Мы теперь обновились =)

эксадмин

Исправление множества багов (сообщенных рhpВВ) и некоторых угроз XSS безопасности.

Добавлена возможность ограничения числа попыток входа на форум. Я как Администратор могу теперь установить число попыток входа на форум и время, спустя которое пользователь сможет снова войти в конференцию. С помощью данного нововведения будем противостоять участившимся в последнее время попыткам подбора паролей по словарю, на подобных движках. Сейчас стоит возможность три попытки для пароля, потом пять минут отдыха... Если все попытки были ошибочными.

Исправления:
[Исправлено] исправлен индекс в таблице session_keys для MS SQL
[Исправлено] добавление таблицы session_keys в резервную копию
[Исправлено] удаление данных о сессии при удалении пользователя
[Исправлено] изменения для корректной поддержки MySQL 5.0
[Исправлено] некоторые изменения в файлах администраторского раздела для повышения эффективности работы и исправления потенциальных ошибок при создании меню
[Исправлено] изменено ограничение длины имени пользователя в файле usercp_register.php - BFUK
[Исправлено] неверный путь к аватарам в файле admin_users.php (#667)
[Исправлено] исправлена процедура get_userdata для поддержки корректной обработки запросов при работе с базами данных отличными от MySQL - jarnaez
[Исправлено] исправлена работа изображения визуального подтверждения в случае, когда невозможно использование библиотеки zlib

[По части безопасности] исправлена XSS-уязвимость в обработке тега [url] (затрагивает только Internet Explorer)
[По части безопасности] исправлена XSS-уязвимость при включенных html-тегах [url] (затрагивает только Internet Explorer)
[По части безопасности] добавлена возможность ограничения числа попыток входа на форум для предотвращения атак с использованием словарей

- некорректный сброс паролей в случае, если установлена активация аккаунтов пользователей администратором (#88 )
- некорректное получение данных о категориях в index.php (#90)
- увеличена скорость работы index.php за счет изменения алгоритма определения прав доступа (#91)
- некорректное перенаправление на тему после входа на форум (#94)
- улучшена поддержка списков пользователей в admin_ug_auth.php (#98 )
- некорректное удаление bbcode_uid, в случае отключения BBCode (#100)
- исправлена ошибка с предварительным просмотром подписи при редактировании сообщения администратором или модератором (#101)
- некорректный тег alt для изображений, отвечающих за поиск в файлах groupcp.php, viewtopic.php и usercp_viewprofile.php (#102)
- исправлена сортировка форумов выпадающих списках (#106)
- корректное получение информации о сжатии в файлах page_tail.php и page_footer_admin.php (#117)
- добавлен заголовок для итоговой страницы файла groupcp.php (#125)
- корректная проверка стиля и аватары в файле usercp_register.php (#129 и #317)
- поддержка сообщений о повторной активации в случае, если установлена активация аккаунтов пользователей администратором (#145)
- поддержка обеих форм информации о переводе в языковых пакетах (#159)
- исправлена длина ключа активации в usercp_sendpassword.php (#171)
- использование константы GENERAL_MESSAGE вместо MESSAGE в вызове message_die (#176)
- исправлена ошибка, связанная с перемещением тем (#179)
- неверный параметр mode_type в списке пользователей (#187)
- ошибки SQL при установке максимального числа ЛС равным нулю (#188)
- удалена неиспользуемая переменная из шаблона уведомления об ответе на тему (#210)
- удалена неинициализированная переменная из заголовка popup-окна с дополнительными смайлами(#224)
- удалено повторное присваивание переменной шаблона в admin_board.php (#226)
- некорректная ссылка на поиск сообщений гостей в modcp.php (#254)
- удаление подписки на тему для всех пользователей из таблицы topics_watch в некоторых случаях (#271)
- корректная проверка возвращаемого функцией strpos значения в функции append_sid (#275)
- корректное отображение имени пользователя в уведомлении о личном сообщении (#278)
- исправлены ошибки "var-by-ref" (#322)
- изменено перенаправление на инсталляцию (если форум не установлен) (#325)
- в проверку на наличие новых версий добавлено ограничение по времени в 10 секунд (#348)
- исправлено значение по умолчанию переменной user_level для PostgreSQL (#444)
- исправлено несколько проблем по части HTML в стиле subSilver

Изменения:
- упразднено использование некоторых функций, используемых для совместимости с PHP3
- добавлено ограничение в 60 дней на выборку непрочитанных тем в index.php

По части безопасности:
- портирован код, отвечающий за обработку сессий
- возможность бана по адресу e-mail теперь использует тот же шаблон, что и проверка адреса, разрешено частичное указание домена
- исправлена проверка типа темы при отправке сообщений
- после подключения к БД пароль доступа более не доступен
- исправлена потенциальная возможность выбора изображений за пределами указанных для аватар и смайлов каталогов
- исправлен код, отвечающий за удаление глобальных переменных для PHP5 (Stefan Esser/Matt Kavanagh)
- изменены фрагменты кода галереи для предотвращений возможный точек инъекций (AnthraX101)
- исправлена обработка подписи в случае, если во время просмотра галереи произошла ошибка (AnthraX101)
- проверка параметра to_username и принадлежности при редактировании ЛС (AnthraX101)
- исправлена возможность редактирования ЛС, не отправленных пользователем (depablo84)
- проверка типа изображения загружаемой аватары на соответствие расширению файла

+ ещё не все ошибки исправил...
[Исправлено] (20.02.2006) - GLOBAL ANNOUNCE вывод есть.
[Исправлено] (19.02.2006) - На главной странице не правильно идёт подсчёт пользователей, за сутки.
[Исправлено] (21.02.2006) - Сортировка пользователей в категории "Пользователи"
[Исправлено] (21.02.2006) - Автоцензор русский в настоящее время не работает.
[Исправлено] (22.02.2006) - ....ru/attachments.php Проблема: нет сортировки по русскому алфавиту, Упорядочить по: названию файла, по комментарию к файлу.
[Исправлено] (22.02.2007) - Выбрать аватару тоже из групп нельзя. Закачивайте свои. p.s. теперь можно выбрать!
[Исправлено] - Мат жаловался, что почту как обычно не получает (надо баг проверить)
[Исправлено] - Мифуня тоже, кажется, жаловался... (надо проверить)
- Закачка файлов, ещё не совсем удовлетворяет... (надо тестировать)

от 06.05.2006 г.
Исправлено] Увеличение попыток входа для неактивных пользователей
[Исправлено] Убрана проверка на количество попыток входа при повторной аутентификации для входа в администраторский раздел
[Исправлено] Регерация ключей сессии при смене пароля
[Исправлено] Некорректное получение данных о категориях в index.php (#90)
[Исправлено] Увеличена скорость работы index.php за счет изменения алгоритма определения прав доступа (#91)
[Исправлено] Улучшена поддержка коротких имен при поиске по имени автора (#105)
[Исправлено] Отправка заголовков с запретом кеширования в администраторском разделе аналогично другим страницам форума (#149)
[Исправлено] Применение автоцензора к сообщению при его цитировании (#405)
[Исправлено] Улучшено быстродействие запроса к базе в admin_groups.php (#753)
[Исправлено] Ошибка PHP или MSSQL, приводящая к возврату пробела вместо пустой строки в результатах запроса (#830)
[Исправлено] Корректное использование переменной конфигурации default_style (#861)
[Исправлено] Replace unneeded unset calls in admin_db_utilities.php - vanderaj
[Исправлено] Улучшена обработка ошибок в modcp.php
[Исправлено] Improved handling of forums to which the user does not have any explicit permissions - vanderaj
[Исправлено] Различные улучшения в admin_ranks.php; теперь требуется подтверждение удаления
[Исправлено] Различные улучшения в admin_words.php; теперь требуется подтверждение удаления
[Исправлено] Добавление и удаление смайлов более не может быть произведено с использованием GET-метода отправки данных в форму; теперь требуется подтверждение удаления
[Исправлено] Обработка имен групп в admin_groups.php
[По части безопасности] Замена функции strip_tags на htmlspecialchars в обработке темы личного сообщения
[По части безопасности] Изменена обработка HTML в случае когда он включен
[По части безопасности] Обработка специальных символов в ответе DNS-сервера - Anthrax101
[По части безопасности] Приведение типов для id опросов - Anthrax101
[По части безопасности] Добавлена аозможнсть ограничения частоты запросов к поисковой системе для предоствращения DDoS-атак
[По части безопасности] Изменен алгоритм герерации ключей, используемых при активации пользователя - chinchilla/Anthrax101
[По части безопасности] По умолчанию визуальное подтверждение регистрации включено
[Изменено] Изменена обработка ситуации, когда выбранный стиль не существует в базе данных
[Изменено] Изменена процедура чистки форумов для увеличения быстродействия
[Изменено] Изменены права доступа по умолчанию - создавать и отвечать в темы теперь разрешено зарегистрированным пользователям, а не гостям

ОТ 07022007
[Исправлено] Проверка на существование пользователя перед отображением формы отправки сообщения на e-mail
[Исправлено] Вновь добавленные члены группы модераторов теперь всегда получают статус модераторов (#382)
[Исправлено] Верное сообщение при ответе в несуществующую тему (#459)
[Исправлено] Изменен тип поля search_array для хранения большего количества данных (#4058)
[Исправлено] Возврат выпадающего списка выбора размера шрифта на пункт по умолчанию после выбора (#4612)
[Исправлено] Опечатка в скрипте обновления БД (#6186)
[По части безопасности] Улучшена проверка директории для закачки аватар
[По части безопасности] Изменен критерий подозрительности для URL, на которые производится перенаправление - kellanved
[По части безопасности] Плавающая ошибка XSS в системе личных сообщений
[По части безопасности] Возможность задания отрицательного значения для параметра start - SpiderZ.
[По части безопасности] В различные формы добавлена проверки данных сессии - kellanved

ОТ 20022008
[Исправлено] Некорректное переназначение модератора группы при удалении пользователя (#280)
[Исправлено] Удаление форума с несколькими опросами (#6740)
[Исправлено] Исправлен запрос для PostgreSQL, используемый для получаения информации о модераторе группы в groupcp.php (#6550)
[Исправлено] Для размера шрифта по умолчанию выбран первый пункт в posting_body.tpl (#7124)
[Исправлено] Длины полей в admin/styles_edit_body.tpl приведены в соотвествие с таковыми в БД (#81)
[Исправлено] Исправлен вывод функции make_forum_select для случая, когда нет форумов (#436)
[Исправлено] Исправлены грамматические ошибки в lang_admin.php для английского языка (#7172, #6978)
[Исправлено] Некорректное отображение Correctly display censored words in admin panel (#12271)
[Исправлено] Не разрешено использование дефиса \xAD в именах пользователей (Bander00)
[Исправлено] Исправлено использование массивов доступа в системе прав доступа групп
[Исправлено] Простые права доступа групп теперь работают корректно
[Исправлено] Исправлена ошибка, приводящая к невозможности экспорта смайлов (#2265)
[Исправлено] Исправлены некоторые проблемы с PHP5 и register_long_arrays off
[По части безопасности] Исправлена возможная XSRF-уязвимость в ЛС и обработке групп

Об найденных глюках пишите здесь.

Mifune · Сообщение **Mifune** » 20 фев 2006, 08:01

Мифуня опять жалуется!
Админ, а может сделать всетаки Rss ?
Классная вещь.

эксадмин

Mifune
ага, узнал что это такое RSS )))

пока не сделаю, так как надо исправить то, что есть.

p.s.
В планах сделать.

Трубопродач

Желательно, чтобы можно было ещё время отслеживать, когда очередное сообщение написано.

Mat · Сообщение **Mat** » 11 мар 2006, 01:11

[quote="C.O.K.";p="52594"]
- Мат жаловался, что почту как обычно не получает (надо баг проверить)[/quote]
Жалуюсььььь
Уж проверте БАГ и ЖБАН и еще чё у вас там есьььь.
Не получаю ваще ничего.....

эксадмин

Сигнал принят уже давно! Ищу решение Mat, сделаю как можно скорее!

NWB · Сообщение **NWB** » 11 мар 2006, 09:46

А ещё хорошо бы сделать форму быстрого ответа (мод 10 минут ставится) и обновиться до 2.19

Mifune · Сообщение **Mifune** » 11 мар 2006, 12:32

Админ, вясна на носу, а у нас еще новый год.
Прям как в арбат-престиже.
Может стоит поменять новогодние иконки?И вернуться к тем что были?

эксадмин

NWB
в нашем случае ставиться не 10 минут, а гораздо больше т.к. программный код движка глубоко модифицирован от распространяемой стандартной версии.
"Быстрый ответ" стоять не будет вот почему:

из-за увеличения размера страницы в (Кб)

из-за увеличения не нужной длины прокрутки каждой страницы вниз.

из-за того, что придётся многим объяснять пользователям как добавлять файлы, в конференцию. Например, чтобы добавить файл надо будет объяснить, что надо нажать на кнопочку ответить и только там можно осуществить прикрепление файла... ну и в том же духе, по остальным пунктам настроек ответа.

Да собственно, зачем форма быстрого ответа на каждой странице?
Вот, например, взять вашу статистику по посещению конференции "С.О.К.а"...
Вами просмотрено страниц: 12740
Всего ваших сообщений: 1168, т.е.
[2,29% от общего числа / 2,05 сообщений в день] и спрашивается, зачем на каждой странице лепить эту форму, если вы отвечаете всего два раза в день?

"обновиться до 2.19" - пришли попрекнуть? прежде чем голословно писать нужно, уточнить у меня, что и как

Давно всё обновлено, даже сделано сверх того!

Mifune конечно уберём, ценю твой отзыв. Просто сегодня вышел на улицу, смотрю опять снег сыпется на мою голову, значит, весна не пришла.

А сейчас я лучше время потрачу на отлов уведомлений, куда они же все пропали...

Среди нас есть пользователи с художественным взглядом? Можно ведь весеннюю тему нарисовать. Скоро весна. Для тех, кто хорошо нарисует, ждёт презент от "С.О.К.а" и доска почёта.

NWB · Сообщение **NWB** » 11 мар 2006, 23:33

[quote="C.O.K.";p="54909"]
"обновиться до 2.19" - пришли попрекнуть? прежде чем голословно писать нужно, уточнить у меня, что и как
Давно всё обновлено, даже сделано сверх того!

[/quote]
Да какие тут упрёки?? Я представляю, сколько нужно времени и сил, при таком количестве установленных модов, чтобы сделать обновление. Только почему тогда в каждом сообщении отсутствует ссылка "цитировать"? И при клике на ник в сообщении он должен автоматом отображаться в окошке ответа... В голой версии 2.19 это всё есть... Или я ошибаюсь?

На счёт формы быстрого ответа Вам конечно виднее, но в большинстве форумов это есть (не видел ни одного форума vBulletin без этой опции) и удобство даёт большое. Вообще после общения на vBulletin, PHPBB нравится всё меньше и меньше. Нет планов на будущее движок поменять?

Mifune · Сообщение **Mifune** » 11 мар 2006, 23:34

Нафига нам эта доска нужна?
Давайте лучше футболки, а лучше деньгами

(а у нас новый год)

эксадмин

NWB
Вы ошибаетесь.

клик по "нику" и то, что ниже надпись "цитирование" есть из-за того, что стоит форма быстрого ответа! Мы развиваемся в своём направлении и подобные vBulletin и многие другие не с нами. Менять на что-либо другое должны быть веские причины и больше плюсов, чем минусов. Сейчас же phpBB меня устраивает.

NWB · Сообщение **NWB** » 12 мар 2006, 10:16

Да, действительно неправда моя, в голой версии нету

. Ещё один плюс в пользу формы быстрого ответа

Mifune · Сообщение **Mifune** » 12 мар 2006, 13:56

Мне тоже нравиться форма быстрого ответа.
NWB +1

эксадмин

[quote="Mifune";p="54921"]
Мне тоже нравиться форма быстрого ответа...
[/quote]
Тобой просмотрено страниц: 6168
Всего сообщений: 2370
[4,65% от общего числа / 4,39 сообщений в день]
чем нравиться? Я ужё написал выше все минусы этой формы. Плюсов у неё нет, она и в стандартной поставке даже не идёт.

Тема про форму закрыта

Mifune · Сообщение **Mifune** » 12 мар 2006, 21:35

Хорошо, давайте перейдем к вопросу о неработающих подтверждениях.
Ну так когда?

P.S. А с формой ты зря,на большинстве форумов это реализованно и проблем не наблюдается.
Если етсь время или желание, то хоть пробно сделай на недельку, посмотреть реакцю юзверей.
А с другой стороны тебя понимаю, не фига идти на нашем поводу и удовлетворять наши просьбы.

эксадмин

сообщения теперь приходят, наладил.

Хоттабыч

[quote="C.O.K.";p="54909"]
Среди нас есть пользователи с художественным взглядом? Можно ведь весеннюю тему нарисовать. Скоро весна. Для тех, кто хорошо нарисует, ждёт презент от "С.О.К.а" и доска почёта.[/quote]
Вместо шапочек миниюбочки и шорты!
Админ, спасибо Вам за проделанную работу. Смотрю на ко-во посещений - форум становится все более и более популярен.