ShvetsGroup

 

Советы и рецепты

  • Аватар пользователя neochief
4 комментария

Оптимизируем Друпал: Видимость блоков

Для больших друпаловских сайтов обычная вещь иметь большое количество регионов для блоков. Разные регионы для разных разделов тоже частая практика. В общем случае, вы имеете шаблон главной страницы (page-front.tpl.php), где вы водите большую часть разнообразных регионов, и шаблон рядовых страниц, где количество регионов не так велико (page.tpl.php)...

Чем это чревато »

  • Аватар пользователя neochief
0 комментариев

Модуль «Форма комментариев поверх комментов»

Давеча создал небольшой модуль для решения распространенной проблемы расположения формы коментариев поверх ветки самих комментариев. Модуль полезен, если вы хотите сделать аналог «стены» ВКонтакте или такую форму как на last.fm.

Ссылка на модуль — Comment form above comments.

Если вы не разработчик, дальше читать не обязательно (но интересно).

Особенности «вклинивания» в модуль комментариев »

  • Аватар пользователя neochief
0 комментариев

SMTP relay или что делать если ваш сервер попал в email-блеклист

Если вдруг невинные письма с вашего сайта начали повально попадать в spam-боксы почтовиков, это может означать, что IP вашего сервера попал в email-блеклист. Вероятность этого возрастает, если у вас не свой собственный сервер. Примерный сценарий попадения в блеклист таков:

  • Юрий Иванович, директор небольшой студии танцев, имеет сайт "по соседству" с вами (читай, на том же сервере). В один прекрасный момент, Юрий Иванович узнает о чудесных перспективах email-маркетинга и рассылает пачку из двадцати тысяx писем с однотипной рекламой своей студии.
  • Или же, Вася Попов, не пользующийся антивирусом, но любящий старые версии Total Comander, апдейтит свою домашнюю страничку по FTP. В один прекрасный момент, спящий ранее троян, похищает пароли к Васиному FTP (которые лежат незащищенные в папке Total Comander). На следующий день, Васина домашня страничка уже отсылает десятитысячное предложение о покупке виагры.
  • Или же, Петя Твердохлебов, который имеет рядом сайт на Друпале версии 5.0 и думает что обновления это "от лукавого", в очередной солнечный день ловит XSS уязвимость и начинает, сам не зная того, отсылать рекламу потенциальным покупателям penis-enlargment pills.

Что делать в таких случаях? »

  • Аватар пользователя neochief
0 комментариев

Twitter, трекбеки и подписка

В этот день, 4 апреля (4.04) все вебмастера планеты отмечают профессиональный праздник. И прежде чем самому предаться празднованию, я хотел бы поздравить всех вас, друзья, и рассказать о нескольких вещах, которые касаются меня и этого сайта в частности.

Twitter

Примерно с середины зимы, в шапке сайта наблюдательный человек мог увидеть некую птичку. Эта птичка ведет на мой twitter аккаунт. Вероятно, для многих этот сервис уже известен, однако я упомяну еще раз вкратце что это такое, в чем его преимущества и польза для рядового друпалера.

Twitter — это сервис микро-блоггинга. «Микро» означает то, что ваша мысль должна быть крайне лаконична и уложиться в 140 символов. Вокруг этого ограничения и построены все плюсы микро-блоггинга. Теперь, чтобы о чем-то сообщить людям, не нужно тратить полдня на написания обширных постов. Кроме того, лента твиттера крайне часто просматривается конечным пользователем (по собственному опыту говорю), что обеспечивает крайне быструю обратную связь с вами.

Продолжение о твиттере, трекбеках и остальном

  • Аватар пользователя neochief
0 комментариев

Безопасный код: Работа с пользовательским вводом

Наверняка, XSS атаки остаются самыми популярными наравне с SQL инъекциями. Их принцип прост до безобразия, а последствия разнятся от невинного коверканья вывода страниц до получения злоумышленником полного контроля над сайтом.

Простейший пример XSS атаки:

  • Вова создает частицу контента на сайте Пети.
  • Когда Маша просматривает этот контент, Вовин XSS ворует Машины куки.
  • Теперь Вова может пробраться на сайт, используя Машину сессию.
  • Чем более людей увидит этот контент, тем более успешной можно считать атаку. Максимум достигается путем создания противоречивых холиварных тем на сайте и т.д.

Другие атаки и методы защиты »

  • Аватар пользователя neochief
0 комментариев

Безопасный код: Работа с базой данных

Друпал предоставляет свои средства для доступа к базе данных.

Во-первых, это позволяет не зависеть от конкретного типа СУБД. На сегодняшний момент полностью функционирует прослойка для MySQL и PostgreeSQL. В седьмом Друпале этот список будет расширен Ораклом и SQLite.

Во-вторых, прослойка позволяет защититься от SQL инъекций.

Поехали »

  • Аватар пользователя neochief
0 комментариев

Безопасный код: Подделка межсайтовых запросов (CSRF)


Поводом к написанию этой статьи послужило нахождение мною уязвимости в одном довольно известном модуле. Так как по правилам обнаружения уязвимостей, я пока не вправе распространяться о деталях, то расскажу об уязвимости в общих чертах, а также о методах борьбы с ней.

Итак, подделка межсайтовых запросов (анг. Сross Site Request Forgery, или, сокращенно, CSRF): что это такое и с чем его едят.

CSRF — это вид атак на посетителей веб-сайтов, использующий недостатки протокола HTTP. Если жертва заходит на сайт, созданный злоумышленником, от её лица тайно отправляется запрос на другой сервер (например, на сервер платёжной системы), осуществляющий некую вредоносную операцию (например, перевод денег на счёт злоумышленника). Для осуществления данной атаки, жертва должна быть авторизована на том сервере, на который отправляется запрос, и этот запрос не должен требовать какого-либо подтверждения со стороны пользователя.

Данный тип атак, вопреки распространённому заблуждению, появился достаточно давно: первые теоретические рассуждения появились в 1988 году, а первые уязвимости были обнаружены в 2000 году.

Одно из применений СSRF — эксплуатация пассивных XSS, обнаруженных на другом сервере. Так же возможны отправка спама от лица жертвы и изменение каких-либо настроек учётных записей на других сайтах(например, секретного вопроса для восстановления пароля).

Пример и метод лечения »

  • Аватар пользователя neochief
0 комментариев

10 шагов к постижению форм в Друпале

Этот урок создан специально для начинающих и средне-продвинутых Друпал-разработчиков. Он должен быстро дать понятие об азах Forms API, а также показать возможность создаия более сложных вещей на примере пошаговых форм (№8).

Когда я только начинал подготовку этого урока, у меня был соблазн поставить под каждым куском кода ссылку для скачивания готового примера, но в послествии, я отказался от этого. Будет намного полезнее, если вы сами будете вставлять код в свои модули, тестируя и набираясь опыта в реальных условиях.

И прежде чем начать, я расскажу вам как все-таки заставить любой из этих кусков кода работать. Предположим, вы уже имеете установленный тестовый сайт на Друпал 6. Вам прийдется проделать следующие действия:

  1. Создать новую директорию в sites/all/modules, например my_module
  2. Создать файл my_module.info в директории my_module, содержащий это:
  3. name = My module
    description = Module for form api tutorial
    core = 6.x
  4. Создать файл my_module.module. Полностью скопировать отсюда первый пример и вставить в my_module.module.
  5. Включить модуль "My module" на странице модулей (admin/build/modules).
  6. Перейти на страницу my_module/form для запуска кода.
  7. Далее вам предстоит провести для каждого примера, полную замену содержимого my_module.module на код последующего примера. Не забывайте после этого переходить на страницу my_module/form для того, чтобы увидеть результаты своей работы.

А дальше куча кода, поэтому вам лучше открыть статью полностью.

  • Аватар пользователя neochief
0 комментариев

Типограф для TinyMCE

Рад представить единственный в своем роде типограф для TinyMCE. Типограф использует PHP библиотеку от rmCreative для обработки текста. Внешние сервисы не используются, все происходит на локальном сервере.

Плагин предоставляет кнопку, при нажатии которой, появляется диалог типографа. В нем вы можете просмотреть обработанный текст, а также внести быстрые правки к исходный вариант.

  • Аватар пользователя neochief
0 комментариев

AJAX комментарии

Буду краток — я их таки отрелизил.

Если вы этого давно ждали и вас переполняет радость, вы можете конвертировать свою благодарность на кошелек Z739117869357. В предверие нового года обещаю потратить эти деньги только на веселье и выпивку :D

В любом случае, можете активно коментировать это событие, так как эта страница станет ссылкой-demo-версией на drupal.org.

Всем большое спасибо.

Страницы

Subscribe to Советы и рецепты