Programování, tvorba webu

V pátek byly uvolněny nové verze hned několika komponent pro .NET Framework od společnosti Xceed Software Inc. Sám některé tyto komponenty používám ve svých programech, např. v zálohovacím Copy2Backup. Novinek je opravdu hodně a myslím, že stojí za pozornost. Na co se tedy můžete těšit?

Nedávno uvolněný Drupal 5 se potýká s několika bezpečnostními problémy, které se nevyhnuly ani starší generaci 4.7.x. Vysoce kritický problém způsobuje, že uživatelé s možností psát a odesílat komentáře mohou do svých příspěvků vložit kód, který bude následně spuštěn. Řešením je okamžité zakázání komentářů, resp. aktualizace na novou verzi. Podrobnosti viz příslušná zpráva.

Poslední dobou mám často co do činění s redakčním systémem Drupal, který lze s úspěchem využít k postavení nejrůznějších webových stránek. Hned po vynikající optimalizaci pro vyhledávače (SEO), považuji za nejvýznamnější vlastnost Drupala snadnou správu a tvorbu témat vzhledu. Každé téma obsahuje systém šablon, což jsou soubory PHP, ve kterých vhodně umístíte jednotlivé prvky webu do HTML stránky. Tvorba šablon není složitá, nicméně pokud si někdo bude chtít práci ulehčit, může využít pomůcky v podobě "vizuálního návrháře" témat pro Drupal.

Publikační systém Drupal se dočkal páté, novinkami prošpikované verze. Vývoj trval osm měsíců a změna hlavního čísla verze ještě déle, neboť Drupal 4 byl uvolněn v roce 2002. Stovky vývojářů pracovali na doplnění více jak tisícovky úprav. Změn se dočkala administrační část, přibyly nové funkce pro práci s obsahem, webový instalátor, vylepšeno bylo také API, atd. Vývojáře bude zajímat vestavěná podpora jQuery JavaScript library, která mimo jiné umožňuje snadné použití AJAXu.

Nejnovější bezpečností hlášení z komunity okolo Drupalu se týká modulu CVS management/tracker a je označeno jako méně kritické. Tento modul není součástí jádra Drupalu, takže aktualizovat budou jen ti, kdo jej používají. Problém opět spočívá v XSS.

Pokud používáte na svém webu CMS systém Drupal, pak byste měli věnovat pozornost novým bezpečnostním informacím. Podle zpráv DRUPAL-SA-2006-025 a DRUPAL-SA-2006-026 trpí jádro systému dvěma více a méně kritickými problémy.

Včera v noci se objevily dvě bezpečnostní zprávy týkající se XSS zranitelnosti drupalovských modulů Site Profile Directory a Search Keyword (viz zmínka na mém webu). Problémy jsou označeny jako méně a středně kritické. Oba problémy jsou způsobeny nedostatečnou kontrolou na výstupu a mohou vést až ke získání práv administrátora webu.

Používáte ve Windows open source grafický editor GIMP a rádi byste s ním otevírali zapouzdřené postscriptové soubory EPS? GIMP to zvládne, jenom je potřeba mu trošku pomoci. Tak, jak je u open source softwaru zvykem, i v tomto případě si budete muset dopomoci další aplikací.

Připravil jsem jednoduchý dotazník. Budu rád, když se anonymně vyjádříte k tomu, co se vám na zálohovacím programu Copy2Backup líbí/nebílí, a co byste změnili.

A máme tu další zprávu o bezpečnostních problémech modulů pro CMS systém Drupal. Stejně jako v mnoha minulých případech, i tentokrát jde o XSS zranitelnost. Týká se modulu Userreview, takže není nutné aktualizovat celý systém. Chyba je označena jako méně kritická.

Problém v modulu Pathauto se týká XSS zranitelnosti, které lze docílit speciálně upraveným odkazem. Bezpečnostní problém je o to vážnější, že za určitých situací může útočník získat administrátorská oprávnění.

Další bezpečnostní oznámení, které poslal Drupal Security Team, se týká zranitelnosti v podobě SQL injektáže a XSS v modulu Easylinks. Zmíněné chyby může útočník zneužít díky nedostatečnému ošetření vstupu a výstupu.

E-commerce je povedený modul pro publikační systém Drupal. S tímto modulem máte možnost vytvořit z drupalovského webu elektronický obchod se vším všudy. Dnes byla oznámena XSS zranitelnost v tomto modulu, která byla označena jako méně kritická. Provést ji mohou uživatelé s oprávněním pro vkládání nových produktů do prodeje.

Stahovat můžete novou verzi grafické nadstavby pro kompresor UPX. Maxiorel GUI4UPX 2.1 řeší problém se zpracováním některých souborů obsahujících v názvu nebo v cestě mezeru. Funkce pro vytváření dávkových souborů BAT nebyla touto chybou ovlivněna.