Parasolx

Professional in Drupal web development, theme designing, consultation and training

Drupal

Segalanya mengenai Drupal

Security Update: Contrib 2012 148

27 Sep 2012 - 10:38 am

OG - Access Bypass

https://www.drupal.org/project/og

OG (Organic groups) enables users to create and manage their own 'groups'. Each group can have subscribers, and maintains a group home page where subscribers communicate amongst themselves. A group membership can be given immediately upon subscribing, or be pending - waiting for a group administrator to approve it.

OG doesn't properly maintain pending memberships if the user is allowed to edit their own account.

In addition, under certain circumstances, a user was able to post to a group which they were not a member of.

There are no additional mitigating factors for these issues.

Security Update: Contrib 2012 142-145

21 Sep 2012 - 09:05 am

Spambot - Cross Site Scripting (XSS)

The Spambot module enables you to protect new user registrations from spammers using the database at stopforumspam.com.

Spambot doesn't sufficiently sanitize API responses from stopforumspam.com when they are logged to the watchdog, allowing a potential XSS attack.

This vulnerability is mitigated by the fact that only stopforumspam.com (or someone pretending to be stopforumspam.com) can exploit it.

PRH Search - Cross Site Scripting (XSS)

PRH Search provides an interface to search for association information for Finnish association using the PRH (Patentti- ja Rekisterihallitus) database. The module fails to sanitize data retrieved from an untrusted third party source, thereby exposing an arbitrary script injection vulnerability (XSS).

This vulnerability is mitigated by the fact that an attacker must have either gained access to that third party source or use techniques such as DNS spoofing in order to inject malicious data.

Fonecta verify - Cross Site Scripting (XSS)

Fonecta verify provides an interface to retrieve information from the Finnish Fonecta company information database. The module contains an arbitrary script injection vulnerability (XSS) due to the fact that it fails to sanitize data retrieved from an untrusted third party source.

This vulnerability is mitigated by the fact that an attacker must have either gained access to that third party source or use techniques such as DNS spoofing in order to inject malicious data.

Imagemenu - Cross Site Scripting (XSS)

Imagemenu module allows you to create Drupal menus from images files.

The module doesn't sufficiently escape image file names when rendering menus, allowing a potential XSS attack.

This vulnerability is mitigated by the fact that an attacker must have a role with the permission "administer imagemenu".

Drupal 7 lebih berpotensi daripada Drupal 6

23 Aug 2012 - 09:11 am

Semenjak kelahiran Drupal 7 seawal tahun ini, ramai pengguna Drupal mula mengagumi keupayaannya sebagai sebuah sistem yang lebih menjanjikan. Ditambah dengan peningkatan yang dibuat terhadap papara penggunaan dan beberapa fungsi asal diperbaiki.

Paling menarik dalam Drupal 7 adalah proses kemas kini modul tambahan. Sebelum ini aktoviti seperti ini perlu dijalankan secara lebih teknikal. Pengguna perlu menggunakan perisian atau akses menerusi FTP, log masuk ke dalam pelayan dan kemas kini kepada versi modul terbaru.

Penambahbaikkan yang sangat drastik dalam D7 membolehkan sesiapa sahaja tidak mengira pengendali laman atau pengguna baru dapat mengemas kini modul hanya melalui Drupal sahaja. Modul Update manager yang ditambah baik ini menyokong proses memuat turun modul dari pelayan Drupal.org terus ke pelayan laman. Proses ini semuanya dijalankan secara automatis hanya dengan beberapa klik sahaja.

Kemas kini modul adalah sangat penting bagi menjamin laman Drupal tidak terdedah kepada masalah keselamatan yang boleh mengundang kepada aktiviti godaman daripada sesetengah pihak.

Multi bahasa dalam Drupal 7

29 May 2012 - 02:20 pm

Drupal sememangnya dari dahulu lagi cuba memperkenalkan kebolehan untuk menghasilkan laman jenis multi bahasa terus daripada teras (core). Bermula daripada D6, Drupal sudah menerap masuk modul terjemahan terus ke dalam terasnya. Boleh dikatakan proses untuk membuat multi bahasa dengan Drupal 6 agak mudah dan senang. Drupal perkenalkan dua konsep dalam penterjemahan iaitu:

  • terjemahan antara muka
  • terjemahan kandungan.

Dalam D6, terjemahan antara muka sangat mudah dilakukan. Sama ada dengan memuat turun fail terjemahan di https://localize.drupal.org/translate atau pun setiap pembangun boleh membuat terjemahan secara persendirian. Setiap terjemahan akan dikompilasi dalam bentuk fail JavaScript. Setiap kali halaman dihasilkan menerusi sistem, penukaran terjemahan akan dilakukan menerusi penggantian oleh Javascript.

Dalam D7, ternyata fungsi multi bahasa telah dipertingkatkan kepada satu tahap yang lebih menyeluruh. Dalam D6, terjemahan hanya tertakluk kepada entiti yang dipegang oleh modul CCK. Manakala setiap satu frasa dan ayat diterjemahkan menerusi antara muka. Kelemahan pada D6, elemen seperti nama penulis, menu dan taksonomi sukar untuk diterjemahkan memandangkan ianya bukanlah entiti secara persendirian.

Berbeza dalam D7, ke semua elemen dalam satu halaman ditakrifkan sebagai satu entiti. Terima kasih kepada tim Drupal 7 yang telah menerap masuk modul CCK (Content Construction Kit) terus ke dalam sistem Drupal. Dengan bantuan beberapa modul yang lain, D7 berupaya (setakat ini) menterjemahkan sepenuhnya setiap elemen ke dalam bahasa kedua. Dalam D6, terjemahan hanya terhad kepada kandungan dan antara muka. Manakala dalam D7, terjemahan boleh dibuat merangkumi kandungan dan antara muka menerusi entiti.

Multi bahasa mula mendapat perhatian pengguna dan pembangun laman web dengan sistem pengurusan kandungan. Mengapa perlu menghabiskan masa menyediakan dua laman berbeza semata-mata kerana bahasa yang berlainan. Mengendalikan dua laman web bukan sahaja memakan masa, tetapi dari segi pengurusan, struktur kandungan seharusnya hampir sama dan mempunyai identiti yang tidak jauh berbeza.

Dengan modul i18n.module, terjemahan pada D7 boleh dilakukan lebih spesifik merangkumi kandungan, antara muka, taksonomi, menu, blok, entiti dan terbaru pilihan-pilihan pada borang (select, dropdown select) juga boleh diterjemahkan! Ini adalah antara kekuatan dan kehebatan Drupal dalam mengendalikan sistem kandungan berbanding sistem lain. Walau bagaimanapun, proses mencapai tetapan yang diperlukan bukan satu perkara mudah. Setakat ini, saya dapati modul terjemahan pada D7 belum mencapai tahap betul-betul matang. Masih banyak ralat dan lohong yang perlu ditambah baik berbanding versi D6.

Drupal hanya sesuai untuk pelantar pelayan yang tinggi?

26 Mar 2012 - 11:45 pm

Spekulasi lapuk ini selalu dibincangkan hangat oleh pengguna diluar sana. Drupal memerlukan spesifikasi pelayan yang tinggi untuk dijalankan. Drupal tidak mampu untuk dijalankan pada pelayan jenis perkongsian. Semuanya mitos dan hanya dipropagandakan sahaja.

Bermula dari Drupal 4 sehinggalah sekarang kemunculan Drupal 7 dan Drupal 8 yang dalam pembinaan, Drupal mampu dijalankan pada pelantar yang terhad dan minimum. Jangan beranggapan laman web itu hanya mempunyai pemasangan asas sebaliknya dilengkapi dengan beberapa modul yang mempunyai fungsi dan keupayaan yang besar.

Saya mempunyai pendekatan yang berlainan. Setiap laman web atau sistem yang dibina dengan Drupal akan fokus kepada fungsi dan matlamat ianya dibina. Tidak perlu memuatkan puluhan fungsi bagi membezakan laman kita dengan orang lain. Sebaliknya satu fungsi yang digunakan 100% lebih berbaloi berbanding 100 fungsi yang hanya digunakan 10% sahaja.

Sememangnya Drupal akan menggunakan sumber yang besar dengan penglibatan dan pemasangan modul tambahan secara tidak terkawal. Dan kesan ini diaplikasikan kepada semua sistem pengurusan kandungan, bukan tertumpu kepada Drupal sahaja. Apa yang penting adalah fokus secara mikro kita kepada setiap abiliti yang diterapkan dalam satu-satu sistem.

Sepanjang penglibatan saya menggunakan Drupal, saya lebih selesa menjalankan proses pengoptimuman pada pelantar jenis perkongsian. Walaupun dalam keadaan terhad dari segi akses kepada fungsi dan capaian konfigurasi pelayan, ia memberi saya satu motivasi untuk meminimumkan penggunaan sumber Drupal tetapi menyediakan fungsi yang jauh berguna berbanding keupayaannya yang sebenar.

Pages