Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

rss

Вы не зашли.

Объявление

#1 2012-05-23 01:39:50

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Здравствуйте, Уважаемые Специалисты! :) Возможно спрашиваю глупость, вы уж извините...

Я простой пользователь без углублённых знаний программирования. Выбрал NGCMS по причине её гибкости и быстроты.
Но вот понемногу начинаю впадать в депрессию, изучая обновления в виде Changeset-ов :)

Я так понимаю, что некоторые из них крайне важны. Но как их применить - не совсем понимаю...
Например, залез в 998, а там идёт сравнение с 970... Захожу в 970, а там идут сравнения с 957 и 966... И так далее.
В общем, если "простой смертный", как я, будет разбираться со всеми чейнджсетами начиная с 880, то это легче застрелиться... :)

В связи с этим такой вопрос:

Можно ли выложить на сайте ngcms.ru (или на форуме) информацию о том, как быстро применить к версии 0.9.3 Release [SVN880+FIX01] следующие важные обновления:

- Исправление потенциальной уязвимости при редактировании новостей (добавлен токен безопасности)
- Восстановление работоспособности раздела "Управление базой данных"
- Добавление к кукам безопасности флага "httpOnly", против воровства авторизационной cookie через обнаруженные XSS уязвимости
- Устранение XSS уязвимости при удалении новости

Отредактированно cmsTester (2012-05-23 20:20:19)

Неактивен

 

#2 2012-05-23 13:27:04

Knopik
Пользователь
Откуда: ufa
Зарегистрирован: 2009-10-14
Сообщений: 331
Рейтинг :   55 
Профиль  Вебсайт

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, на форуме уже была информация об этом.
в 2х словах выглядит так:
устанавливаешь двиг, проходишь сюда (плагины отдельно тут), внизу страницы жмем на
http://photoload.ru/data/73/a2/37/73a23775de848f7c7b36286dc900ac28.png
на след странице видим
http://photoload.ru/data/ba/50/17/ba50170b6202f0ef091e8c65d5c95d7f.png
меняем поля так
From: /ngcms/trunk at revision: 880
To: /ngcms/trunk at revision: N (где N номер ChangeSet'а до которого нужно обновиться)
На след странице будут показаны все изменения в промежутке от 880 до N ChangeSet'а
спускаемся вниз, там 2 ссылки
http://photoload.ru/data/0b/d2/df/0bd2dfbbe6d8fc6551ea5f54fea27eeb.png
кликаем по Zip Archive и сохраняем архив с измененными файлами. Закачиваем по верх старых файлов, соглашаемся на замену.
profit
Но есть нюансы, например изменения структуры базы данных или ещё что нибудь (например запустить upgrade.php / выключить-включить плагин и тд), по этому нужно смотреть каждый комментарий к ChangeSet'ам.

Неактивен

 

#3 2012-05-23 13:36:27

infinity237
Модератор
Откуда: Russia, Moscow
Зарегистрирован: 2008-11-09
Сообщений: 2674
Рейтинг :   175 
Профиль  Вебсайт

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Только не обежайтесь потом, что ничего не работает. xD

Неактивен

 

#4 2012-05-23 13:39:59

easmik
Модератор
Откуда: Анталья
Зарегистрирован: 2011-02-01
Сообщений: 1005
Рейтинг :   37 
Профиль  Вебсайт

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

infinity237, я сегодня поставил из SVN версии движку, еще активно не юзал, но при установке где расписывается процесс установки двига, в низу должна быть кнопка перейти по это ссылке (и попадаешь в админку) но в новом дизайне кнопки не было, просто такое ощущение что строки куда то убежали за видимость блока. Может косяк браузера (FireFox 12) или просто кнопку забыли smile


Все сайты, что могут быть сделаны на ng cms, должны быть сделаны на ng cms.

Расширив границы сознания, мы открываем новые горизонты жизни.

Неактивен

 

#5 2012-05-23 20:41:00

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

Knopik, спасибо! Пойду разбираться...

Ой, чуть не забыл... Вот насчёт "Восстановление работоспособности раздела "Управление базой данных""
А что именно неработоспособно в этом разделе в версии 0.9.3 Release [SVN880+FIX01]?
Пока что я только в интерфейсе этого раздела заметил отличия от версии 0.9.2 Release [SVN646] - нет столбиков "Операции с таблицами".
Это единственное отличие, или есть ещё сюрпризы, которые смогут помешать, например, переехать или обновиться в будущем?

infinity237 написал:

Только не обежайтесь потом, что ничего не работает. xD

Уже страшно... Желание модернизации начинает испаряться :) Лучше б я это не читал :D

P.S. Прошло 30 минут... Посмотрел я на всё на это, что посоветовал мне Knopik...
Замечание от infinity237 стало как-то очень убедительным ))) И вообще... Это я полгода буду разбираться, если не больше :D
Скорее всего буду ждать следующего релиза. Ибо при таком раскладе я так обновлюсь, что потом "костей не соберёшь"...

Надеюсь за это время какой-нибудь хакер не вскроет мне сайты через все незаштопанные уязвимости :D

Отредактированно cmsTester (2012-05-23 21:32:22)

Неактивен

 

#6 2012-05-23 22:23:16

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

Неактивен

 

#7 2012-05-23 23:06:19

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

vitaly написал:

cmsTester, в релизе проблемы не было. Она появилась в процессе разработки и была быстро устранена в ближайших ChangeSet'ах

Это касательно чего?

Касательно работоспособности раздела "Управление базой данных" или касательно уязвимостей?

Или и того и другого?

Если вообще не было проблем, то получается, что я просто всё не так понял...
А зачем же тогда Knopik меня так далеко послал? :)))))

Неактивен

 

#8 2012-05-23 23:19:13

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, проблем не было в разделе "Управление базой данных", уязвимости были.

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.
Остальные в большей мере чисто теоретические.

Неактивен

 

#9 2012-05-23 23:39:51

cmsTester
Пользователь
Откуда: Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

vitaly написал:

В принципе самой опасной из них была XSS уязвимость при удалении новости, добавленной недоверенным пользователем.

А если администратор удаляет свою же новость? В этом случае образование XSS уязвимости не грозит?

Отредактированно cmsTester (2012-05-23 23:42:54)

Неактивен

 

#10 2012-05-24 01:37:35

vitaly
Администратор
Откуда: Россия
Зарегистрирован: 2008-10-08
Сообщений: 2785
Рейтинг :   115 
Профиль

Re: Важнейшие обновления для версии 0.9.3 Release [SVN880+FIX01].

cmsTester, только если администратор сам в заголовок своей же новости положит JS код для воровства cookie.. smile

Неактивен

 

Board footer

Powered by FluxBB

[ Generated in 0.008 seconds, 16 queries executed ]