Девичьи прелести

Автор блога: Светлана Кондратьева

Модификация дампера SupexDumper и причины, побудившие это сделать.

ВВЕДЕНИЕ

Я решила исследовать неплохой (по отзывам) дампер SypexDumperLite_108.
Скачала тут, поставила - работает.

Кажется, что еще надо? Дампер бесплатный, позволяет снимать дампы с достаточно больших баз, да еще и компрессировать их.

Анонс для каждой записи Универсального Каталога версии 1.6.1

Представляю простенький хак для Универсального Каталога. Анонс представляет собой дополнительное поле, в которое выводится описание, например, книги. Если анонс пуст, то поле и его заглавие не выводится.

Система безопасности Инстанта - Защита форм регистрации и авторизации

Версия 1
Мною написано несколько файлов, которые защищают формы авторизации и регистрации Инстанта как от брутфорс-атаки, так и от атаки по словарю. В настоящий момент скрипты проходят тестирование на моем демосайте http://www.aviakis.net.ru.

Вот некоторые (но не все) характеристики:

1. Защита формы авторизации от перебора логина-пароля. При обнаружении перебора сперва делается предупреждение, а затем перебирающий блокируется.
2. Защита формы авторизации в админке с помощью дополнительного поля. Не исключает дополнительной защиты папки
/admin с помощью .htaccess. Такой .htaccess мною написан и лежит вместе с другими файлами в установочном дистрибутиве, хотя на демосайте его сейчас нет.
3. Защита форм регистрации. Не секрет, что многие наши ленивые юзеры норовят зарегится, например, под логином zz и паролем 11, а потом удивляются, почему от их имени на сайте происходят разные гадости. Я составила список из примерно 70 слов, которые при авторизации проверяются. Если система находит логин или пароль в этом списке, регистрации не происходит. При необходимости этот список легко дополнить.



Теперь о причинах, почему мой скрипт не может быть опубликован или выложен в открытый доступ. На нашем сайте в форуме появлялось сообщение (месяца два назад, наверное), о том, что какой-то человек захотел выяснить, насколько безопасен Инстант. Сам он в сайтостроении не особо продвинут, поэтому заплатил человеку сведующему, тот скачал движок Инстанта и исследовал его вдоль и поперек. После этого появилась статья в каком-то журнале о всех найденых дырах....Короче, кому хочется, эту старую тему сами ищите.

Смысл в том, что если человек не имеет доступа к кодам скриптов защиты, то выяснить, как они работают, ему не в пример труднее. Это и есть та причина, почему мой скрипт никогда не появится в открытом доступе. Я забочусь о безопасности ваших же сайтов.



В настоящий момент установочный дистрибутив готов для версии 1.5.2. Мне надо еще немного времени, чтобы адаптировать его к 1.5.3. Собственно, для этого надо просто добавить папку languages со всеми файлами и в  скриптах вместо вывода текста поставить языковые переменные. Мне так проще было писать скрипты.

Посмотреть скрипты в работе можно, как я сказала, на демосайте http://www.aviakis.net.ru. Если кому-то захочется поставить мой скрипт себе на сайт, пусть обращается в личку. Я ему отправлю письмо с подробным описанием и полными техническими характеристиками.

Буду благодарна тому, кто найдет тот или иной косяк в алгоритме для оперативного исправления.

Версия 2
Во второй версии модуль авторизации перезагружается автоматически по истечении времени. То самое юзабилити, за которое ратовал neart. Просили - получите! Чуточку изменила алгоритм защиты. Теперь учтена возможность подбора со сменой ip.

Что будет в Версии 3? Собираюсь адаптировать свои файлы к версии Инстанта 1.5.3. Кроме того, перепишу модуль авторизации по технологии ajax, чтобы формы авторизации подгружались в браузер тогда, когда это нужно.

Я удалила всех пользователей, кто был зарегистрирован на демосайте до настоящего времени, чтобы все, кто хочет, мог еще раз посмотреть, что изменилось в процедуре регистрации по сравнению со стандартной версией.

Кроме того, я поставила все настройки по минимуму, чтобы не надо было по полдня ждать, пока сработает защита.

Брутфорсте на здоровье)))

Светлана.

За что нас любят мужики?

3.1. Блоги используются для публикации и обсуждения собственных решений или инструкций (статей) по различным темам, имеющим непосредственное отношение к InstantCMS.

Модуль Календарь-Часы

Предлагаю Вашему вниманию свой первый коммерческий проект - модуль Календарь-Часы.

В настоящее время модуль написан для версии Инстанта 1.5.3. Если будет достаточное число желающих, переделаю его для более ранних версий - 1.5.1 и 1.5.2. Эти версии модуля несовместимы.

Модуль выводит индикацию дня недели, числа, месяца и года, а также часов минут и секунд в реальном времени. Преимущество моего модуля в том, что вся обработка осуществляется на машине клиента. Стандартные часы Инстанта для своей работы запрашивают swf файл, поэтому, во-первых, существует постоянный внешний трафик на сайт macromedia.com, а во-вторых, поменять  внешний вид часов довольно затруднительно.

Мой модуль, загрузившись на машину клиента, выполняется там, поэтому отсутствует нагрузка на сервер и БД. Кроме того отсутствует внешний трафик. Время, показываемое модулем, соответствует часовому поясу зашедшего на сайт пользователя, поэтому ни у кого не возникнет вопроса "Почему у меня время Чикаго?".

Внешний вид модуля легко поменять. Для этого достаточно загрузить в папку \modules\mod_digital_clock\img_digits\ комплект изображений цифр , название дня недели и разделителей. Размеры цифр (отдельно высота и ширина) регулируются из админки, причем размеры дня недели, даты-месяца-года, часов-минут и секунд не зависят друг от друга.

Сейчас один комплект цифр можно скачать из моего профиля. Если охота, можете взять за образец и нарисовать себе любой шрифт - главное, чтобы имена файлов были такие же. Самое главное - этот шрифт может быть оригинальным, и ни на что не похожим. То есть вы можете создать картинки-цифры из занимающихся гимнастикой девушек,  цветов, скелетов, сердечек, гаечных ключей, стрекоз или мух, линеек, циркулей, клавишей клавиатуры, собачек и кошечек, ракет, звезд, снежинок, китов...или сделать скучный серый шрифт Verdana или Times, если не любите финтифлюшек (как и я sad).

Сразу отвечу на вопрос, почему не сделала этого сама. Потому, что не умею рисовать. Совсем. Поэтому я предоставляю вам рабочую лошадь с телегой, а что Вы будете на этой телеге возить - ваше дело.

Если кому-то стало интересно, пишите в личку. Деньги небольшие - за одну скачку 7.78 WMR. По цене половины буханки хлеба))). Единственное условие - не распространять, не дарить, не меняться. Ковыряться в коде - сколько хотите. А! Вот еще.  Все сказанное к шрифтам в модуле не относится. Создавайте свои шрифты, меняйтесь, дарите - что хотите - меня не касается.


Другие разработки смотрите в вики - либо по организации, либо по функциям.

Модуль падающего снега

Предлагаю Вашему вниманию вторую версию модуля падающего снега. Эта версия, в отличие от первой, работает на Лисе тоже. Поэтому настоятельно рекомендую всем, кто у меня скачал этот модуль, взять у меня из профиля этот вариант и ЗАМЕНИТЬ. Те, у кого стояла первая версия, просто производят копирование в корень сайта с заменой, те, кто ставят модуль впервые, должны, кроме копирования, вставить в текущий шаблон строчку кода, которая есть в документации.

Я сейчас думаю, как сделать к этому модулю админку, чтобы  все регулировки и настройки осуществлялись оттуда, а также уйти от ручной правки шаблона.

Думаю, многие захотят поставить себе такую  ближе к Новому году, чтобы позабавить своих посетителей!

Если кто-то захочет заменить изображения снежинок, то взять образцы настоящих природных снежинок можно здесь.. Доступно около десятка фотографий настоящих снежинок, обработать которые фотошопом не составляет труда.

Качайте на моем профиле здесь и наслаждайтесь. Инструкция внутри.

Другие разработки смотрите в вики - либо по организации, либо по функциям[

Модуль показа случайного пользователя

Предлагаю еще один модуль для версии 1.5.2 (на 1.5.1 тоже должен работать).

На версии 1.5.3 работать не будет. Возможно, подстрогаю напильником позже, когда релиз 1.5.3 выйдет)))

Модуль выводит профиль случайного юзрера из числа зарегистрированых и незабаненых.

Регулировки:
1. можно вывести любое число юзеров (по умолчанию 1);
2. можно изменить тип вывода: таблица по умолчанию (ник+аватар)либо список (только ник);
3. выводить / не выводить имя пользователя. И ник и аватар являются ссылками, нажав на которую попадаешь в профиль пользователя.

Инструкция по установке -  внутри. Ссылка для скачивания  модуля вот.



Другие разработки смотрите в вики - либо по организации, либо по функциям.