Релиз LiveStreet 1.0.2
Сообщаем о выпуске промежуточной версии LiveStreet 1.0.2.
Основная причина — закрытие пассивной XSS (спасибо HiMiC ). Также были исправлены другие незначительные моменты по безопасности.
Полный список изменений относительно версии 1.0.1 доступен здесь — github.com/livestreet/livestreet/commit/479e97bea183b8ab863d45b8150fe6549b42f8ce
В новую версию вошли практически все изменения ядра из девел версии на текущий момент, что повысит, в частности, скорость работы сайта. Шаблоны не изменялись, поэтому должна быть полная 100% совместимость с текущими шаблонами и плагинами.
При обновлении с 1.0.1 достаточно перезаписать файлы из нового архива, каталог /templates/skin/ можно не перезаписывать.
Скачать можно здесь — livestreetcms.ru/download/
UPD
Список изменений:
Основная причина — закрытие пассивной XSS (спасибо HiMiC ). Также были исправлены другие незначительные моменты по безопасности.
Полный список изменений относительно версии 1.0.1 доступен здесь — github.com/livestreet/livestreet/commit/479e97bea183b8ab863d45b8150fe6549b42f8ce
В новую версию вошли практически все изменения ядра из девел версии на текущий момент, что повысит, в частности, скорость работы сайта. Шаблоны не изменялись, поэтому должна быть полная 100% совместимость с текущими шаблонами и плагинами.
При обновлении с 1.0.1 достаточно перезаписать файлы из нового архива, каталог /templates/skin/ можно не перезаписывать.
Скачать можно здесь — livestreetcms.ru/download/
UPD
Список изменений:
- фикс бага смены емайла, если у пользователя не было старого
- если класс модуля не существует, то теперь выбрасывается эксепшен
- доступ к какум только через http
- фикс генератора плагинов из консоли
- в конфиг вынесены настройки допустимого логина пользователя
- фикс отображения адреса сайта плагина в списке плагинов
- вынос в конфиг максимального размера текста топика для ссылок и опросов
- возможность отключить обязательность проверки каптчи
- фикс удаления комментариев
- фикс раскрытия путей на сервере — замена функции getRequest на getRequestStr для строковых параметров
- закрытие прямого доступа к plugin.xml, закрытие некоторых каталогов через htaccess
- список допустимых протоколов для ссылок в парсере jevix
- в классе LS методы заменены на статические
- в сущности топика добавлены новые вспомогательные методы: getUrlEdit, getIsAllowDelete, getIsAllowEdit, getIsAllowAction
- новая опция в конфиге $config['smarty']['compile_check'] для отключения проверки шаблонов перед компиляцией
- фикс бага с передачей сессии в каптчу
- фикс предпросмотра у топика-ссылки и опроса
- фикс установки уровня php ошибок в Viewer
- теперь, если файл шаблона плагина не найден, будет попытка его найти в каталоге шаблона плагина /default/, это позволит не дублировать файлы шаблонов для разных скинов
- фикс утечки памяти при обработке конфига
- для топика устанавливается canonical url
- фикс экранирования полей в ORM
- для ORM связи many-many добавлен новый метод clear() для удаления всех текущих связей
- возможность в определении ORM связи has-many указывать дополнительный фильтр (4-й параметр)
- поддержка группировки в условиях ORM запроса
- фикс XSS в пагинации
- в определении таблицы в ORM учитывается имя плагина, например, prefix_pluginname_user_invite
- теперь при запуски из консоли функция func_getIp вернет 127.0.0.1
- в jevix в обработку тегов TR_TAG_CALLBACK_FULL дополнительно передается содержание между тегов
в ls.ajax в хук дополнительно передаются параметры callback и more- оптимизация выборки инбоксов
- фикс бага подписки на комменты к топику из закрытого блога
- фикс удаления файлов изображения фото-сетов при удалении топика
157 комментариев
Будем ковырять :)
и как говорится «не множьте сущности без надобности» ©
Можно еще вопрос, когда все таки состоится релиз мобильной версии?
искал в нотепаде сравнение, не нашел
ща нагуглил вроде эту функцию )
если мемкеш у Вас стоит — то гуд
если нет — отключайте кеш
если у вас меньше 3k — 5k хостов, то смысла в файловой кеше нет.
ответ
у меня тормоза появлялись по мере накопления файлов в кеше
как почистишь — летает
отключил его нафиг чтоб папку не чистить )
Это я к тому, что в списке изменений на гитхабе их нет, а в коментах к тому топику PSnet писал, что есть…
ЖС — клиентский язык. он должен иметь доступ к путям
обновлений много, надо будет обновиться
Пассивная XSS — это когда вам удалось просто выполнить скрипт на сайте
не сохраняя его.
Активная XSS — это когда вам удалось сохранить где нибудь в страничке скрипт
и при каждом обновлении странички скрипт выполняеться.
К примеру вставка скрипта в дневники, в доски объявлений в форум, в гостевые книги
и т.д.
придеться вспоминать что я правил в своем шаблоне
а правил много
ужос: ))
github.com/livestreet/livestreet/blob/master/config/config.local.php.dist
Поэтому у человека все работает как работало :)
сложно сказать насколько быстрее работает.
главное, не медленее ))
а то единственный способ проверить принадлежность это $_SERVER['HTTP_REFERER']
да и времени пока нет
тут нельзя больше добавлять полей
если есть вопросы — лучше создать отдельный топик
конверт получился с ошибками, таблицы некоторые не создались.
borts.ru.preview.ihc.ru/blog/skoda/40.html#cut
при смене скина на simple
что делать? хорошо что начал перенос на тестовом сайте
Вам для работы она не нужна
но почему шрифт больше стал в шаблоне SOCIAL?
skin не трогал
замена с getRequest на getRequestStr — прироста не дает
Правка в регулярках на исправление XSS — прироста не дает
Правка [\w] — [a-z] — прироста не дает
За то что сделали в ORM group — большое спасибо
А вот то что функции в LS переделали на статику, не есть гуд.
То что фотки файлов удаляются, при удалении нод тож гуд
Но это все не дает прирост скорости. Так чтож дает то прирост скорости?
у меня скоро сложится стабильное впечатление о вас.
так она давно уже была. Может поэтому и не обнаружил прироста.
Правда я сам выставлял эту опцию (не помню как она была по дефолту)
в 1.0.1 её не было. во вторых есть оптимизация конфига и уменьшение утечок памяти
это имелось ввиду
Думаю, это отсекло бы тучу комментов.
Надоело ведь уже)
и перезапустите Apache навсякий случай
Это уже совсем другой вопрос.
это критично?
Проблема заключалась в том, что если задать новые размеры в конфиге, то все старые фотосеты полетят.
В ридми написано:
Кто уже поставил подскажите как правильнее, а то у меня только 1 попытка будет))
У меня версия 1.01
Тут PSNet дает ссылку на список изменений, который запостил у себя. Уже странно, что такого списка нет тут. Иду, смотрю список. И там, кроме прочего, вижу:
Т.е. так навскидку я вижу изменения, которые могут быть очень важны для сторонних разработчиков.
Думаю, может, я просто не заметил в этом топике чего-то важного? Ага, вот оно: Полный список изменений относительно версии 1.0.1 доступен здесь — и идет ссылка на гит, где «Showing 62 changed files with 662 additions and 390 deletions».
Ребята, Вы так прикалываетесь, да? Или Вы на полном серьезе считаете, что разработчики должны изучать гитовские диффы, чтобы узнавать о рефакторнинге, о новых методах классов, об изменении алгоритмов рендеринга шаблонов и проч.?
… и добавился параметр методу DeleteTopicAdditionalData — обнаружено случайно, спасибо onthefly — у него PHP 5.4 «ругнулся»… А это значит, что плагины для 1.0.1, наследующие этот метод, «ломают» функционал удаления изображений не учитывая этот нюанс.
Вообще, было бы не плохо выпускать ченжлоги для пользователей и разработчиков отдельно, как это, например, делает Битрикс. Они отдельно указывают что поменялось с точки зрения пользователи и что — с точки зрения разработчика. Я понимаю, что это геморройно, но… Рискуем нарваться на нехорошие несовместимостию
еще ведь хотел включить в релиз исключительно фиксы xss…
переходим по ссылке и нажимаем «Show Diff Stats»
Еще желательно конечно около каждого описания перечислять комиты
Но это уже на откуп автору
Перезалил всё, кроме инсталл. Никаких ошибок, ничего плохого не замечено!