Василий Наумкин

Привет, друзья! Настало время подвести некоторые итоги по новости недельной давности.

Если кто не в курсе, в xPDO, а соотвественно, и в MODX обнаружилась уязвимость, позволяющая проводить слепые SQL инъекции и ломать сайты. Точнее как, обнаружилась… Всегда там была, и кому нужно — давно это знали.

Суть в том, что при получении объекта xPDO можно указать вторым параметром любую строку, и она не фильтруется.

$modx->getObject('modResource', 'тут любой SQL код')

Этот код выполнит произвольный SQL запрос, потому что «фича, а не бага».

Правда, про эту фичу нет ни слова в документации, где говорят только о

The criteria can be a primary key value, an array of primary key values (for multiple primary key objects) or an xPDOCriteria object.

и никаких сырых SQL выражений.

Сегодня Николай Ланец шокировал общественность очередной мега-уязвимостью в MODX Revolution. Далеко не первой, и есть такое ощущение, что не последней.

От масштабов возможной катастрофы у меня волосы дыбом из орбит вывалились, так что пришлось бросать все дела и срочно писать новый функционал на modhost.pro.

Первое — случайный префикс при создании нового сайта.

Привет, друзья!

Для обновления доступна новая версия pdoTools, в которой обновлён сам Fenom, добавлена пара функций, а также исправлена одна серьёзная недоработка.

А теперь подробнее.

Привет друзья, у нас свежие новости:

1. Сервис растёт, место заканчивается, так что мы запустили новый сервер на площадке Selectel в Москве — h7.modhost.pro (да-да, это уже седьмой сервер!).

2. В связи с участившимися вопросами о больших тарифах, сделали еще 2: «Максимальный x2» (32 Gb SSD) и «Максимальный x4» (64 Gb SSD). Все параметры такие же как у «Максимального», только больше места на диске.

Если вы давно мечтали переехать в Москву — вот ваш шанс!

Честно говоря, я вовсе не мастер русского языка, в школе перебивался с тройки на четвёрку. Но то, что я вижу в наших комментариях, просто приводит в уныние.

Давайте постараемся писать хоть немного грамотнее, всего несколько пунктов.

1. Самое наболевшее: тся\ться. Настолько всем надоело, что даже запустили отдельный сайт.

Ь ставится:

— В неопределённой форме глагола (инфинитиве): умывать(ся), беречь(ся).
— В окончании 2-го лица единственного числа настоящего или будущего времени: умываешь(ся), бережёшь(ся).
— После согласных (кроме «й» и «г» – ляг(те)) в формах повелительного наклонения: исправь(те).
— В возвратной частице (суффиксе), стоящей после гласного звука: вернусь, вернитесь, вернулись, вернувшись.

В остальных случаях в глагольных окончаниях ь не ставится: он пошёл умываться, но: он умывается

Не знаю, новость это или нет, но событие — точно.

Домен modx-cms.ru, одно из старейших сообществ MODX в рунете, перестали оплачивать и теперь он принадлежит регистратору aab.ru. Просрочка по оплате была и в прошлом году, но в последний момент владелец сайта вернул его к жизни. В этом году — всё, modx-cms.ru окончательно погиб.

Не сказать, чтобы это было неожиданно, учитывая, что последняя заметка на главной странице была датирована 2014 годом. Но какие-то телодвижения там были, люди задавали вопросы, ждали ответы и читали старые тексты.

Команда разработчиков MODX запустила новую версию своего сайта — modx.com.

Из любопытного, что я заметил:

• На странице загрузки больше нет ссылки на MODX Evolution
• Она переехала на отдельную страницу в разделе community.
• В блоге исчезли комментарии, видимо, из-за низкой активности
• Переписан раздел профессионалов, при этом пропали все русские и белорусские разработчики.
• А вот работа с дополнениями пока осталась нетронутой. Наверное, там слишком много нужно переделывать.

В целом, сайт заметно посвежел и стал более коммерческим. Делимся, кто еще что интересного заметил.

Как вы, наверное, помните, летом я анонсировал готовность новой версии Tickets, в которой были исправлены старые недоработки и добавлен новый функционал.



Также мы попробовали собрать денег, чтобы компенсировать моё время, затраченное на эту работу.
Всю сумму не собрали, но ждать чего-то еще бессмысленно, так что сегодня я активировал новую версию в modstore.pro/tickets и выгрузил изменения на Github.

Всем удачных обновлений.

В течении нескольких месяцев принимал участие в создании инициативной группы по дальнейшему улучшению и продвижению MODX в массы — MODX Advisory Board, сокращённо MAB.

Эта группа энтузиастов, в которую входят и авторы MODX, будет заниматься стратегическим развитием системы: обсуждать дорожную карту проекта, приоритеты направлений.

Сейчас состав из 14 человек уже собран, через год будут выборы новых участников. В данный момент завершается этап оформления всей этой деятельности, конкретные дела будут позже.

Полный текст анонса на английском в официальном блоге. Внизу ссылки на разные интересные документы.

P.S. Так как список участников забыли открыть для доступа, прикладываю его отдельно.

Для обновления доступна новая версия ms2 с исправлением ошибок. Так как я ничего не анонсировал со времён rc версии, пишу здесь список изменений с того момента.


— Исправлена ошибка с перезаписью опций товара при его обновлении в таблице категории.
— Исправлена ошибка с отображением страницы товара при отключении настройки ms2_product_tab_gallery.

— [#227] Оптимизирована работа с большим количеством опций и категорий в настройках опций.
— [#228] Вроде исправлена ошибка с «передан пустой файл» в галерее на некоторых конфигурациях серверов с php 5.3
— [#230] Исправлена ошибка с невозможностью изменить выбранного производителя товара.
— [#231] Сниппет msOptions теперь передаёт id обрабатываемого товара в чанк.
— [#236] Добавлена возможность вывода колонок категории заказанного товара в окошке заказа.
— [#237] Исправлена работа метода msProductData::get('options').