Перегляд за місяцем: July 2009

 

Презентации

Вы знали что в CF8 можно перезагрузить wsdl без доступа к CFIDE ? Или что cfdump может цфдампить в файл ? Лично я узнал об этом из презентации Чарли Арехарта (Charlie Arehart) - Скрытые жемчужины CF8 (PDF). Вполне возможно что даже работая с Coldfusion каждый день, программист может быть в плену ошибочных представлений, которые имеют корни в давних версиях CF. Против этих мифов Чарли предлагает не только презентацию "Разрушители Coldfusion легенд", но также тематический подкаст и другие материалы.

Формат презентации может показаться неинформативным - если лично не присутствовал и не слышал комментариев, PDF или PPT будет сухой выжимкой. Лично для меня это удобно - нет времени чтобы читать развернутые статьи, а такой конспект дает достаточно начальной информации.

Чарли - активный участник Coldfusion сообщества, соавтор известных книг и частый гость конференций. Рекомендую его сайт в вашу подборку ссылок.

 

Автор: Родион Быков | Опубліковано: 16.07.2009 о 20:57 | Категорії: Links -

 

ColdFusion 9 та ColdFusion Builder в публічній беті!

Нарешті це трапилося. Два довгоочікувані продукти від Adobe випущено в публічні бети.

В першу чергу мова про Coldfusion 9 (раніше відомий як Centaur). Дізнатися більше можна на сторінці продукту, також варто прочитати замітку Бена Форти Introducing Adobe ColdFusion 9 beta та переглянути кілька відезаписів по темі від того-таки Форти, та Реймонда Кемдена.

Водночас виходить Coldfusion Builder (раніше відомий як Bolt), котрому теж присвячено замітку.

Блогосфера вже починає вирувати з цього приводу, очікуємо на цікаві новини та замітки, постараємося докластися до цієї справи.

Автор: Сергій Галашин | Опубліковано: 14.07.2009 о 04:53 | Категорії: ColdFusion 9 - ColdFusion Builder - News - Links -

 

Хотфікс від Adobe для FCKEditor (APSB09-09)

Не пройшло й тижня від моменту публікації про вразливість, але Adobe розродилася швиденьким хотфіксом.

При тому всьому визнала вразливість критичною та опублікувала розлоге пояснення своєї позиції з питання.

Так чи інакше, варто скористатися нагодою та оновитися: hotfix for potential ColdFusion 8 input sanitization issue.

 

Автор: Сергій Галашин | Опубліковано: 08.07.2009 о 19:44 | Категорії: News - Security -

 

Вразливість у FCKeditor для ColdFusion 8.0.1

Серйозну вразливість було знайдено в FCKeditor, а конкретно в CF-конекторі для завантаження файлів.

Справа в тому, що в CF 8.0.1 він увімкнутий за умовчанням, що може бути використано для завантаження .cfm (а також .asp, що ) скриптів, що було описано в нещодавному повідомленні.

Тому дуже рекомендується вжити запобіжних заходів, від вимкнення конектора в налаштуваннях і до видалення завантажувача файлів, якщо ним не користуєтеся. Бо кілька сайтів вже було скомпроментовано.

Більше інформації та рекомендаці можна знайти в наступних повідомленнях:

CF8 and FCKEditor Security threat

ColdFusion 8 FCKeditor Vulnerability

Potential ColdFusion security issue (офіційна нота від Adobe з обіцянкою виправити проблему).

Автор: Сергій Галашин | Опубліковано: 04.07.2009 о 09:34 | Категорії: ColdFusion 8 - Security -

 

Найміть Community Expert працювати

Цікаве питання про роботу в галузі було підняте в пості Шона Корфілда (Sean Corfield).

Крім обговорення загальної ситуації та порад було визначено кілька причин того, чому компанії побоюються пропонувати роботу добре відомим учасникам спільноти (Community Expert в термінах Adobe).

Зокрема було сказано, що вони дуже багато часу приділяють спільноті :)

Мається на увазі, що вони багато виступають на конференціях, пишуть в блоґи/twitter, беруть участь у відкритих проектах і тому не мають часу працювати. Звісно, малося на увазі працювати повний робочий день, як це роблять "звичайні" програмісти.

Крім того, виявляється, є побоювання щодо того, що такий експерт почне навчати програмістів всіляким новим технологіям та методикам та навіть "кидати виклик" керівництву компанії в сенсі зміни принціпів управління.

І все це замість того, щоб просто радісно ковбасити код разом з колегами-програмістами ("work happily with their peers and code like a demon").

 

Мабуть, така позиція роботодавців має право на існування, хоча є й дещо спірною. Зокрема, варто подумати над тим, які позитивні рухи та оновлення може принести в компанію подібний спеціаліст. Як програміст, я б із задоволенням попрацював би в компанії такої людини, бо це дуже добрий шанс отримати гарний досвід.

На цій оптимістичній ноті започатковуємо нову категорію Subjective.

 

Автор: Сергій Галашин | Опубліковано: 02.07.2009 о 06:43 | Категорії: Blogs - Subjective - Jobs -

 

Пропозиція щодо нового OSS проекту від Hal Helms

Гол Гелмс (Hal Helms) нещодавно виніс на розгляд спільноти пропозицію розробки відкритого e-commerce рішення на базі ColdFusion та AJAX.

Долучитися до обговорення можна в його блозі, в повідомленнях Update on "Ideas" та Project Serenity.

Учасники UACFUG також розмірковують над тим, щоб долучитися до цієї, без сумнівів, корисної та цікавої ініціативи.

Автор: Сергій Галашин | Опубліковано: 02.07.2009 о 06:28 | Категорії: Blogs - OpenSource -

 

Підміна MIME типу при завантаженні .cfm файлів на сервер

Днями прокотилася хвиля серйозних порушень роботи сайтів та навіть цілих ColdFusion серверів, пов'язана з використанням вразливості, коли підміна MIME типу завантажуваного файлу дозволяла залити .cfm скрипт та виконати його.

Ось простий приклад як це можна зробити:

<cfhttp url="http://target.example.com/upload" method="post">
 <cfhttpparam file="#ExpandPath("badstuff.cfm")#"
  mimetype="image/gif"
  type="file"
  name="photo">
</cfhttp>

Така проста конструкція легко дозволяє обійти вбудовану перевірку типу:

<cffile action="upload"
  filefield="photo"
  accept="image/gif,image/jpeg"
  destination="#ExpandPath("./photos/")#">

Приклади було взято з посту Піта Фрейтаґа (Pete Freitag), в якому він наводить рекомендації щодо захисту від подібних атак.

Зокрема, можна використати вбудовані функції IsImageFile("path") (з урахуванням вже описаної проблеми) та IsPDFFile("path"), використовувати окремий сервер (простіше кажучи, окремий домен - скажімо з nginx - для швидкодії) для статичного вмісту (як то Amazon S3), користуватися можливостями Sandboxing (якщо у вас CF Enterise), відключати можливість виконання скриптів для тек завантаження та іншими методиками.

Ці та інші поради описані у вищевказаному повідомленні, також варто звернути увагу на коментарі до нього, там теж є слушні поради.

Також варто звернути увагу на аналогічне повідомлення Брента Фрая (Brent Frye), котрий зазнав серйозних неприємностей через описану проблему, тому теж уклав список порад для її обходу.

 

Автор: Сергій Галашин | Опубліковано: 01.07.2009 о 05:34 | Категорії: Blogs - Gotchas - Security -