Новости Joomla

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

🏆 Открыто голосование за Joomla в премии CMS Critic People’s Choice Awards 2025

🗓 Голосование продлится до 27 февраля 2026 года.

👩‍💻 Проголосовать! 👩‍💻

Номинации, в которых можно проголосовать за Joomla:
⭐️ Best Free CMS
⭐️ Best Open Source CMS
⭐️ Best Enterprise CMS

Также в номинации Best e-Commerce Solution участвуют компоненты интернет-магазинов для Joomla:
⭐️ HikaShop
⭐️ Virtuemart

В номинации Best Website Builder оказались:
⭐️ YooTheme
⭐️ SP Page Builder

Что такое CMS Critic Awards?
С 2012 года премия CMS Critic Awards занимает особое место в сообществе систем управления контентом (CMS). Это единственный в своем роде сайт, который составляет рейтинг системы управления контентом и связанных с ними решений на рынке — от малого до крупного и подчеркивает их инновации и услуги.

Каждый год награда CMS Critic Awards присуждается одному победителю в различных отраслевых категориях, таких как: «Лучшая облачная CMS», «Лучший DXP», «Лучшая Headless CMS и других. Затем результаты оглашаются через СМИ вместе с выбором редакции CMS Critic.
В этом году премия вернулась к своим традициям и только TOP-5 движков по количеству номинаций попали в 2-й этап - голосование.

@joomlafeed

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

👩‍💻 Релиз JoomGallery 4.3.0 - компонент галереи изображений для Joomla.

Одна из самых популярных и старейших фото-галерей для Joomla получила новую версию.

👉 v.4.3.0. Что нового?
Панель управления для зарегистрированных пользователей. В этой версии появилась возможность каждому зарегистрированному пользователю управлять своими категориями и изображениями во фронтенде сайта.

Документация по новой функции.
Сайт проекта

@joomlafeed

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

👩‍💻 Вместе мы развиваем Joomla: станьте Joomfluencer!

Вы уверенно чувствуете себя перед камерой, динамичны, обаятельны и всегда улыбаетесь? Чувствуете себя искателем приключений, готовым поделиться своими исследованиями CMS Joomla!, взять интервью у видных деятелей сообщества, пообщаться лично или по видеосвязи с волонтерами Joomla или отправиться на поиски новых идей?

Joomla ищет одного или нескольких волонтеров, готовых вдохнуть новую жизнь в обсуждение Joomla, ее CMS, пользователей, сообщества и многого другого.

Возможны самые разные форматы и темы: шортсы, интервью, аналитика и разборы в режиме реального времени, быстрые советы и рекомендации, знакомство с миром Joomla, изучение открытого исходного кода... Нет никаких ограничений!

Joomla! уже активно представлена ​​во многих социальных сетях:
- 155K подписчиков на Facebook,
- 55K подписчиков на X (ранее Twitter),
- 16K подписчиков на YouTube,
- 14K подписчиков на LinkedIn,
- 5,7K подписчиков в Instagram
а так же другие площадки ждут вас. Аккаунты Threads и Bluesky относительно новые, но их популярность только растёт!

А если хватит энергии, можно рассмотреть и TikTok!

❓ Итак, вы готовы?
👉 Свяжитесь с отделом маркетинга по адресу: marketing@community.joomla.org

Подробности в статье в Joomla Community Magazine.

@joomlafeed

1   Вниз
0 Пользователей и 1 Гость просматривают эту тему.
  • 5 Ответов
  • 7036 Просмотров
*

Александр Фёдоров

  • Захожу иногда
  • 143
  • 26 / 4
  • Жизнь - удивительная штука
Отслеживание окончания сессии.
« : 17.10.2008, 17:33:52 »
Уж не знаю баг это или фича...
Ситуация следующая:
- авторизовался на фронте сайта;
- зашел в некую статью, внизу форма добавления комментария (для зарегистрированных - в кратком виде);
- долго не трогал страницу, истекла сессия;
- написал комментарий (в краткую форму) и при попытке отправить его выдается сообщение "Пожалуйста, введите ваше имя".

При обновлении страницы теряется написанный комментарий.

Кстати, насколько я знаю, по правилам русского языка было бы правильно написать "Пожалуйста, введите Ваше имя".
Записан
Жизненно важный ингредиент успеха — это не знать, что задуманное вами невозможно выполнить. М.Жванецкий
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Отслеживание окончания сессии.
« Ответ #1 : 17.10.2008, 22:59:22 »
Да, ты прав Саш, есть такой эффект. Правда если честно, я пока не могу быстро придумать, как её обойти. В том плане, как отловить на сервере сам факт истечения сессии у пользователя. По-хорошему, действительно в этом случае необходимо обновить форму, чтобы у пользователя была возможность ввести эти данные.

В принципе, была мысль, что можно добавить дополнительное поле в форму, заполнять только авторизованным, и внутри проверять, если заполнено, а пользователь гость, значит можно предположить, что его разлогинило и надо бы новую форму показать. Но с другой стороны, как отличить этот вариант, от варианта хака сайта?

Можно конечно пойти на хитрость, периодически дергать по таймеру сервер, и тем самым продлевать время сессии, но не думаю, что это правильно с точки зрения нагрузки на сервер.

Может быть у кого-то есть идеи?
Записан
*

Александр Фёдоров

  • Захожу иногда
  • 143
  • 26 / 4
  • Жизнь - удивительная штука
Re: Отслеживание окончания сессии.
« Ответ #2 : 18.10.2008, 21:30:57 »

Цитировать
В принципе, была мысль, что можно добавить дополнительное поле в форму, заполнять только авторизованным, и внутри проверять, если заполнено, а пользователь гость, значит можно предположить, что его разлогинило и надо бы новую форму показать. Но с другой стороны, как отличить этот вариант, от варианта хака сайта?
Ты же выводишь разные формы в зависимости от того авторизован пользователь или нет, т.е. на этом этапе можно просто ввести некий флаг "авторизованности" в том числе через hidden поле формы.

Цитировать
Можно конечно пойти на хитрость, периодически дергать по таймеру сервер, и тем самым продлевать время сессии, но не думаю, что это правильно с точки зрения нагрузки на сервер.
Это неправильно с точки зрения безопасности и вмешательства в работу администратора сайта... он же не зря выставил определенное время сессии.

Самый большой "криминал" - это не сам факт истечения сессии, а то, что теряется комментарий при повторной авторизации.

Получается, что при добавлении комментария необходимо проверить условия:
- был ли авторизован пользователь (т.е. была показана краткая форма);
- действует ли сессия в момент добавления комментария.

В данном случае рассматриваем вариант:
- да;
- нет;

Мне видится следующая последовательность действий:
1. сохранить комментарий для добавления после авторизации (для этого, по идее, необходимо будет запомнить пользователя, материал и все данные комментария) - видимо необходима некая таблица временных комментариев "разлогиненных" пользователей - данные из нее по каждому пользователю будут удаляться при добавлении комментария данным пользователем;
2. вывести уведомление об окончании сессии и необходимости повторной авторизации, можно еще показать и форму для незарегистрированных пользователей;
3. после авторизации показать все данные по комментарию к материалу данного пользователя.

Примерно так.
Записан
Жизненно важный ингредиент успеха — это не знать, что задуманное вами невозможно выполнить. М.Жванецкий
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Отслеживание окончания сессии.
« Ответ #3 : 18.10.2008, 22:01:06 »
Цитата: Александр Фёдоров от 18.10.2008, 21:30:57
Мне видится следующая последовательность действий:
1. сохранить комментарий для добавления после авторизации (для этого, по идее, необходимо будет запомнить пользователя, материал и все данные комментария) - видимо необходима некая таблица временных комментариев "разлогиненных" пользователей - данные из нее по каждому пользователю будут удаляться при добавлении комментария данным пользователем;
Если для каждого из гостей (пусть даже которые недавно были авторизованными) что либо писать в базу, то это будет серьезной брешью в безопасности. Пишется эксплоит, который содержит форму, как бы от авторизованного пользователя, и с неё в цикле добавляются комментарии. Что происходит? Правильно, на сервере начинает забиваться таблица временных комментариев.

Цитата: Александр Фёдоров от 18.10.2008, 21:30:57
2. вывести уведомление об окончании сессии и необходимости повторной авторизации, можно еще показать и форму для незарегистрированных пользователей;
А откуда компонент достоверно узнает, что сессия  именно истекла? Мне кажется это не его задача, следить за сессиями, на это есть ядро. Я уже подумывал над вариантом системного плагина (в нем есть возможность перехвата события логаута), но мне кажется это несколько извращенный путь
Записан
*

Александр Фёдоров

  • Захожу иногда
  • 143
  • 26 / 4
  • Жизнь - удивительная штука
Re: Отслеживание окончания сессии.
« Ответ #4 : 18.10.2008, 22:31:50 »
Цитата: smart от 18.10.2008, 22:01:06
Если для каждого из гостей (пусть даже которые недавно были авторизованными) что либо писать в базу, то это будет серьезной брешью в безопасности. Пишется эксплоит, который содержит форму, как бы от авторизованного пользователя, и с неё в цикле добавляются комментарии. Что происходит? Правильно, на сервере начинает забиваться таблица временных комментариев.
Эксплойт может попытаться добавить комментарий от якобы пользователя только перебором id пользователей, кроме этого в таблице будет храниться только 1 временный комментарий на одного пользователя - тот, который попытались отправить. Получается, что максимальный объем временной таблицы - это количество пользователей сайта. Кроме того, можно еще несколько усложнить перебор - использовать еще и имя пользователя, например. Хотя сама возможность такого перебора - это безусловный минус...
Значит нужно поставить некий признак истинности того, что данный пользователь только что разлогинился. Что-нибудь вроде "скрытой капчи". Правильно ли я понимаю, что если переменная передается через post ее невозможно подменить?  Если это так, то "скрытая капча" возможна, если нет, то невозможна.

Цитировать
А откуда компонент достоверно узнает, что сессия  именно истекла? Мне кажется это не его задача, следить за сессиями, на это есть ядро. Я уже подумывал над вариантом системного плагина (в нем есть возможность перехвата события логаута), но мне кажется это несколько извращенный путь

Компонент не должен следить за моментом окончания сессии. Он должен отрабатывать ситуации, в которых работает, т.е. должен быть корректный алгоритм работы и в данном случае. Пока он данную ситуацию не отрабатывает.
Записан
Жизненно важный ингредиент успеха — это не знать, что задуманное вами невозможно выполнить. М.Жванецкий
*

smart

  • Администратор
  • 6478
  • 1318 / 15
  • Хочешь сделать хорошо — сделай!
Re: Отслеживание окончания сессии.
« Ответ #5 : 18.10.2008, 23:26:47 »
Цитата: Александр Фёдоров от 18.10.2008, 22:31:50
Эксплойт может попытаться добавить комментарий от якобы пользователя только перебором id пользователей, кроме этого в таблице будет храниться только 1 временный комментарий на одного пользователя - тот, который попытались отправить.
для того, чтобы проверить, что пришедший id это идентификатор какого-то конкретного пользователя, нужно сделать запрос в базу, а это тоже потенциально узкое место для атаки...

Цитата: Александр Фёдоров от 18.10.2008, 22:31:50
Правильно ли я понимаю, что если переменная передается через post ее невозможно подменить?
зачем подменять? я сделаю у себя на компе форму, которая будет именно методом POST гнать кривые данные на компонент установленный на чужом сайте... и все... для компонента эти данные слабо будут отличаться, от пришедших с родной формы... потому как и http_referer и другие поля можно подменить...

Цитировать
Компонент не должен следить за моментом окончания сессии. Он должен отрабатывать ситуации, в которых работает, т.е. должен быть корректный алгоритм работы и в данном случае. Пока он данную ситуацию не отрабатывает.
согласен, но я пока не вижу корректно решения этой задачи... разработчики ядра не предоставляют готового решения, и с этой проблемой может столкнуться ЛЮБОЕ другое расширение...
Записан
1   Вверх
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться