Programování, tvorba webu

Aktualizováno o videoukázku: Štěpán Bechyňský z Microsoftu mi nedávno ukázal zajímavý projekt na CodePlex (Microsoftí obdoba SourceForge). Jmenuje se My Web Pages Starter Kit. Jde o zajímavé řešení systému pro správu obsahu, které je založeno na ASP.NET. V PHP podobných projektů zadarmo existuje celá řada, včetně mého oblíbeného Drupalu. Pro ASP.NET můžete využít open source projekt DotNetNuke. Nicméně My Web Pages Starter Kit se od zmíněných projektů i od starter kitů dostupných například k Visual Web Developeru, liší v jedné věci, která jej přímo předurčuje pro doporučení začínajícím tvůrcům webu.

Včera večer jsem řešil problém s nasazením nové verze FCKEditoru 2.4 na jeden web, který pomáhám připravovat. Jedna z nových "vlastností" FCKEditoru 2.4 mi způsobila značnou bolest hlavy. Autoři se z nějakého důvodu rozhodli, že pozmění systém fungování správce souborů, který je v FCKEditou použit. Názvy předdefinovaných složek z connectorů jsou totiž automaticky převáděny na malá písmena.

V pátek byly uvolněny nové verze hned několika komponent pro .NET Framework od společnosti Xceed Software Inc. Sám některé tyto komponenty používám ve svých programech, např. v zálohovacím Copy2Backup. Novinek je opravdu hodně a myslím, že stojí za pozornost. Na co se tedy můžete těšit?

Nedávno uvolněný Drupal 5 se potýká s několika bezpečnostními problémy, které se nevyhnuly ani starší generaci 4.7.x. Vysoce kritický problém způsobuje, že uživatelé s možností psát a odesílat komentáře mohou do svých příspěvků vložit kód, který bude následně spuštěn. Řešením je okamžité zakázání komentářů, resp. aktualizace na novou verzi. Podrobnosti viz příslušná zpráva.

Poslední dobou mám často co do činění s redakčním systémem Drupal, který lze s úspěchem využít k postavení nejrůznějších webových stránek. Hned po vynikající optimalizaci pro vyhledávače (SEO), považuji za nejvýznamnější vlastnost Drupala snadnou správu a tvorbu témat vzhledu. Každé téma obsahuje systém šablon, což jsou soubory PHP, ve kterých vhodně umístíte jednotlivé prvky webu do HTML stránky. Tvorba šablon není složitá, nicméně pokud si někdo bude chtít práci ulehčit, může využít pomůcky v podobě "vizuálního návrháře" témat pro Drupal.

Publikační systém Drupal se dočkal páté, novinkami prošpikované verze. Vývoj trval osm měsíců a změna hlavního čísla verze ještě déle, neboť Drupal 4 byl uvolněn v roce 2002. Stovky vývojářů pracovali na doplnění více jak tisícovky úprav. Změn se dočkala administrační část, přibyly nové funkce pro práci s obsahem, webový instalátor, vylepšeno bylo také API, atd. Vývojáře bude zajímat vestavěná podpora jQuery JavaScript library, která mimo jiné umožňuje snadné použití AJAXu.

Nejnovější bezpečností hlášení z komunity okolo Drupalu se týká modulu CVS management/tracker a je označeno jako méně kritické. Tento modul není součástí jádra Drupalu, takže aktualizovat budou jen ti, kdo jej používají. Problém opět spočívá v XSS.

Pokud používáte na svém webu CMS systém Drupal, pak byste měli věnovat pozornost novým bezpečnostním informacím. Podle zpráv DRUPAL-SA-2006-025 a DRUPAL-SA-2006-026 trpí jádro systému dvěma více a méně kritickými problémy.

Včera v noci se objevily dvě bezpečnostní zprávy týkající se XSS zranitelnosti drupalovských modulů Site Profile Directory a Search Keyword (viz zmínka na mém webu). Problémy jsou označeny jako méně a středně kritické. Oba problémy jsou způsobeny nedostatečnou kontrolou na výstupu a mohou vést až ke získání práv administrátora webu.

Používáte ve Windows open source grafický editor GIMP a rádi byste s ním otevírali zapouzdřené postscriptové soubory EPS? GIMP to zvládne, jenom je potřeba mu trošku pomoci. Tak, jak je u open source softwaru zvykem, i v tomto případě si budete muset dopomoci další aplikací.

Připravil jsem jednoduchý dotazník. Budu rád, když se anonymně vyjádříte k tomu, co se vám na zálohovacím programu Copy2Backup líbí/nebílí, a co byste změnili.

A máme tu další zprávu o bezpečnostních problémech modulů pro CMS systém Drupal. Stejně jako v mnoha minulých případech, i tentokrát jde o XSS zranitelnost. Týká se modulu Userreview, takže není nutné aktualizovat celý systém. Chyba je označena jako méně kritická.

Problém v modulu Pathauto se týká XSS zranitelnosti, které lze docílit speciálně upraveným odkazem. Bezpečnostní problém je o to vážnější, že za určitých situací může útočník získat administrátorská oprávnění.

Další bezpečnostní oznámení, které poslal Drupal Security Team, se týká zranitelnosti v podobě SQL injektáže a XSS v modulu Easylinks. Zmíněné chyby může útočník zneužít díky nedostatečnému ošetření vstupu a výstupu.