, чтобы все успели обновить свои сайты.Здесь выходят на первый план автоматизированные обновления: проект Joomla теперь может активно устанавливать обновления (и, следовательно, исправления безопасности) на сайты, чтобы гарантировать, что сайты действительно обновляются вовремя.🕘 От первых идей до реализации прошло 5 лет. И здесь можно вспомнить, как в Joomla 5.1 внедрили TUF - The Update Framework, позволяющий устанавливать защищённое соединение между сайтом и сервером обновлений и исключает возможность supply chain attack (атаки на цепочку поставок).Об особенностях реализации и требованиях к сайту читаем подробнее в статье на JCM.@joomlafeed#joomla #secutiry #jcm

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™

Первый выпуск журнала NorrNext в честь 20-й годовщины Joomla™. Интервью с волонтёрами 🎈Ну что, друзья, вот и настал этот долгожданный момент. Мы выпустили первое издание собственного журнала под эгидой NorrNext, который включает в себя интервью с видными деятелями сообщества из разных стран и континентов.Общий нарратив: показать, что нас объединяет (Joomla) и узнать больше о людях, которые вносят свой вклад в развитие платформы в своих сообществах. 20 лет — это много. Давайте же узнаем о коллегах 🎁 Первый цикл включает такие страны, как Австрия, Испания, Латвия, Россия, Румыния, Тайланд, Черногория, Чехия.⚙️ С кем интервью: ✔️ Владимир Елисеев 🇷🇺✔️ Дмитрий Рекун 🇱🇻✔️ Дмитрий Цымбал 🇷🇺✔️ Евгений Сивоконь 🇷🇺 ✔️ Сергей Толкачёв 🇷🇺✔️ Dénes Székely 🇷🇴✔️ Jan Pavelka 🇨🇿✔️ Miljan Vujosevic 🇲🇪✔️ Sergio Iglesias 🇪🇸✔️ Sigrid Gramlinger 🇦🇹✔️ Pisan Chueatchatchai 🇹🇭‼️ Новые интервью будут добавляться до конца декабря 2025. Заходите по ссылке время от времени💡👉 Читать далее

0 Пользователей и 1 Гость просматривают эту тему.
  • 4 Ответов
  • 3035 Просмотров
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Всем привет!
Похоже компонент умер, разработчики остановились на версии 1.1.14 для "трешки", выпущенной аж 16 мая 2020 года и развиваться не планируют....
Жаль, очень жаль.
Но собственно по сабжу. Клиент добросовестный (да, бывают еще такие) обратил внимание на очевидный косяк.
Суть такова. Выпускаются подарочные купоны со сроком активации и сроком действия баллов после активации.
Условный купон с кодом BLACKFRIDAY уже сгорел, т.к. прошла дата активации, но...! Если добавить к коду купона буквально пару простейших операторов, то купон прекрасно активируется, на лицевой счет зачисляются баллы (1 балл = 1 рубль, ими можно оплачивать услуги). А дальше еще интересней: к введенной на предыдущей итерации конструкции добавляем пробел и опять активируем купон - и так до бесконечности. Деньги с сайта выводить нельзя, но вот услуги бесплатно с такой фишкой получать можно  *ОХ-Х-Х*
Создал https://www.nordmograph.com/extensions/index.php?option=com_kunena&view=topic&catid=152&id=17921&Itemid=645 запрос на форуме разраба - тишина.
Кто-нибудь сталкивался с подобным?
Код для зловредной инжекции могу сообщить в личку, пишите.
*

sivers

  • Живу я здесь
  • 2593
  • 360 / 0
Re: AltaUserPoints 1.1.14 - дырка в безопасности
« Ответ #1 : 17.12.2022, 21:54:03 »
Значит надо тщательнее чистить входящие данные. Раз компонент умер, то, либо менять, либо допиливать.
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

stepan39

  • Захожу иногда
  • 499
  • 28 / 0
Re: AltaUserPoints 1.1.14 - дырка в безопасности
« Ответ #2 : 18.12.2022, 10:54:55 »
либо менять
Дык вроде не на что особо менять (или я что-то упустил?)
либо допиливать
Главная задача - переход на "четверку" и совместимость с 8 пыхом. Это уж не допил ихмо, а полный перепил  ;D
надо тщательнее чистить входящие данные
пока единственное, что остается
*

sivers

  • Живу я здесь
  • 2593
  • 360 / 0
Re: AltaUserPoints 1.1.14 - дырка в безопасности
« Ответ #3 : 18.12.2022, 17:00:04 »
Главная задача - переход на "четверку" и совместимость с 8 пыхом. Это уж не допил ихмо, а полный перепил  ;D
Обычно не так и много там изменений приходится делать. Либо некоторое кол-во однотипных правок в синтаксисе.
Фильтрация данных тоже несложная задача. К тому же у вас есть чем протестировать.
Если планируете продолжать пользоваться расширением и дальше, то стоит довести его до приемлемого состояния.
На связи в telegram @sivers
sivers @ inbox . ru
https://sivers.su/
*

Фей

  • Давно я тут
  • 743
  • 86 / 3
  • Истина в вине!
Re: AltaUserPoints 1.1.14 - дырка в безопасности
« Ответ #4 : 19.01.2023, 10:51:10 »
В модуле не было экранирования в запросах к БД. Поэтому такая фигня и происходила.
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Altauserpoints - синхронизация пользователей

Автор Тигран

Ответов: 1
Просмотров: 3372
Последний ответ 13.02.2021, 21:53:26
от be2lam
Не зафурычила altauserpoints - не начисляются баллы

Автор Lake

Ответов: 22
Просмотров: 5607
Последний ответ 11.07.2016, 14:12:54
от Lake
AltaUserPoints + Quiz Deluxe

Автор Socha

Ответов: 5
Просмотров: 5406
Последний ответ 27.03.2016, 18:30:18
от Socha