http://developer.joomla.org/security/595-20140903-core-remote-file-inclusion.html
на дворе 2014 год, а у них всё remote file inclusion

Понадобилось странное: достать изображения их шаблона отчёта fast report. На деле это оказался xml файл, в котором данные об изображении хранятся в тегах TfrxPictureView. На вид было похоже, что там бинарные данные в шестнадцетиричном представлении. На деле так и оказалось. Заглянув внутрь увидел TBitmap, чего и следовало ожидать, т.к. программа, что их использовала была на дельфи или си билдере, хотя я наделся увидеть сигнатуры jpeg. Какая структура у TBitmap при сериализации в файл я понятия не имею, быстрое гугление результатов не дало. Понадеявшись, что там в заголовке какая-то служебная информация типа размера файла и пр. а дальше идёт bmp побрутофорсил маленько. Получилось:

Из-за этого слива паролей яндекс принудительно включил шифрование на pop3, точнее запретил без него. А у меня часть почты тянулась гуглом с него из почтовых ящиков, пароль к которым потерялся. Теперь они окончательно потерялись, так как теперь я не могу включить шифрование в гугле без указания пароля. Не помню, чтобы что-то критичное было завязано на них, но всё равно неприятно.

20 дней назад написал письмо с описанием уязвимости пытаясь поучаствовать в bug bounty от киви. Но ни ответа ни привета не пришло. Написал повторно, и сразу пришёл ответ: “Спасибо, от ошибке знаем, скоро поправим”. Ответил, что уже писал им про эту ошибку, но ответа не было. Ответа опять нет. Такие дела.

Читать полностью »

Сделал для UMI.CMS платёжный модуль по приёму к оплате QIWI Visa Wallet. Проверялось на UMI.CMS версии 2.9.
К сожалению архитектура юми не предоставляет возможности оформить это в отдельный модуль и установить одной кнопкой, поэтому для установки мне нужен будет доступ ssh/ftp.
Обращайтесь.
Читать полностью »

Из всех облачных серверов, что я пользуюсь и за которые я плачу, это amazon s3 и эльба. В амазоне бэкапы, а вот в эльба помогает мне вести бухгалтерию. Бухгалтерия, для меня, это что-то непонятное. А там сидят специально обученные люди, которые это умеют или следят за всеми обновлениями. Главное, что это всё электронное и нет необходимости ехать куда либо. Автоматические уведомления сколько и куда заплатить, какую и когда отчётность сдать. Эльба позволяет мне, далёкому от всей этой бухгалтерии, управлять с ней, да и вроде понимать, что там и куда. “Подсел” на неё когда была ещё бесплатная версия, потом на день рождения Радио-Т была раздача пользования на год. Скидки и акции там не такая уж и редкая штука, вот и сейчас тоже идёт акция, с промокодом 69405266 можно получить дополнительно 3 месяца бесплатного обслуживания.

При запуске агентов в битрикс в $GLOBALS не создаётся USER и можно очень долго гадать и искать, почему вызванный агент не отрабатывает до конца, а падает при выполнении какого-то метода API, который где то там в кишочках битрикса использует $GLOBALS[“USER”].

При публикации решений в маркетплэйсе нужно в include.php и install.php обязательно добавлять закрывающий ?> т.к. их упаковщик проверок не делает и автоматом дописывает в конец файла

Если вдруг чего-то не билдится с предложением поставить .Net SDK 2
или ошибками

то надо ставить Visual Studio, я поставил 2012 и запускать установку с ключиком

Ничего другого не помогло.
Вроде всё сбилдилось.

Так же как javascript подключать css в joomla лучше через JHtml. Это даёт возможность упростить обработку подключаемых стилей плагинами. Об одном из таких плагинов я и хочу написать. Читать полностью »