Перегляд за місяцем: July 2009

 

Два дня - две встречи

Общительное CF-сообщество в очередной раз радует. За последние 2 дня, благодаря чудесам компьютерной техники и Acrobat Connect я посетил две встречи, на которых обсуждались Coldfusion 9 и Coldfusion Builder. Всегда интересно послушать лидеров движения, а с помощью технологии это можно сделать "вживую" и даже задать вопросы.

Первая встреча под эгидой CFPanel прошла во вторник. На ней обсуждался в основном Coldfusion Builder, его особенность как IDE и смещение точки зрения CF-разработчиков с текстовых редакторов на IDE. Едва-ли это относится к тем, кто использует CFEclipse, но вероятно есть достаточно много разработчиков, кому до сих пор достаточно простого редактора и характер работы не ставил требований к инструментарию. Для них и было организовано обсуждение. Также товарищи поговорили о Coldfusion-сообществе и поотвечали на вопросы (например, сколько должен стоить Coldfusion Builder). Запись встречи (около часа) имеется и находится тут.

Вторая встреча проводилась от европейского Coldfusion 9 Insider Club. Докладчик Терри Райан (Terry Ryan) сначала немного рассказал о просветительских планах Adobe в Европе - Scotch on the Road и Coldfusion Box и о том как хорошо быть Coldfusion разработчиком сейчас. Затем Терри перешел к непосредственно Coldfusion 9 - рассказал о Coldfusion as a Service (на примере генерации PDF из Flex-приложения с помощью Coldfusion), о новых UI-фичах в CF9 (ExtJS, maps, media player и др), об интеграции с MS/Open Office (cfdocument, cfspreadsheet), интеграции в корпоративной среде (Sharepoint, Solr, IMAP). Не обошли стороной и "обычные" темы для разговора - развитие языка CFML, ORM и кеширование. Запись собственно встречи (1.5 часа) находится тут.

CF-сообщество щедро снабжает любознательных разработчиков информацией, иногда мне кажется, информации даже слишком много. Это говорит только о том, что Coldfusion более чем жив и развивается.

Автор: Родион Быков | Опубліковано: 30.07.2009 о 15:03 | Категорії: Adobe - Discussions - Community - News - Links -

 

Про (CF)Eclipse, ColdFusion Builder та IDE

Спочатку Бен Форта, а пізніше й Шон Корфілд розродилися обширними розповідями про IDE взагалі та IDE для ColdFusion зокрема.

Чтиво вийшло доволі цікавим, але обидві замітки підводяться під однакові висновки: CFEclipse житиме, але CF Builder will rock ColdFusion-світ.

Мені, як активному користувачеві CFEclipse, немає чого протиставити щодо загальної перспективи.

Але, як завжди є нюанси. Наприклад факт, що Adobe поки навіть не планує випускати Builder під Linux. Також незрозумілою залишається цінова політика. Якщо він коштуватиме як Flex Builder, то особисто мені така пропозиція навряд чи буде цікавою. Зокрема з тієї причини, що CF-спільнота активних розробників не така вже й велика, щоб сприймати її як джерело доходу, замість того щоб стимулювати її ріст, що є доволі принциповим питанням.

 

Винесу з коментарів першого посту пояснення Бена про перспективи CFB на Linux та PPC Mac:

...platform support is a $'s issue plain and simple. Right now the vast majority of ColdFusion developers do their work on Windows and Intel Mac, and so those are supported. (FWIW, this is in contrast to ColdFusion itself which is deployed on Windows and Linux mostly, and rarely on Mac). If there are enough requests from developers for a Linux version, and by that I mean enough to cost justify the work (yes, there is additional cost associated with any additional platform) then we'll do it, and if not then not. Thus far, there has been significant demand for Linux as a ColdFusion server platform, but far less for it as a development platform. But we'll keep watching it to see if things change.

 

 

Автор: Сергій Галашин | Опубліковано: 29.07.2009 о 07:25 | Категорії: Adobe - Discussions - ColdFusion Builder - Subjective - CFEclipse -

 

Groups: OOP in ColdFusion

Нещодавно було створено Google групу для обговорення особливостей та доцільності взагалі (це окрема гаряча тема) об'єктно орієнтованого програмування в CFML.

Там вже встигли відмітитися чимало відомих членів спільноти.

Що характерно для цієї теми, більше половини обговорень присвячено теоретичним питанням.

Автор: Сергій Галашин | Опубліковано: 27.07.2009 о 07:50 | Категорії: Discussions - OOP - Community - CFML -

 

Створення власної вбудованої функції в Railo

Що мені подобається в Railo, так це наявність зворотнього зв'язку його розробників зі спільнотою.

Вони постійно публікують інформацію про оновлення, надають приклади та обговорюють їх з CF-розробниками.

Цього разу розповіли про цікаву можливість: встановлення будь-якої UDF на рівні сервера, або віртуального хосту.

 

Автор: Сергій Галашин | Опубліковано: 26.07.2009 о 07:32 | Категорії: Railo - Tips -

 

Офіційна документація з ColdFusion 9 CFML

Поки не доступна з публічних сторінок підтримки.

За традицією, з дещо переробленим дизайном. З можливістю експорту в PDF.

Adobe ColdFusion 9 CFML Reference

Сайт №1 для CF-розробника.

Автор: Сергій Галашин | Опубліковано: 25.07.2009 о 05:48 | Категорії: ColdFusion 9 - Documentation - CFML -

 

Новини CF-OpenSource v2


ColdFusion Tracker

Компонента, що дозволяє дізнатися чимало інформації про статус поточного додатку, інших запущених додатків (active applications) та навіть всього серверу.

Mura CMS

Оновилася до версії 5.1 вільна CMS з обширним списком можливостей.

CFLogger

Оновилася нещодавно розроблена бібліотека для журналювання в стилі Log4J.

LighthousePro 2.6

Версія LighthousePro, що є прикладом додатку на Model-Glue 3.

http://pdfit.riaforge.org/pdfIT

Вийшла в бету бібліотека для маніпулювання PDF-файлами.

FW/1 - Framework One

Фреймворк на базі одного файлу від Шона Корфілда.

CouchDB for Coldfusion

Обгортка для Apache CouchDB API, на даний момент з базовими можливостями.

Ant4CF

Колекція задач Ant для автоматизації збірки та розміщення (build and deployment) ColdFusion проектів.

ColdFusion Google API

Набір компонент для організації взаємодії з різними сервісами Google через API.

ObjectToExcel

Компонента для конвертування запитів (query), або їх масивів, до Excel файлів.

 

Автор: Сергій Галашин | Опубліковано: 24.07.2009 о 05:10 | Категорії: CMS - OpenSource - RIAForge - News - Links - Components -

 

Новий проект спільноти: ColdFusion Panel

Вчора було запущено cfpanel, спробу організації більш-менш регулярних онлайн-зібрань тривалістю 30-60 хвилин для живого обговорення актуальних тем. Відбуватися це буде під керівництвом кількох поважних членів спільноти та за допомогою Adobe Connect.

Коло обговорюваних технологій не обмежуватиметься ColdFusion, хоча скоріше за все залишатиметься в рамках RIA.

За попереднім планом зібрання проводитимуться кожного вівторка 12pm EST, або о 19 за Києвом.

Координація відбуватиметься за допомогою блогу та відповідних категорій Episodes (анонси) та Episode WrapUp (звіти).

Перше зібрання, що відбудеться 28 липня, буде присвячено ColdFusion 9 та ColdFusion Builder.

 

Автор: Сергій Галашин | Опубліковано: 23.07.2009 о 04:54 | Категорії: Community - News - Meetings -

 

Презентации

Вы знали что в CF8 можно перезагрузить wsdl без доступа к CFIDE ? Или что cfdump может цфдампить в файл ? Лично я узнал об этом из презентации Чарли Арехарта (Charlie Arehart) - Скрытые жемчужины CF8 (PDF). Вполне возможно что даже работая с Coldfusion каждый день, программист может быть в плену ошибочных представлений, которые имеют корни в давних версиях CF. Против этих мифов Чарли предлагает не только презентацию "Разрушители Coldfusion легенд", но также тематический подкаст и другие материалы.

Формат презентации может показаться неинформативным - если лично не присутствовал и не слышал комментариев, PDF или PPT будет сухой выжимкой. Лично для меня это удобно - нет времени чтобы читать развернутые статьи, а такой конспект дает достаточно начальной информации.

Чарли - активный участник Coldfusion сообщества, соавтор известных книг и частый гость конференций. Рекомендую его сайт в вашу подборку ссылок.

 

Автор: Родион Быков | Опубліковано: 16.07.2009 о 20:57 | Категорії: Links -

 

ColdFusion 9 та ColdFusion Builder в публічній беті!

Нарешті це трапилося. Два довгоочікувані продукти від Adobe випущено в публічні бети.

В першу чергу мова про Coldfusion 9 (раніше відомий як Centaur). Дізнатися більше можна на сторінці продукту, також варто прочитати замітку Бена Форти Introducing Adobe ColdFusion 9 beta та переглянути кілька відезаписів по темі від того-таки Форти, та Реймонда Кемдена.

Водночас виходить Coldfusion Builder (раніше відомий як Bolt), котрому теж присвячено замітку.

Блогосфера вже починає вирувати з цього приводу, очікуємо на цікаві новини та замітки, постараємося докластися до цієї справи.

Автор: Сергій Галашин | Опубліковано: 14.07.2009 о 04:53 | Категорії: ColdFusion 9 - ColdFusion Builder - News - Links -

 

Хотфікс від Adobe для FCKEditor (APSB09-09)

Не пройшло й тижня від моменту публікації про вразливість, але Adobe розродилася швиденьким хотфіксом.

При тому всьому визнала вразливість критичною та опублікувала розлоге пояснення своєї позиції з питання.

Так чи інакше, варто скористатися нагодою та оновитися: hotfix for potential ColdFusion 8 input sanitization issue.

 

Автор: Сергій Галашин | Опубліковано: 08.07.2009 о 19:44 | Категорії: News - Security -

 

Вразливість у FCKeditor для ColdFusion 8.0.1

Серйозну вразливість було знайдено в FCKeditor, а конкретно в CF-конекторі для завантаження файлів.

Справа в тому, що в CF 8.0.1 він увімкнутий за умовчанням, що може бути використано для завантаження .cfm (а також .asp, що ) скриптів, що було описано в нещодавному повідомленні.

Тому дуже рекомендується вжити запобіжних заходів, від вимкнення конектора в налаштуваннях і до видалення завантажувача файлів, якщо ним не користуєтеся. Бо кілька сайтів вже було скомпроментовано.

Більше інформації та рекомендаці можна знайти в наступних повідомленнях:

CF8 and FCKEditor Security threat

ColdFusion 8 FCKeditor Vulnerability

Potential ColdFusion security issue (офіційна нота від Adobe з обіцянкою виправити проблему).

Автор: Сергій Галашин | Опубліковано: 04.07.2009 о 09:34 | Категорії: ColdFusion 8 - Security -

 

Найміть Community Expert працювати

Цікаве питання про роботу в галузі було підняте в пості Шона Корфілда (Sean Corfield).

Крім обговорення загальної ситуації та порад було визначено кілька причин того, чому компанії побоюються пропонувати роботу добре відомим учасникам спільноти (Community Expert в термінах Adobe).

Зокрема було сказано, що вони дуже багато часу приділяють спільноті :)

Мається на увазі, що вони багато виступають на конференціях, пишуть в блоґи/twitter, беруть участь у відкритих проектах і тому не мають часу працювати. Звісно, малося на увазі працювати повний робочий день, як це роблять "звичайні" програмісти.

Крім того, виявляється, є побоювання щодо того, що такий експерт почне навчати програмістів всіляким новим технологіям та методикам та навіть "кидати виклик" керівництву компанії в сенсі зміни принціпів управління.

І все це замість того, щоб просто радісно ковбасити код разом з колегами-програмістами ("work happily with their peers and code like a demon").

 

Мабуть, така позиція роботодавців має право на існування, хоча є й дещо спірною. Зокрема, варто подумати над тим, які позитивні рухи та оновлення може принести в компанію подібний спеціаліст. Як програміст, я б із задоволенням попрацював би в компанії такої людини, бо це дуже добрий шанс отримати гарний досвід.

На цій оптимістичній ноті започатковуємо нову категорію Subjective.

 

Автор: Сергій Галашин | Опубліковано: 02.07.2009 о 06:43 | Категорії: Blogs - Subjective - Jobs -

 

Пропозиція щодо нового OSS проекту від Hal Helms

Гол Гелмс (Hal Helms) нещодавно виніс на розгляд спільноти пропозицію розробки відкритого e-commerce рішення на базі ColdFusion та AJAX.

Долучитися до обговорення можна в його блозі, в повідомленнях Update on "Ideas" та Project Serenity.

Учасники UACFUG також розмірковують над тим, щоб долучитися до цієї, без сумнівів, корисної та цікавої ініціативи.

Автор: Сергій Галашин | Опубліковано: 02.07.2009 о 06:28 | Категорії: Blogs - OpenSource -

 

Підміна MIME типу при завантаженні .cfm файлів на сервер

Днями прокотилася хвиля серйозних порушень роботи сайтів та навіть цілих ColdFusion серверів, пов'язана з використанням вразливості, коли підміна MIME типу завантажуваного файлу дозволяла залити .cfm скрипт та виконати його.

Ось простий приклад як це можна зробити:

<cfhttp url="http://target.example.com/upload" method="post">
 <cfhttpparam file="#ExpandPath("badstuff.cfm")#"
  mimetype="image/gif"
  type="file"
  name="photo">
</cfhttp>

Така проста конструкція легко дозволяє обійти вбудовану перевірку типу:

<cffile action="upload"
  filefield="photo"
  accept="image/gif,image/jpeg"
  destination="#ExpandPath("./photos/")#">

Приклади було взято з посту Піта Фрейтаґа (Pete Freitag), в якому він наводить рекомендації щодо захисту від подібних атак.

Зокрема, можна використати вбудовані функції IsImageFile("path") (з урахуванням вже описаної проблеми) та IsPDFFile("path"), використовувати окремий сервер (простіше кажучи, окремий домен - скажімо з nginx - для швидкодії) для статичного вмісту (як то Amazon S3), користуватися можливостями Sandboxing (якщо у вас CF Enterise), відключати можливість виконання скриптів для тек завантаження та іншими методиками.

Ці та інші поради описані у вищевказаному повідомленні, також варто звернути увагу на коментарі до нього, там теж є слушні поради.

Також варто звернути увагу на аналогічне повідомлення Брента Фрая (Brent Frye), котрий зазнав серйозних неприємностей через описану проблему, тому теж уклав список порад для її обходу.

 

Автор: Сергій Галашин | Опубліковано: 01.07.2009 о 05:34 | Категорії: Blogs - Gotchas - Security -