Zend Framework по-русски » Zend_Dojo

Обновление безопасности Zend Framework

Сергей — Tue, 12 Jan 2010 20:04:59 +0000

11 января вышли новые версии сразу трёх веток Zend Framework: 1.9.7, 1.8.5 и 1.7.9.
Эти релизы содержат более 40 багфиксов и включают в себя уведомление о новой политике безопасности Zend Framework.
На протяжении декабря Padraic Brady проводил аудит безопасности фреймворка и работал совместно с разработчиками ZF над устранением проблем.
Устранены следующие уязвимости:

Потенциальная инъекция MIME-type в Zend_File_Transfer: В случае, если не установлено расширение ext/finfo и недоступна функция mime_content_type() использовался MIME-type, хранящийся в массиве $_FILES. Это небезопасно, т.к. злоумышленник может подделать значение. Теперь в случае, если не удаётся корректно определить MIME-type, передаётся значение “application/octet”
Потенциальная XSS/HTML инъекция в Zend_Json: Zend_Json_Encode не экранировал символ слэша (“/”), что противоречит спецификации JSON и открывает возможность для инъекции XSS или HTML. В новых версиях проблема устранена, символ экранируется.
Потенциальная XSS-уязвимость в компоненте Zend_Service_ReCaptcha_MailHide: Zend_Service_ReCaptcha_MailHide не проделывал валидацию переданного e-mail’а, а при вызове htmletities() не указывалась текущая кодировка, злоумыленник мог передать специально сформированную строку.
Потенциальная XSS-уязвимость в Zend_Dojo_View_Helper_Editor: Zend_Dojo_View_Helper_Editor использовал TEXTAREA вместо DIV’а. Команда разработчиков Dojo сообщила, что тектовый редактор на базе TEXTAREA не обеспечивает должный уровень безопасности.
Потенциальный XSS из-за несовместимости кодировок: Множество классов ZF, в том числе Zend_Form, Zend_Filter, Zend_Form, Zend_Log и Zend_View, вызывали htmlentities() и htmlspecialchars() с неуказанными или жёстко прописанными кодировками. При использовании нетипичных кодировок (например, UTF-7) кодировка может определиться некорректно и открыть возможность злоумышленнику передать XSS-эксплойт. Рекомендуется в каждом из этих компонентов задавать кодировку явно, не надеясь на автоопределение.

Рекомендуется обновить свои приложения для устранения вышеперечисленных проблем.

О не связанных с безопасностью изменениях вы можете узнать по ссылкам:
http://framework.zend.com/changelog/1.9.7
http://framework.zend.com/changelog/1.8.5
http://framework.zend.com/changelog/1.7.9

Это последний запланированный релиз ветки 1.9. До конца этого месяца планируется выпустить версию 1.10.0

Подробнее о релизе:
В Zend DevZone от Matthew Weier O’Phinney
На blog.astrumfutura.com от Padraic Brady

No comment
Post tags: reCAPTHCA, Zend_Dojo, Zend_Filter, Zend_Form, Zend_Json, Zend_Log, Zend_View

Интеграция ZF и Dojo

Сергей — Sat, 06 Dec 2008 18:40:35 +0000

Интересный скринкаст, в котором рассказывается про создание формы с использованием JS-фреймворка Dojo.
Разработка происходит в Zend Studio for Eclipse, что только добавляет интереса к видео.
Интеграция ZF и Dojo

No comment
Post tags: dojo, Zend_Dojo, Zend_Form

Zend Framework 1.6RC1

Сергей — Wed, 23 Jul 2008 09:26:03 +0000

Многие писали о нововведениях ZF1.6, поэтому я дублировать информацию не буду. Дам пару ссылок:
про ZF1.6RC1 в блоге Олега Лобач
про ZF1.6RC1 в Zend DevZone
Лучше я скажу кое-что новое. Уже почти все интересующиеся заметили, что вместо 4 мегабайт архив с фреймворком стал весить 29 мегабайт.
Казалось бы – как так? На самом деле всё довольно прозаично – в связи с интеграцией ZF и Dojo (компонент Zend_Dojo) архив дополнился полноценным Dojo-фреймворком. Пугаться того, что теперь хранить на сервере придётся слишком много, не следует – всё таки, Dojo лежит не в папке library, а в externals, и заливать в проект его весь вас никто не вынуждает.
Идём дальше. На самом деле, копировать Dojo в проект вообще не обязательно. Zend_Dojo устроен таким образом, что, если вручную не указан путь к скрипту, подгружает его из онлайн-репозиториев Google, AOL и др. Так что, про JS-часть Dojo можно совсем забыть.

No comment
Post tags: dojo, Zend_Dojo