- Автор темы
- Администратор
- Модер.
- Команда форума
- #1
Самое главное, что этот выпуск содержит исправление проблемы безопасности, о которой нам сообщили. Проблема не была найдена в самом коде XF, а вместо этого файл, который мы ранее включили в XF 1.5.x в библиотеке Video JS. Эта проблема известна как «аутентификационный фишинг», который включает публикацию специально созданного URL-адреса, указанного в файле SWF Video JS. Этот специально созданный URL-адрес при нажатии или вставке на страницу может содержать другой URL-адрес, который возвращает ответ 401 и выводит приглашение на проверку подлинности. Это приглашение проверки подлинности может обмануть менее опытных пользователей, считая, что именно ваш сайт запрашивает аутентификацию, когда на самом деле введенные данные аутентификации могут быть отправлены злоумышленнику.
Эта проблема может потенциально затронуть пользователей XenForo 2.0, если вы ранее обновлялись с XenForo 1.5. Причиной этого является то, что поврежденный файл будет оставлен в вашей файловой системе после обновления, если вы не предприняли шаги для ручной или автоматической очистки старых файлов. Чтобы решить эту проблему как в XF 1.5, так и в XF 2.0, мы включаем файл с нулевым байтом, который перезапишет проблемный файл.
Мы рекомендуем всем клиентам обновляться до последней версии XF 1.5 или XF 2.0, но если вы не можете этого сделать, вы можете просто удалить файл, который находится в: js/videojs/video-js.swf.
В качестве побочного примечания, потенциально есть другой эксплойт в некоторых версиях браузера, который аналогичен. Это связано с URL-адресом, указывающим на ресурс, например изображение, которое возвращает ответ 401. Это эксплойт, который исправляется большинством поставщиков браузеров. В настоящее время он исправлен в последнем стабильном выпуске Chrome и предстоящих версиях Safari и Firefox. Если вас беспокоит такой эксплойт, пожалуйста, сообщите своим пользователям, что:
Мы внесли важное изменение в то, как мы будем выпускать импортеры XenForo в будущем. Вместо того, чтобы отправлять файлы с самим XenForo, импортеры будут устанавливаться как отдельное дополнение. Одна из причин такого изменения заключается в том, что мы можем обеспечить более частое обновление кода импортеров по мере необходимости, не дожидаясь обычного цикла выпуска XF.
В настоящее время доступными импортерами являются vBulletin (версии 3.x, 4.x, 5.x и дополнения к блогам), но мы активно работаем над выпуском большего количества импортеров в ближайшем будущем.
XenForo 2.1
Мы хорошо продвигаемся к XenForo 2.1, и хотя у нас нет ничего, чтобы показать вам, у нас есть планы по увеличению минимальных требований в XenForo 2.1, чтобы мы могли принести вам довольно приятные изменения Вы можете помнить, что в XenForo 2.0.2 мы начали собирать статистику по серверу, и это действительно было очень полезно, так что спасибо всем, кто согласился предоставить эту информацию. Мы хотели поделиться некоторыми статистическими данными на основе использования версий PHP:
Если вы используете версию PHP 5.6, вы получите предупреждение при установке или обновлении XenForo.
У нас есть довольно большие планы для XenForo 2.1, и мы много работаем над этим, поэтому ожидайте в ближайшие месяцы интересных новостей об этом.
Некоторые из других изменений в 2.0.3 включают:
Эта проблема может потенциально затронуть пользователей XenForo 2.0, если вы ранее обновлялись с XenForo 1.5. Причиной этого является то, что поврежденный файл будет оставлен в вашей файловой системе после обновления, если вы не предприняли шаги для ручной или автоматической очистки старых файлов. Чтобы решить эту проблему как в XF 1.5, так и в XF 2.0, мы включаем файл с нулевым байтом, который перезапишет проблемный файл.
Мы рекомендуем всем клиентам обновляться до последней версии XF 1.5 или XF 2.0, но если вы не можете этого сделать, вы можете просто удалить файл, который находится в: js/videojs/video-js.swf.
В качестве побочного примечания, потенциально есть другой эксплойт в некоторых версиях браузера, который аналогичен. Это связано с URL-адресом, указывающим на ресурс, например изображение, которое возвращает ответ 401. Это эксплойт, который исправляется большинством поставщиков браузеров. В настоящее время он исправлен в последнем стабильном выпуске Chrome и предстоящих версиях Safari и Firefox. Если вас беспокоит такой эксплойт, пожалуйста, сообщите своим пользователям, что:
- а) они должны использовать последнюю доступную версию своего предпочтительного браузера
- b) что данные для входа должны быть предоставлены только через форму входа в систему вашего сайта.
Мы внесли важное изменение в то, как мы будем выпускать импортеры XenForo в будущем. Вместо того, чтобы отправлять файлы с самим XenForo, импортеры будут устанавливаться как отдельное дополнение. Одна из причин такого изменения заключается в том, что мы можем обеспечить более частое обновление кода импортеров по мере необходимости, не дожидаясь обычного цикла выпуска XF.
В настоящее время доступными импортерами являются vBulletin (версии 3.x, 4.x, 5.x и дополнения к блогам), но мы активно работаем над выпуском большего количества импортеров в ближайшем будущем.
XenForo 2.1
Мы хорошо продвигаемся к XenForo 2.1, и хотя у нас нет ничего, чтобы показать вам, у нас есть планы по увеличению минимальных требований в XenForo 2.1, чтобы мы могли принести вам довольно приятные изменения Вы можете помнить, что в XenForo 2.0.2 мы начали собирать статистику по серверу, и это действительно было очень полезно, так что спасибо всем, кто согласился предоставить эту информацию. Мы хотели поделиться некоторыми статистическими данными на основе использования версий PHP:
- PHP 5.4: 6%
- PHP 5.5: 4%
- PHP 5.6: 34%
- PHP 7.0: 23%
- PHP 7.1: 23%
- PHP 7.2: 10%
Если вы используете версию PHP 5.6, вы получите предупреждение при установке или обновлении XenForo.
У нас есть довольно большие планы для XenForo 2.1, и мы много работаем над этим, поэтому ожидайте в ближайшие месяцы интересных новостей об этом.
Некоторые из других изменений в 2.0.3 включают:
- Вывод проекта всегда удаляется, когда необходимо удалить объект.
- В импортере vBulletin обрабатываюся несуществующие таблицы журналов.
- Нет уведомлений пользователей о сообщениях в личной переписке, если у них нет адреса электронной почты.
- Добавлена отсутствующая фраза, если не удается найти запись журнала.
- При возврате фразы в системе перевода и отсутствии родительского элемента она будет скрыта, чтобы избежать ошибок шаблона.
- Улучшен вывод ошибок для разработки JS.
- Ссылка пользователя «местоположение» всегда открывается в новом окне.
- Отслеживается «дубликат ключа», при просмотре темы.
- Отображать вопрос в виджете опроса по умолчанию, если другой заголовок не введен.
- Повторный подсчет количества непрочитанных личных переписок при открытии всплывающего окна переписок.
- Изменено использование jQuery.proxy в пользу XF.proxy.
- LightGallery обновлена до последней версии.
- Обновлен дополнительный кэш при обновлении XF, для отображения правильной версии XF.
- Обеспечена согласованная позиция для наложения ссылки «Редактировать аватар».
- При фильтрации списка пользователей передается указанный порядок и направление.
- Откорректирован список дополнительных узлов для встроенного блока, чтобы разрешить некоторые проблемы с интервалами в некоторых браузерах.
- Улучшена проверка входящих вызовов IPN PayPal.
- Отрегулирована регистрация действий модератора при копировании/перемещении сообщений.
- Обработка дополнительных атрибутов в тегах xf:datarow.
- Разрешения и конфиденциальность соблюдаются на стороне сервера при публикации сообщений профиля.
- Используйте только попытку отображения предупреждений, если доступен обработчик предупреждений.
- Повторно реализована возможность «Показать старые элементы» при просмотре списка с ограниченным количеством дней.
- Обновлена дата последнего изменения на языке изменения для обеспечения определенных совместимости, которая влияет CSS стили.
- В некоторых случаях проблема с Solve Media CAPTCHA будет ошибочно проходить, если HTML был подделан (например, через спам-бот).
- Переустановлены быстрые ссылки «Заблокировать/заблокировать IP» в списке IP-адресов пользователя в Admin CP.
- Добавлено сообщение в список уведомления Admin CP, если обнаружено, что некоторые уведомления содержат недопустимые критерии, такие как шаблоны, которые не существуют, или классы/методы PHP, которые не могут быть найдены.
- Расширенные функции цвета в значениях свойств поддерживаются при стилизации безопасных форм Stripe и "цвета темы"сайта.
- Добавлены новые события для bb_code_processor_action_map и bb_code_renderer_map.
- Ссылки в личных переписок перенаправляют на нужную страницу в переписке.
- Пользователи перенаправляются в список форумов правильно, если они нажимают login/register и уже вошли в систему.
- Улучшена совместимость с другими библиотеками JavaScript в шаблоне two_step_totp.
- Повторная реализация опции escapeClose для обработчиков.
- Когда CodeMirror инициализирован, он автоматически будет загружаться с любым заданным режимом.
- Если у платежного профиля нет заголовка для отображения, будет отображен заголовок профиля платежа вместо заголовка поставщика платежа.
- В импортере vBulletin конвертируются BB-коды [THREAD] и [POST] в BB-коды .
[*]В импортере vBulletin BB-коды [NOPARSE] конвертируются в BB-коды .
[*]Прерывание обработки кликов, если клик был сделан с помощью ключа-модификатора (Ctrl/Cmd и т.д.) или всего, кроме клика левой кнопкой мыши. Вы можете выбрать модификатор ключей/кликов, добавив атрибут data-click-allow-modifier="true".
[*]Отображение подключенных поставщиков учетных записей на странице входа.
[*]Устранена ошибка регулярного выражения при обработке некоторых возвратов электронной почты.
[*]Запрещено ведение журнала пользователей для заблокированных пользователей при импорте.
[*]Предотвращено перекрытие прокрутки списков редактора кода.
[*]При обнаружении того, можно ли сохранить идентификаторы для импорта форума, проверяется правильное значение максимального значения темы.
[*]Обнавляется кеш-реестр пользовательского звания, когда записи удалены.
[*]Обновлен CodeMirror до версии 5.35.0.
[*]Если в параметрах вложений указано пустое значение max height, нельзя изменить размер изображения до 0 height.
[*]«From name» отображается правильно во всех случаях, когда пользователь отправляет электронное письмо через контактную форму.
[*]Импорт вложений из vBulletin с правильным upload_date.
[*]При просмотре активности пользователя из tooltip или профиля указывается, просматривают ли они страницу с ошибкой.
[*]Правильное кэширование значения noticeLastReset в реестре, для избежания ненужного повторного запроса.
[*]Обратите внимание, что местозаполнитель {email} поддерживается в приветственном письме нового пользователя.
[*]Предотвращена ошибка при использовании флага без знака при вставке основных фраз.
[*]Предотвращена ошибка при попытке удалить платежный профиль, которые еще нигде не назначен.
[*]Ссылка News feed не показывается в меню пользователя, если канал новостей отключен.
[*]Новый метод getPaymentParams() в классе XF\Payment\AbstractProvider, поэтому параметры просмотра/ссылки по умолчанию можно более легко расширить.
[*]Исправлена проблема, которая блокировала активация вкладки «Предупреждения» в профиле пользователя при щелчке по количеству предупреждений.
[*]Исправлено недостающее слово в фразе mail_has_been_disabled_warning.
[*]Улучшена поддержка пустых значений строки в теге <xf:numberbox>.
[*]Предотвращен случайный выбор отключенных стилей.
[*]Добавлен rel="nofollow" в ссылки префиксов.
[*]Кнопки Apple Pay имеют правильную высоту.
[*]Обход проблемы с ошибкой в сообщениях в Internet Explorer 11, которая вызвала ненужные пробелы ниже вставленного изображения.
[*]Предотвращен запуск проверки службы контактов более одного раза.
[*]Обновление Froala до версии 2.7.6.
[*]Предотвращена загрузка расширенного редактора текста на Android 4 и ниже, если не используется современный браузер, такой как Chrome или Firefox.
[*]Исправлена ошибка, если первичный ключ структуры определяется как массив с одним элементом, а простой неблокированный массив передается методам FindI, где Id и whereIds.
[*]Безопасность: Отключено использование js/videojs/video-js.swf.
[*]Пропуск и регистрирование определенных событий Stripe, входящих в хуки Stripe.
[*]Предотвращена ошибка при анализе URL-адресов в помощнике импорта данных smilie.
[*]Предотвращение потери префиксов при перемещении или копировании сообщений в существующую тему.
[*]В целом предотвращены недопустимые ошибки UTF-8 во время импорта.
[*]При включении дополнения проверяется, что оно все еще соответствует требованиям.
[*]При отображении дня рождения пользователей в «День рождения сегодня», увеличено ограничение «recently active» до 365 дней.
[*]Исправлена проблема, которая означала, что критерии страницы стиля был неправильно сохранены в качестве пользовательских критериев. Примечание: Вам необходимо будет редактировать все уведомления и повторно применить этот критерий.
[*]Изменения, гарантирующие правильное импортирование заголовков сообщений.
[*]Отображение соответствующей ошибки, если вы попытаетесь начать личную переписку с самим собой.
[*]Только попытка перейти к хэш-части URL-адресов, если он представляет действительный селектор.
[*]При импорте заблокированных адресов электронной почты, повторное обнаружение нечувствительно к регистру, для избежания прерывания процесса импорта.
[*]Любому пользователю всегда разрешено просматривать всплывающую подсказку пользователя, независимо от того, является ли пользователь допустимым пользователем или нет.
[*]Максимальные результаты поиска теперь привязаны к параметру maximumSearchResults, а не жестко закодированы до 200.
[*]Разрешены подключенные учетные записи, если опция «boardActive» отключена.
[/LIST]
[/SPOILER][B]
[B]Были изменены следующие публичные шаблоны:[/B][/B]
[SPOILER]
[LIST]
[*]account_alerts
[*]account_alerts_popup
[*]account_visitor_menu
[*]app_body.less
[*]app_nav.less
[*]bb_code_preview
[*]code_editor.less
[*]conversation_message_macros
[*]core.less
[*]core_avatar.less
[*]core_bbcode.less
[*]core_blockmessage.less
[*]core_hscroller.less
[*]core_labels.less
[*]core_tooltip.less
[*]editor_base.less
[*]forum_filters
[*]forum_post_quick_thread
[*]forum_view
[*]google_analytics
[*]helper_action
[*]member_macros
[*]message.less
[*]node_list.less
[*]PAGE_CONTAINER
[*]payment_initiate_braintree
[*]payment_initiate_stripe
[*]post_macros
[*]thread_list_macros
[*]thread_view
[*]two_step_totp
[*]widget_members_online
[/LIST]
[/SPOILER][B][B]
При необходимости для интеграции этих изменений следует использовать систему слияния на странице «Устаревшие шаблоны»
[B]Примечание: аддоны, настройки и стили, сделанные для XenForo 1.x, несовместимы с XenForo 2. Если ваш сайт использует их для выполнения основных функций, убедитесь, что существует версия для XenForo 2 до начала обновления. Настоятельно рекомендуется сделать резервную копию перед обновлением.[/B]
[B]Требования[/B]
[I]Обратите внимание, что XenForo 2.0 имеет более высокие требования к системе, чем XenForo 1.x. В ближайшее время мы обновим скрипт тестирования требований, чтобы это отразить. Ниже приведены минимальные требования:[/I]
[LIST]
[*]PHP 5.4 или новее
[*]MySQL 5.5 и новее
[*]Все официальные дополнения требуют совместимость с XenForo 2.0.
[*]Для Enhanced Search требуется, по крайней мере, Elasticsearch 2.0.
[/LIST]
[/B][/B][/URL][/LIST][/SPOILER]
