Это обновление безопасности для PHPFox v3.x. 

Запуск на PHPFox v3.7.1

Если вы работаете с PHPFox v3.7.1, нужно скачать патч patch3.7.1build3.zip [21,66 Kb] (cкачиваний: 76) . Вам нужно распаковать и загрузить папки, находящиеся внутри "upload/" в корневую папку PHPFox. Убедитесь, что были перезаписаны старые файлы. Следующие файлы будут заменены. 

• module/share/include/component/ajax/ajax.class.php 
• module/captcha/include/component/ajax/ajax.class.php 
• include/library/phpfox/image/helper.class.php 
• include/library/phpfox/phpfox/phpfox.class.php

 

Запуск на прошлых версиях PHPFox

Мы рекомендуем вам обновиться до последней версии PHPFox. Чтобы узнать больше о том, как обновить, посмотрите эту статью. Или же вы можете установить этот патч вручную, следуя инструкциям здесь. 

Ранее мы создали запрос на исправление проблемы с русским языком в phpFox, которая существует с начала разработки phpFox. 

Сегодня стало известно, что проблема будет окончательно решена к phpFox 3.6.1 

Статус заявки, которую мы ранее размещали, значится в состояние Исправлено (This case has been marked as "Fixed"), версия 3.6.0. 

В понедельник мы планируем проверить данное исправление на работоспособность и было ли оно включено в последний релиз, вы можете проверить уже сейчас и сообщить в комментариях ниже, что вышло из нашей заявки.

 

Дополнительно:

Ревизия 6145 для 3.6.1 RC1
Чтобы исправить откройте файл /module/quiz/include/service/callback.class.php
В этом файле найдите функцию getSqlTitleField и измените ее так, чтобы это было как здесь:
http://pastebin.com/fanZk1bn 
После этого вам нужно "Изменить название" через AdminCP. 

Спасибо всем, кто поддержал заявку. 

Существуют такие вещи, которые должны исправляться только разработчиками, чтобы исправление было официальным, поставлялось со всеми новыми версиями и была поддержка со стороны разработчика.

У phpFox есть одна такая проблема, это работа с русским символами. По причине некорректной обработки этих символов, их сохранение происходит в базу данных в HTML-кодах для Юникода (unicode) (таблицу символов можно посмотреть здесь), а после начинаются проблемы с выводом, то символ неизвестный, а то и предложение обрезалось.

Решение проблемы лежит в активном давление на разработчика с помощью поддержки запроса, который создан по этой проблеме.

Поддержите и вы, этот запрос для скорейшего получения официального решения проблемы с русским языком в phpFox.

Russian language does not work

SocialEngine 4.2.8 теперь доступен для загрузки . В этой версии обновлена лента активности и TinyMCE редактор. На следующей неделе появится информация о релизе SocialEngine 4.2.9 так что вы сможете увидеть, что будет дальше. Вот полный список изменений в SE 4.2.8.

Основные характеристики:

-TinyMCE редактор - обновлен везде где используется. Также был добавлен в новых областях.
-Обновлена лента активности, теперь она более удобная и лучше обновляется.

Исправлены ошибки:
-Участники события могут удалить фотографии.
-Если нажать "Нравится" во время воспроизведения видео, оно не будет прерываться.
-Во время регистрации, выбирая платную подписку происходит переход на страницу оплаты.
-Исправления в настройках почты.

Пишите нам по любым вопросам, или оставьте нам комментарий на форуме или здесь, спасибо!

Состоялся новый релиз SocialEngine PHP 4.2.7.

Основные характеристики:

-Решена проблема с уязвимостью XSS в видео-тегах и полях профиля.
-Приватные элементы теперь скрыты на просмотра для плагинов. Ранее такие элементы, как фотографии были видны на этих страницах, даже если были отмечены как скрытые.
-Теперь можно дублировать страницы при создании новой страницы. Мы также сделали то же самое для групп пользователей.
-Исправлена ошибка с обновлением фраз для перевода, улучшен RSS виджет и алфавитные категории в поиске.

Есть вопросы? Оставьте нам комментарий ниже или свяжитесь с нами на форуме.

С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений.

Должен признаться, что чтение комментариев на Хабре к практически любым постам, описывающим очередную XSS на каком-либо популярном сервисе или сайте, способно повергнуть в уныние любого, кто так или иначе связан с безопасностью веб-приложений. С учетом распространенных среди разработчиков мифов и заблуждений о межсайтовом выполнении сценариев, нет ничего удивительного в том, что он и по сегодняшний день входит в число наиболее распространенных проблем безопасности веб-приложений: согласно данным отчета Positive Technologies за 2010-2011 годы, XSS были подвержены 40% проанализированных веб-приложений, а из отчета Firehost за второй квартал 2012 года следует, что XSS составила 27% от числа зарегистрированных хостером атак.

И поскольку, заминусовать этот пост можно и за один только его заголовок, то поспешу пояснить: межсайтовое выполнение сценариев действительно не является уязвимостью, но только потому, что оно является атакой. В чем разница, почему это важно, как со всем этим бороться и какие еще мифы и заблуждения распространены об XSS — читаем под катом.