Optimizator Field – блог веб разработчика
CSS вёрстка. Внутренняя оптимизация сайтов. Настройка Wordpress.
Уязвимость в WordPress темах
9.08.2011
Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.
В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.
Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.
Уязвимость обнаружил , после того, как его блог был взломан.
Пропатченный
(via )
UPDATE: уже появилась и реализация этой «дыры» с использованием superpuperdomain.com
Как лечить последствия –
6 бесплатных инструментов для создания мобильной версии сайта
8.04.2010
Почти у всех из нас есть мобильники. И совсем не важно – простые или навороченные. Так или иначе их владельцы пользуются выходом в интернет. В наши дни большинство сайтов совсем не пригодны к мобильному сёрфингу: слишком долгая загрузка, исковерканный малым экраном устройства дизайн и другие неприятные моменты.
Тем не менее (к радости посетителей и на на зло своим конкурентам), изо дня в день тысячи людей выпускают адаптированные версии своих сайтов. Красивые и быстрые. И пусть идея создания мобильной версии не пугает вас, на самом деле это не так сложно. С помощью описанных ниже сервисов вы сможете создать, разместить и запустить свой мобильный сайт уже сегодня!
Подробнее »
WordPress: добавляем в комментарии ссылку на Twitter
17.03.2010
Твиттер очень популярен! И это уже ни для кого не секрет. Растёт и количество способов интеграции этого сервиса с блогами.
Есть много потенциальных мест у wordpress, куда можно «прикрутить» его функциональность: Подробнее »
На заметку: кроссбраузерный CSS display: inline-block
15.03.2010
Очень полезная вещь, особенно при вёрстке всевозможных кнопок. Вешаем на нужный блок класс inline:
.inline { display: -moz-inline-stack; /* FF2 */ display: inline-block; /* good browsers */ } *html .inline { overflow: hidden; zoom: 1; display: inline; /* IE6 */} *+html .inline { display: inline; /* IE7 */}
Непростое CSS меню с использованием спрайтов
26.02.2010
Всем привет! Снова с вами я, а значит настало время очередной заметки. Ударимся немного в трудовые будни создания сайтов, а точнее горизонтального меню. Но не простого, а… нет, не золотого :) Просто немного нестандартного.
10 юзабилити преступлений, которых вы не должны совершать
1.12.2009
На стадии дизайна и разработки мы должны учитывать прописные истины и основные концепции для улучшения юзабилити вашего сайта. В этой статье описываются классические, но непростительные ошибки в области веб-дизайна и способы их решения.
Преступление #1: В формах метки не связаны с полями ввода
Использование атрибута «for» позволит пользователям кликать по метке, для выбора соответствующего поля формы. Это особенно важно для чекбоксов и радиокнопок – увеличить область клика.
Подробнее »
Последние комментарии