Василий Наумкин

Привет, друзья!

Мы продолжаем бороться за звание лучшего хостинга для MODX Revolution и сегодня выкатываем очередное обновление: теперь вы можете менять системные директории прямо из панели управления:
— core
— connectors
— и manager

Причём, менять их можно сколько угодно и даже генерировать случайным образом — чтобы взломщикам было веселее угадывать.

• 
• 

Привет, друзья! Представляю вам сильно переписанный компонент для авторизации через сторонние сервисы.

— Весь код отформатирован в PSR-2

— Библиотека HybridAuth обновлена до последней версии 2.8.2. И обновление и подключение работают теперь через composer, что сильно упрощает дальнейшее обслуживание.
Код библиотеки больше не хранится в моём репозитории на GitHub и никаких правок я в него не вношу.

— Некоторые провайдеры теперь требуют версию PHP не ниже 5.4, например facebook*.

Привет, друзья!

Как кто-то возможно помнит, в январе я рассказывал про создание сайта vrmedia.tv, на котором использовалась авторизация через мобильные телефоны. Тогда я написал для этого отдельный контроллер и много чего захардкодил.
И вот, спустя почти год, наконец-то дошли руки включить этот функционал в базовую поставку Office.

Теперь у нас есть новая системная настройка office_auth_mode, которая может быть в двух положениях: email или phone.
При переключении настройки в режим телефона email становится не нужен: регистрация, авторизация и сброс пароля работают через отправку sms сообщений.

Ситуация такая: очень хорошие друзья просят меня сверстать баннер (а, может, и сразу два) на HTML5. Если кто не знает, это баннеры, которые анимируются не на Flash, а на Javascript + SVG.

Помимо отказа от древнего флэша, такие баннеры еще и адаптивные (то есть, подстраиваются под размер экрана), и меньше жрут батарейку мобильных — что очень хорошо в наше время.

Исходные изображения есть, ТЗ во вложении, вот и пример уже готового баннера, можно посмотреть исходник — там всё включено: и скрипты, и картинки.
Нужен только человек, который умеет делать такие баннеры. Лично у меня времени (да и желания) осваивать еще и это совсем нет.

От вас стоимость и сроки. Если всё будет хорошо — отдам вам потом контакты заказчика, будете работать напрямую.

Привет, друзья! У меня для вас отличная новость!

Команда MODX работала всю ночь не покладая рук, чтобы подготовить для нас срочный выпуск MODX 2.5.2, закрывающий все известные на сегодня уязвимости.

• Скрыты критичные системные настройки [#13170]
• Запрет возможности локального подключения файлов (LFE) [#13177]
• Запрет возможности подмены пути при запуске $modx->runProcessor [#13176]
• Запрет неавторизованного доступа к процессорам [#13175]
• Запрет подмены пути в параметре action объекта modConnectorResponse [#13173]
• Запрет слепой SQL инъекции при получении xPDOObject [подробности]

Привет, друзья! Настало время подвести некоторые итоги по новости недельной давности.

Если кто не в курсе, в xPDO, а соотвественно, и в MODX обнаружилась уязвимость, позволяющая проводить слепые SQL инъекции и ломать сайты. Точнее как, обнаружилась… Всегда там была, и кому нужно — давно это знали.

Суть в том, что при получении объекта xPDO можно указать вторым параметром любую строку, и она не фильтруется.

$modx->getObject('modResource', 'тут любой SQL код')

Этот код выполнит произвольный SQL запрос, потому что «фича, а не бага».

Правда, про эту фичу нет ни слова в документации, где говорят только о

The criteria can be a primary key value, an array of primary key values (for multiple primary key objects) or an xPDOCriteria object.

и никаких сырых SQL выражений.

Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.

От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.

Первое — случайный префикс при создании нового сайта.

Привет, друзья!

Для обновления доступна новая версия pdoTools, в которой обновлён сам Fenom, добавлена пара функций, а также исправлена одна серьёзная недоработка.

А теперь подробнее.

Привет друзья, у нас свежие новости:

1. Сервис растёт, место заканчивается, так что мы запустили новый сервер на площадке Selectel в Москве — h7.modhost.pro (да-да, это уже седьмой сервер!).

2. В связи с участившимися вопросами о больших тарифах, сделали еще 2: «Максимальный x2» (32 Gb SSD) и «Максимальный x4» (64 Gb SSD). Все параметры такие же как у «Максимального», только больше места на диске.

Если вы давно мечтали переехать в Москву — вот ваш шанс!

Честно говоря, я вовсе не мастер русского языка, в школе перебивался с тройки на четвёрку. Но то, что я вижу в наших комментариях, просто приводит в уныние.

Давайте постараемся писать хоть немного грамотнее, всего несколько пунктов.

1. Самое наболевшее: тся\ться. Настолько всем надоело, что даже запустили отдельный сайт.

Ь ставится:

— В неопределённой форме глагола (инфинитиве): умывать(ся), беречь(ся).
— В окончании 2-го лица единственного числа настоящего или будущего времени: умываешь(ся), бережёшь(ся).
— После согласных (кроме «й» и «г» – ляг(те)) в формах повелительного наклонения: исправь(те).
— В возвратной частице (суффиксе), стоящей после гласного звука: вернусь, вернитесь, вернулись, вернувшись.

В остальных случаях в глагольных окончаниях ь не ставится: он пошёл умываться, но: он умывается