Перегляд за місяцем: July 2009
Презентации
Вы знали что в CF8 можно перезагрузить wsdl без доступа к CFIDE ? Или что cfdump может цфдампить в файл ? Лично я узнал об этом из презентации Чарли Арехарта (Charlie Arehart) - Скрытые жемчужины CF8 (PDF). Вполне возможно что даже работая с Coldfusion каждый день, программист может быть в плену ошибочных представлений, которые имеют корни в давних версиях CF. Против этих мифов Чарли предлагает не только презентацию "Разрушители Coldfusion легенд", но также тематический подкаст и другие материалы.
Формат презентации может показаться неинформативным - если лично не присутствовал и не слышал комментариев, PDF или PPT будет сухой выжимкой. Лично для меня это удобно - нет времени чтобы читать развернутые статьи, а такой конспект дает достаточно начальной информации.
Чарли - активный участник Coldfusion сообщества, соавтор известных книг и частый гость конференций. Рекомендую его сайт в вашу подборку ссылок.
ColdFusion 9 та ColdFusion Builder в публічній беті!
Нарешті це трапилося. Два довгоочікувані продукти від Adobe випущено в публічні бети.
В першу чергу мова про Coldfusion 9 (раніше відомий як Centaur). Дізнатися більше можна на сторінці продукту, також варто прочитати замітку Бена Форти Introducing Adobe ColdFusion 9 beta та переглянути кілька відезаписів по темі від того-таки Форти, та Реймонда Кемдена.
Водночас виходить Coldfusion Builder (раніше відомий як Bolt), котрому теж присвячено замітку.
Блогосфера вже починає вирувати з цього приводу, очікуємо на цікаві новини та замітки, постараємося докластися до цієї справи.
Хотфікс від Adobe для FCKEditor (APSB09-09)
Не пройшло й тижня від моменту публікації про вразливість, але Adobe розродилася швиденьким хотфіксом.
При тому всьому визнала вразливість критичною та опублікувала розлоге пояснення своєї позиції з питання.
Так чи інакше, варто скористатися нагодою та оновитися: hotfix for potential ColdFusion 8 input sanitization issue.
Вразливість у FCKeditor для ColdFusion 8.0.1
Серйозну вразливість було знайдено в FCKeditor, а конкретно в CF-конекторі для завантаження файлів.
Справа в тому, що в CF 8.0.1 він увімкнутий за умовчанням, що може бути використано для завантаження .cfm (а також .asp, що ) скриптів, що було описано в нещодавному повідомленні.
Тому дуже рекомендується вжити запобіжних заходів, від вимкнення конектора в налаштуваннях і до видалення завантажувача файлів, якщо ним не користуєтеся. Бо кілька сайтів вже було скомпроментовано.
Більше інформації та рекомендаці можна знайти в наступних повідомленнях:
CF8 and FCKEditor Security threat
ColdFusion 8 FCKeditor Vulnerability
Potential ColdFusion security issue (офіційна нота від Adobe з обіцянкою виправити проблему).
Найміть Community Expert працювати
Цікаве питання про роботу в галузі було підняте в пості Шона Корфілда (Sean Corfield).
Крім обговорення загальної ситуації та порад було визначено кілька причин того, чому компанії побоюються пропонувати роботу добре відомим учасникам спільноти (Community Expert в термінах Adobe).
Зокрема було сказано, що вони дуже багато часу приділяють спільноті :)
Мається на увазі, що вони багато виступають на конференціях, пишуть в блоґи/twitter, беруть участь у відкритих проектах і тому не мають часу працювати. Звісно, малося на увазі працювати повний робочий день, як це роблять "звичайні" програмісти.
Крім того, виявляється, є побоювання щодо того, що такий експерт почне навчати програмістів всіляким новим технологіям та методикам та навіть "кидати виклик" керівництву компанії в сенсі зміни принціпів управління.
І все це замість того, щоб просто радісно ковбасити код разом з колегами-програмістами ("work happily with their peers and code like a demon").
Мабуть, така позиція роботодавців має право на існування, хоча є й дещо спірною. Зокрема, варто подумати над тим, які позитивні рухи та оновлення може принести в компанію подібний спеціаліст. Як програміст, я б із задоволенням попрацював би в компанії такої людини, бо це дуже добрий шанс отримати гарний досвід.
На цій оптимістичній ноті започатковуємо нову категорію Subjective.
Пропозиція щодо нового OSS проекту від Hal Helms
Гол Гелмс (Hal Helms) нещодавно виніс на розгляд спільноти пропозицію розробки відкритого e-commerce рішення на базі ColdFusion та AJAX.
Долучитися до обговорення можна в його блозі, в повідомленнях Update on "Ideas" та Project Serenity.
Учасники UACFUG також розмірковують над тим, щоб долучитися до цієї, без сумнівів, корисної та цікавої ініціативи.
Підміна MIME типу при завантаженні .cfm файлів на сервер
Днями прокотилася хвиля серйозних порушень роботи сайтів та навіть цілих ColdFusion серверів, пов'язана з використанням вразливості, коли підміна MIME типу завантажуваного файлу дозволяла залити .cfm скрипт та виконати його.
Ось простий приклад як це можна зробити:
<cfhttp url="http://target.example.com/upload" method="post">
<cfhttpparam file="#ExpandPath("badstuff.cfm")#"
mimetype="image/gif"
type="file"
name="photo">
</cfhttp>
Така проста конструкція легко дозволяє обійти вбудовану перевірку типу:
<cffile action="upload"
filefield="photo"
accept="image/gif,image/jpeg"
destination="#ExpandPath("./photos/")#">
Приклади було взято з посту Піта Фрейтаґа (Pete Freitag), в якому він наводить рекомендації щодо захисту від подібних атак.
Зокрема, можна використати вбудовані функції IsImageFile("path") (з урахуванням вже описаної проблеми) та IsPDFFile("path"), використовувати окремий сервер (простіше кажучи, окремий домен - скажімо з nginx - для швидкодії) для статичного вмісту (як то Amazon S3), користуватися можливостями Sandboxing (якщо у вас CF Enterise), відключати можливість виконання скриптів для тек завантаження та іншими методиками.
Ці та інші поради описані у вищевказаному повідомленні, також варто звернути увагу на коментарі до нього, там теж є слушні поради.
Також варто звернути увагу на аналогічне повідомлення Брента Фрая (Brent Frye), котрий зазнав серйозних неприємностей через описану проблему, тому теж уклав список порад для її обходу.
RSS