Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не зашли.

#1 2012-05-23 01:39:50

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Здравствуйте, Уважаемые Специалисты! :) Возможно спрашиваю глупость, вы уж извините...

Я простой пользователь без углублённых знаний программирования. Выбрал NGCMS по причине её гибкости и быстроты.
Но вот понемногу начинаю впадать в депрессию, изучая обновления в виде Changeset-ов :)

Я так понимаю, что некоторые из них крайне важны. Но как их применить - не совсем понимаю...
Например, залез в 998, а там идёт сравнение с 970... Захожу в 970, а там идут сравнения с 957 и 966... И так далее.
В общем, если "простой смертный", как я, будет разбираться со всеми чейнджсетами начиная с 880, то это легче застрелиться... :)

В связи с этим такой вопрос:

Можно ли выложить на сайте ngcms.ru (или на форуме) информацию о том, как быстро применить к версии 0.9.3 Release [SVN880+FIX01] следующие важные обновления:

- Исправление потенциальной уязвимости при редактировании новостей (добавлен токен безопасности)
- Восстановление работоспособности раздела "Управление базой данных"
- Добавление к кукам безопасности флага "httpOnly", против воровства авторизационной cookie через обнаруженные XSS уязвимости
- Устранение XSS уязвимости при удалении новости

Изменено cmsTester (2012-05-23 20:20:19)

Не в сети

#2 2012-05-23 13:27:04

Knopik
Разработчик
Откуда ufa
Зарегистрирован: 2009-10-14
Сообщений: 353
Рейтинг :   62 
Сайт

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, на форуме уже была информация об этом.
в 2х словах выглядит так:
устанавливаешь двиг, проходишь сюда (плагины отдельно тут), внизу страницы жмем на
73a23775de848f7c7b36286dc900ac28.png
на след странице видим
ba50170b6202f0ef091e8c65d5c95d7f.png
меняем поля так
From: /ngcms/trunk at revision: 880
To: /ngcms/trunk at revision: N (где N номер ChangeSet'а до которого нужно обновиться)
На след странице будут показаны все изменения в промежутке от 880 до N ChangeSet'а
спускаемся вниз, там 2 ссылки
0bd2dfbbe6d8fc6551ea5f54fea27eeb.png
кликаем по Zip Archive и сохраняем архив с измененными файлами. Закачиваем по верх старых файлов, соглашаемся на замену.
profit
Но есть нюансы, например изменения структуры базы данных или ещё что нибудь (например запустить upgrade.php / выключить-включить плагин и тд), по этому нужно смотреть каждый комментарий к ChangeSet'ам.

Не в сети

#3 2012-05-23 13:36:27

infinity237
Модератор
Откуда Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2,674
Рейтинг :   176 
Сайт

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Только не обежайтесь потом, что ничего не работает. xD

Не в сети

#4 2012-05-23 13:39:59

easmik
VIP забанил этого пользователя.
Зарегистрирован: 2011-02-01
Сообщений: 1,030
Рейтинг :   37 

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

infinity237, я сегодня поставил из SVN версии движку, еще активно не юзал, но при установке где расписывается процесс установки двига, в низу должна быть кнопка перейти по это ссылке (и попадаешь в админку) но в новом дизайне кнопки не было, просто такое ощущение что строки куда то убежали за видимость блока. Может косяк браузера (FireFox 12) или просто кнопку забыли smile

Не в сети

#5 2012-05-23 20:41:00

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Knopik, спасибо! Пойду разбираться...

Ой, чуть не забыл... Вот насчёт "Восстановление работоспособности раздела "Управление базой данных""
А что именно неработоспособно в этом разделе в версии 0.9.3 Release [SVN880+FIX01]?
Пока что я только в интерфейсе этого раздела заметил отличия от версии 0.9.2 Release [SVN646] - нет столбиков "Операции с таблицами".
Это единственное отличие, или есть ещё сюрпризы, которые смогут помешать, например, переехать или обновиться в будущем?

infinity237 пишет:

Только не обежайтесь потом, что ничего не работает. xD

Уже страшно... Желание модернизации начинает испаряться :) Лучше б я это не читал :D

P.S. Прошло 30 минут... Посмотрел я на всё на это, что посоветовал мне Knopik...
Замечание от infinity237 стало как-то очень убедительным ))) И вообще... Это я полгода буду разбираться, если не больше :D
Скорее всего буду ждать следующего релиза. Ибо при таком раскладе я так обновлюсь, что потом "костей не соберёшь"...

Надеюсь за это время какой-нибудь хакер не вскроет мне сайты через все незаштопанные уязвимости :D

Изменено cmsTester (2012-05-23 21:32:22)

Не в сети

#6 2012-05-23 22:23:16

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

Не в сети

#7 2012-05-23 23:06:19

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

vitaly пишет:

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

Это касательно чего?

Касательно работоспособности раздела "Управление базой данных" или касательно уязвимостей?

Или и того и другого?

Если вообще не было проблем, то получается, что я просто всё не так понял...
А зачем же тогда Knopik меня так далеко послал? :)))))

Не в сети

#8 2012-05-23 23:19:13

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, проблем не было в разделе "Управление базой данных", уязвимости были.

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.
Остальные в большей мере чисто теоретические.

Не в сети

#9 2012-05-23 23:39:51

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

vitaly пишет:

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.

А если администратор удаляет свою же новость? В этом случае образование XSS уязвимости не грозит?

Изменено cmsTester (2012-05-23 23:42:54)

Не в сети

#10 2012-05-24 01:37:35

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, только если администратор сам в заголовок своей же новости положит JS код для воровства cookie.. smile

Не в сети

Подвал раздела

Работает на FluxBB