движки, серверы и все-все-все / Хабр
Веб-форумы. После начавшегося бума социальных сетей многие пророчили им скорую смерть. Но они еще живы, и, мало того, активно развиваются.Какие движки используют успешные форумы? На каких серверах они работают? В какой кодировке хранят написанные пользователями сообщения? Вытеснит ли зашифрованный протокол HTTPS старый добрый HTTP?
В исследовании используется статистика «Рейтинга форумов Рунета, Уанета и Байнета». Этот рейтинг содержит свыше 400 крупнейших русскоязычных (более 1 миллиона сообщений), украиноязычных (более 50 тысяч сообщений) и беларускоязычных (более 2 тысяч сообщений) форумов.
Программное обеспечение
Как видно из диаграммы, за первое место борются платные движки Invision Power Board (ныне IPS Community Suite) и vBulletin. При этом лидером, пусть и с небольшим отрывом, все же является IPB.
На 3-м месте с небольшим отставанием идет бесплатный phpBB, распространяющийся по лицензии GNU GPL. Кроме него, также достаточно популярен SMF (Simple Machines Forum) — наследник YaBB SE, который в свою очередь ведет свою историю от YaBB на Perl.
Особо стоит отметить платный XenForo, первый публичный релиз бета-версии которого состоялся в октябре 2010 года, а первая стабильная версия вышла 8 марта 2011 года. Несмотря на платность и сильную конкуренцию, он сумел попасть в пятерку самых популярных движков. Причем некоторые форумы отказались от ранее используемого программного обеспечения и перешли на XenForo. Крупнейший из них — BMW Club, содержащий более 27 миллионов сообщений. Ранее он работал на платном vBulletin.
Интересно, что некоторые крупные проекты используют сервисы форумов — в основном, форумы бесплатного хостинга uCoz.
Использование старых движков, таких как IkonBoard 2 (Компьютерный форум Ru.Board) или YaBB 1 (Absolute Games Forums Central), обусловлено большим возрастом этих форумов, а также, по всей видимости, консервативностью администраторов и (или) пользователей, не желающих переходить на современное программное обеспечение. Кроме того, эти форумы в значительной степени модифицированы и уже мало похожи на оригинальные IkonBoard и YaBB.
Web-серверы
Как можно видеть из таблицы, более 2/3 всех крупнейших форумов используют nginx. Правда, в этот процент входят не только форумы, работающие на чистом nginx, но и использующие его как front-end к другому серверу (как правило, к Apache). Такая высокая популярность nginx на крупных форумах обусловлена его устойчивой работой на высоконагруженных проектах.
IIS (Internet Information Services) от Microsoft имеет еще меньшую распространенность. Его используют менее 2% форумов. Крупнейшим из них является форум SQL.ru, содержащий более 19 миллионов сообщений.
Значительную часть форумов из пункта «Другой или не определен» составляют сайты, использующие сервисы для защиты от DDoS-атак — CloudFlare, Qrator, DDoS-GUARD.
Кодировки
Среди кодировок, что неудивительно, лидирует UTF-8. Удивительно то, что Windows-1251 почти не отстает от нее. Но и в этом нет ничего необычного, если вспомнить, что в статистике учитываются крупнейшие форумы. А крупнейшие — это, как правило, достаточно старые форумы, создававшиеся еще во времена dial-up’а, когда на счету был каждый байт. Стоит напомнить, что символы кириллицы занимают в UTF-8 по 2 байта, тогда как в Windows-1251 и KOI8-R — по 1 байту.
Еще интереснее, что до сих пор сохранились форумы, использующие кодировку KOI8-R. Среди крупнейших это Farit.ru (более 8 миллионов сообщений), Конференция портала HiTV (более 2 миллионов сообщений) и Кулинарный форум Kuking (более 1 миллиона сообщений).
Протоколы
Последние годы наблюдается постепенный переход сайтов на защищенный протокол HTTPS (Hypertext Transport Protocol Secure). Его основным преимуществом является шифрование всего передаваемого трафика.
Ранее HTTPS использовался только для отдельных частей некоторых сайтов, где действительно требовалась безопасная передача данных (например, интернет-банкинг). Но со временем на HTTPS стали переходить и обычные сайты. Среди крупнейших — «Google», «Яндекс», «Википедия», «Facebook», «ВКонтакте», «Одноклассники».
Затронула эта тенденция и форумы. Так, на сегодняшний день уже более 10% крупнейших форумов используют протокол HTTPS, и их количество постоянно растет. Отчасти это может быть связано с более благосклонным отношением к таким сайтам со стороны Google («Google повышает сайты с HTTPS в выдаче»).
Тем не менее, пока еще около 90% продолжают работать на протоколе HTTP.
Версии PHP
В качестве бонуса в статью добавлена статистика по версиям PHP, установленным на серверах крупнейших форумов. Удивительно, но более 1% форумов продолжают использовать PHP 4! Самой популярной версией остается PHP 5.3, а новый PHP 7 установлен лишь на 2-х форумах.
Заключение
Подводя итоги, можно выделить следующие тенденции, наблюдаемые среди крупнейших форумов Рунета, Уанета и Байнета за последние несколько лет:
- самыми популярными движками остаются платные IPB и vBulletin;
- переход некоторых форумов на новый коммерческий движок XenForo;
- использование сервера nginx, а также сервисов для защиты от DDoS-атак;
- медленный переход на кодировку UTF-8 при сохранении серьезных позиций у Windows-1251;
- подавляющее большинство форумов пока еще использует протокол HTTP, но наблюдается постепенный переход на HTTPS.
Плюсы и минусы CMS XenForo. Детальный обзор, отзывы пользователей
Удобство использования
По умолчанию движок устанавливается с английским интерфейсом, но его можно легко русифицировать, загрузив язык в разделе Appearance. Административная панель, несмотря на функциональность движка, не пугает большим количеством вкладок, а логично делится на несколько разделов:
- Главная
- Приложения
- Пользователи
- Внешний вид
- Инструменты
При всей функциональности XenForo не создаёт чрезмерную нагрузку на сервер после установки плагинов. Разработчики добились снижения нагрузки даже по сравнению со старыми версиями Vbulletin, к созданию которых они были причастны. XenForo сейчас — самый экономичный движок для форума.
Безопасность тоже не подвергается сомнению. Проблемы могут возникнуть при загрузке плагинов сомнительного происхождения, но если следовать базовым правилам поведения и не устанавливать что попало, то неприятностей не будет. Для обеспечения высокого уровня безопасности достаточно постоянно обновлять XenForo и защитить папку по IP-адресу, отредактировав файл . htaccess.
Дизайн
За настройку дизайна в административной панели отвечает раздел «Внешний вид», который включает несколько вкладок:
- Цветовая палитра
- Настройки стиля
- Шаблоны
- Стили
- Языки
- Фразы
Если вам не нравится цветовая гамма, которая используется на шаблоне, вы можете инвертировать её на вкладке «Цветовая палитра» или настроить вручную каждый элемент страницы в разделе «Настройки стиля». Все опции описаны, поэтому разобраться с ними будет просто, но знание CSS всё-таки пригодится.
Сами стили можно скачать бесплатно на разных форумах и сайтах, посвящённых дизайну и разработке форумов на XenForo. Файлы импортируются через вкладку «Стили» в административной панели. Качество исполнения самое разное и зависит только от мастерства исполнителя.
Стили включают не только разные цветовые гаммы и значки, но и макеты сообщений и узлов, панели категорий, фоновое изображение, шрифты и ещё сотни настроек, которые помогают кастомизировать одну тему для разных сайтов.
Поисковая оптимизация (SEO)
XenForo изначально разработан так, чтобы у форума не было проблем с индексацией. Контент, который создают администраторы и пользователи, предоставляется поисковым роботам оптимальным образом.
Основные SEO-возможности движка:
- Автоматическое формирование человекочитаемых URL.
- Высокая скорость загрузки страниц благодаря продвинутой оптимизации движка.
- Поддержка микроразметки для корректного отображения контента в поисковой выдаче.
- Использование семантической вёрстки.
- Автоматическое генерирование карты сайта.
- Тонкая настройка скрытия нерелевантного контента от посетителей и поисковых роботов.
Это базовые возможности XenForo. Расширить функциональность можно с помощью SEO-плагинов. Они позволяют гибко настраивать кэширование, автоматически конвертировать изображения для большей оптимизации сайта, управлять индексацией и выполнять другие полезные действия, которые повышают позиции форума в поисковой выдаче.
Тарифы
Пожизненная лицензия на XenForo обойдётся в 140 долларов. В эту стоимость входит техническая поддержка и получение обновлений в течение года. По истечении этого срока для получения обновлений и доступа к технической поддержке нужно платить каждый год 40 долларов.
Это основные затраты на использование движка. В качестве дополнительных опций можно выбрать:
- Удаление уведомления об авторском праве XenForo со всех страниц сайта — 250 долларов.
- Установка представителем XenForo последней версии движка на вашем сервере — 50 долларов.
- XenForo Media Gallery, дополнение, которое позволяет администраторам и посетителям создавать галереи изображений и видео — 60 долларов плюс 15 долларов при ежегодном продлении лицензии.
- Диспетчер ресурсов, который поможет управлять файлами, загрузками и похожими на статьи материалами — 60 долларов плюс 15 долларов при ежегодном продлении лицензии.
- Расширенный поиск, который позволяет получить более качественные результаты и ускорить нахождение информации на форуме — 50 долларов плюс 10 долларов при ежегодном продлении лицензии.
XenForo — движок, за который нужно постоянно платить. Поэтому если форум не будет приносить доход, то окупить его создание точно не получится. К тому же в европейских странах цены увеличиваются при покупке по формуле «Стоимость лицензии+НДС». Ставка НДС меняется в зависимости от региона, из которого производится покупка.
Лучший хостинг для XenForo
XenForo не требователен к хостингу, однако это не значит, что можно выбрать для размещения форума любую площадку. Если вы создаёте комьюнити с перспективой для роста, нужно сразу выбирать надёжный хостинг с потенциалом для расширения. Этой характеристике соответствует, например, Bluehost — международный хостер с дата-центрами на всех континентах.
- Для небольшого форума хватит возможностей виртуального хостинга. Стоимость тарифов — от 5,95 до 19,95 доллара в месяц при оплате на год.
- Если нужна гибкая конфигурация сервера и гарантированные ресурсы, берите VPS.Стоимость тарифов — от 19,99 до 59,99 доллара в месяц.
- Для крупных форумов может понадобиться выделенный сервер. Стоимость аренды одно машины — от 79,99 до 119,99 доллара в месяц.
Главные плюсы Bluehost — бесперебойная работа и высокая скорость. Пользователи всегда смогут зайти на форум и оставить комментарии или запустить новые обсуждения.
На Bluehost есть также дополнительные сервисы — кроме регистрации доменного имени это ещё и настройка корпоративной почты, а также предоставление различных инструментов маркетинга и продвижения сайта.
Достоинства и недостатки
Главное достоинство XenForo в том, что этот движок постоянно развивается и делает это в направлении, которое устраивает большинство веб-мастеров. Каждое обновление даёт функции, которых не хватало в предыдущей версии, и редко что-то портит — другим форумным движкам стоит брать пример. Тот же Vbulletin, бывшие разработчики которого и развивают XenForo, после третьей версии выбрал не тот путь, так что четвёртая и пятая версии оказались провальными — и никакой авторитет не помог.
Среди других положительных моментов отметим:
- Высокий уровень безопасности.
- Простота в использовании на фоне других форумных движков.
- Хорошую оптимизацию и индексацию поисковыми системами, что сильно помогает увеличению количества посетителей.
- Демократичные требования к хостингу и отсутствие высокой нагрузки.
- Большое количество плагинов и стилей.
- Отличная техническая поддержка, которая полностью отрабатывает стоимость своей работы.
За XenForo нужно постоянно платить, но по сравнению со стоимостью других форумных движков, он обходится намного дешевле. К недостаткам можно отнести разве что невысокую функциональность «из коробки», без установки плагинов, и слабый поиск — до тех пор, пока не будет куплен плагин расширенного поиска.
Создание форума на XenForo
У Xenforo есть удобный мастер, который поможет установить движок. Но сначала нужно оплатить хостинг, зарегистрировать и прикрепить домен, а также создать базу данных. Затем:
- Скачайте движок Xenforo с официального сайта.
- Распакуйте файлы.
- Загрузите содержимое архива на сервер в корневой каталог сайта через FTP или файловый менеджер на хостинге.
Чтобы вызвать мастер установки, введите в адресной строке браузера доменное имя сайта. Всё вы закинули файлы в нужный каталог на сервере, то на вкладке появится мастер установки. Нажмите на кнопку Begin installation. Затем:
- Укажите сведения о базе данных для подключения: добавьте пользователя, выберите привилегии.
- Создайте администратора: введите имя, пароль, адрес электронной почты.
- Впишите название форума, его адрес, контактный e-mail, выберите главную страницу.
Форум создан. Осталось только его настроить.
Настройка форума
Административная панель доступна по адресу site.ru/admin.php. Для авторизации используйте те данные, которые вы указали при установке движка: имя пользователя и пароль.
По умолчанию интерфейс на английском языке. Русифицировать его можно с помощью дополнения. Загружается русификатор в разделе Appearance — Languages.
Вы также можете изменить стандартный стиль форума. Для этого нужно скачать тему для Xenforo, а затем загрузить её на сервер в папку styles. Файл темы с расширением XML необходимо импортировать через раздел «Внешний вид» — «Стили».
После такой базовой настройки можно приступать к созданию архитектуры форума. Она очень простая: есть категории и форумы. Внутри форумов уже создаются темы.
- В боковом меню раскройте раздел «Форумы» и выберите пункт «Узлы».
- Удалите стандартные узлы.
- Нажмите на кнопку «Добавить узел».
- Выберите тип узла — «Категория».
- Заполните поля: заголовок, описание, порядок отображения, раздел навигации.
Внутри категорий уже можно создавать форумы. Порядок аналогичный, но есть пара отличий: тип узла будет «Форум», а в поле «Родительский узел» нужно выбрать категорию, внутри которой форум будет отображаться.
Выводы
XenForo — движок, который взял у предшественников лучшее и теперь делает всё, чтобы вытеснить их с рынка. Получается неплохо: веб-мастера внимательно следят за развитием проекта и часто прислушиваются к советам коллег, которые уже перенесли свои сайты.
Там, где другие движки отказываются работать из-за высокой нагрузки на сервер, XenForo продолжает функционировать — это, пожалуй, главный фактор в пользу того, чтобы создать на нём крупные площадки. У движка нет проблем с безопасностью, стоит он дешевле конкурентов, а постоянные обновления делают его только лучше. Возможно, это так будет продолжаться не вечно, но пока XenForo очень хорош.
В качестве альтернативы можно выбрать хороший конструктор сайтов с возможностью создания форумов, такие как uCoz или Wix. Конструкторы значительно дешевле и проще в освоении, при этом позволяют делать современные полноценные форумы.
Создание сайта на phpBB CMS в Москве — YouDo
В век интернет технологий, всевозможные веб-сайты и форумы мало кого могут удивить, напротив, все больше и больше людей хотят создать сайт на phpBB и виртуальные страницы для общения и работы. Сайты могут быть очень полезны для улучшения бизнеса или рекламы каких-либо продуктов. Существуют также сайты для обмена информацией, общения и тд, так называемые форумы. Как раз о таких сайтах и пойдет речь. Правильно созданный и оптимизированный веб-форум может приносить неплохой доход своему владельцу, однако для этого необходимы:
- Создание сайта на PhpBB
- Наполнение подходящим контентом
- Оптимизация сайта
- Продвижение форума в интернете
- Поддержка форума
Отдельное внимание стоит уделить, как раз, разработке сайта, поскольку эта процедура является важнейшей во всем процессе. От качества изготовления зависит то, насколько быстро и правильно будет работать сайт, а это является основным критерием для пользователей. Создание сайта с помощью PhpBB – один из самых популярных и надежных способов создания интернет-форумов.
Преимущества PhpBB
Конечно же, можно использовать и другую систему управления сайтом, но как показывает практика, PhpBB CMS является наиболее оптимальным вариантом, и на то есть ряд причин. Прежде всего, система поддерживает все основные СУБД работающие на PHP. Кроме того, PhpBB обладает такими преимуществами:
- Удобный интерфейс
- Простая в управлении система шаблонов
- Возможность использования программы на разных языках
- Наличие постоянных обновлений
- Поддержка русскоязычного комьюнити
Как правило, разработка сайтов на PhpBB не занимает много времени, но только в том случае, если работу выполняет профессионал. Не рекомендуется пытаться создать сайт самостоятельно, так как вряд ли вы преуспеете в этом деле.
Поиск программиста
В Москве и Санкт-Петербурге можно без труда найти специалиста, который сможет создать сайт на движке PHP. Вы также можете купить уже готовый шаблон. Но в этих случаях существует риск переплаты или некачественного выполнения работы.
Не тратьте свое время, на поиски программиста, воспользуйтесь услугами он-лайн биржи YouDo.com. У нас вы можете заказать сайт на PhpBB по приемлемой стоимости, с полным прейскурантом цен можно ознакомиться на странице YouDo.
Кроме того, все исполнители, зарегистрированные в нашей базе данных, имеют многолетний опыт в сфере веб-разработок, и могут гарантировать:
- Быстрое и качественное создание сайта под ключ
- Профессиональное создание сайтов на любом движке
- Выполнение работы точно в оговоренные сроки
- Гарантийное обслуживание сайта
- Индивидуальный подход к каждому клиенту
Именно по этим причинам вам стоит заказать сайт на бирже YouDo.com. Оставьте он-лайн заявку на нашем сервисе, и через несколько минут вы сможете найти исполнителя.
CMS Vbulletin — все о движке Vbulletin, что нужно знать о CMS
CMS Vbulletin изначально разрабатывалась как движок для форумов. История разработки платформы начинается в 1999 году, когда создавался форум, посвященный Visual Basic. В дальнейшем форум рос, и на базе этого сообщества возник движок. В начале 2009-го года он превратился в платную CMS. Разработчики ценят платформу за множество тем оформления, но помимо достоинств, система имеет недостатки:
- Прежде всего, платформа не бесплатная. Годовая лицензия на 2017 год обойдется в 250 долларов. Бонусом идет поддержка на форуме «Vbulletin».Веб-разработчики, привыкшие к нулевой стоимости движков Joomla или Drupal, не слишком вдохновляются такой CMS.
- Так как система разрабатывалась для форумов, движок часто не справляется с нагрузкой полноценного сайта. Запросы к MySQL, которые другие движки выполняют за половину или четверть секунды, сайт на Vbulletin выполнит за целую секунду.
- Неудобная панель администрирования. После других административных панелей сложно понять, что за значок расположен в левом верхнем углу, и для чего здесь находится вот эта кнопка. На то, чтобы разобраться в особенностях админки, придется потратить неделю.
- Помимо медленной обработки запросов, движок создает дополнительную нагрузку на хостинг. Поэтому СMS Vbulletin требует хостинга с большим объемом, чем другие системы.
- Для импорта данных с других ресурсов на движок ставится дополнительный модификационный патч, который работает не всегда корректно, особенно с устаревшими движками и сайтами.
- На движке Vbulletin недостаточно хорошо реализовано отображение сайтов на мобильных устройствах. При работе с IE некорректно отображаются элементы верстки.
- И последний недостаток – если искать в Google название CMS, можно натолкнуться на порно-ролики с таким же наименованием. Пару сотен веб-разработчиков они уже отвлекли.
обсуждение и комментарии в Тинькофф Пульс
📌 Рынок акций США закрылся падением, Dow Jones снизился на 0,94% 📢 Фондовый рынок США завершил торги среды падением на фоне негативной динамики со стороны секторов сырья, промышленности и нефти и газа. На момент закрытия на Нью-Йоркской фондовой бирже Dow Jones снизился на 0,94%, индекс S&P 500 подешевел на 0,76%, индекс NASDAQ Composite подешевел на 1,12%. ✅ В лидерах роста среди компонентов индекса Dow Jones по итогам сегодняшних торгов были акции Procter & Gamble Company $PG , которые подорожали на 2,42 п. (1,86%), закрывшись на отметке в 132,60. Котировки Walmart Inc $WMT выросли на 1,57 п. (1,19%), завершив торги на уровне 133,94. Бумаги Coca-Cola Co $KO выросли в цене на 0,39 п. (0,76%), закрывшись на отметке 51,39. ✅ Лидерами падения стали акции Dow Inc $DOW , цена которых упала на 2,76 п. (4,35%), завершив сессию на отметке 60,75. Акции Boeing Co $BA поднялись на 9,98 п. (3,97%), закрывшись на уровне 241,25, а Caterpillar Inc $CAT снизились в цене на 7,77 п. (3,44%) и завершили торги на отметке 218,25. ✅ В лидерах роста среди компонентов индекса S&P 500 по итогам сегодняшних торгов были акции WEC Energy Group Inc $WEC, которые подорожали на 4,07% до отметки 92,37, CMS Energy Corporation $CMS , которые набрали 3,47%, закрывшись на уровне 60,53, а также акции Nextera Energy Inc $NEE , которые повысились на 3,25%, завершив сессию на отметке 74,02. ✅ Лидерами падения стали акции Macy’s Inc $M , которые снизились в цене на 9,51%, закрывшись на отметке 16,09. Акции компании ViacomCBS Inc $VIAC потеряли 9,06% и завершили сессию на уровне 91,25. Котировки Helmerich and Payne Inc $HP снизились в цене на 8,33% до отметки 27,19. ✅ В лидерах роста среди компонентов индекса NASDAQ Composite по итогам сегодняшних торгов были акции Dolphin Entertainment Inc (NASDAQ:DLPN), которые подорожали на 236,33% до отметки 18,3300, Benitec Biopharma Ltd ADR (NASDAQ:BNTC), которые набрали 190,28%, закрывшись на уровне 9,26, а также акции Liquid Media Group Ltd (NASDAQ:YVR), которые повысились на 22,92%, завершив сессию на отметке 5,310. ✅ Лидерами падения стали акции Frequency Therapeutics Inc, которые снизились в цене на 77,98%, закрывшись на отметке 7,99. Акции компании Windtree Therapeutics Inc потеряли 34,29% и завершили сессию на уровне 2,530. Котировки Jiayin Group Inc снизились в цене на 29,92% до отметки 10,26. На Нью-Йоркской фондовой бирже количество подешевевших бумаг (0) превысило количество закрывшихся в плюсе (0). На фондовой бирже NASDAQ бумаги 0 компаний подешевели, 0 выросли.Форум свободного программного обеспечения с открытым исходным кодом
MyBB предлагает расширенную систему плагинов, чтобы упростить добавление дополнительных функций на ваш форум.
Встроенный редактор шаблонов и темMyBB дает вам полный контроль над дизайном вашего форума.
Мощные и удобные инструменты для модераторов форума и сотрудников, которые будут работать с вами.
Разработано и доработано, чтобы вы могли полностью контролировать свой форум.
Безграничные возможности возникают из каждого разговора на вашем форуме.
Функции, позволяющие поддерживать активность и заинтересованность ваших пользователей.
Участвуйте в частных беседах с несколькими зарегистрированными пользователями одновременно.
MyBB был тщательно разработан, чтобы быть одновременно мощным и чрезвычайно эффективным.
Расширить MyBB
87 звезд 70,143 Загрузки Обновлено 04.12.2019, 17:15
45 звезд 43197 Загрузки Обновлено 31. 07.2018, 21:41
91 Звезды 40,896 Загрузки Обновлено 04.04.2020, 19:15
51 Звезды 37,413 Загрузки Обновлено 18.02.2020, 21:53
67 Звезды 34,553 Загрузки Обновлено 01.02.2021, 14:37
91 Звезды 40,896 Загрузки Обновлено 04.04.2020, 19:15
87 звезд 70,143 Загрузки Обновлено 04.12.2019, 17:15
67 Звезды 34,553 Загрузки Обновлено 01.02.2021, 14:37
66 Звезды 22,058 Загрузки Обновлено 09.02.2018, 22:37
62 Звезды 21382 Загрузки Обновлено 2021-04-04, 09:12
2 звезды 10 Загрузки Обновлено 07.06.2021, 18:35
1 звезда 6 Загрузки Обновлено 10.06.2021, 17:58
0 звезд 124 Загрузки Обновлено 2021-06-02, 08:54
0 звезд 10 Загрузки Обновлено 21. 05.20, 15:33
0 звезд 4 Загрузки Обновлено 17.05.2021, 21:50
0 звезд 124 Загрузки Обновлено 2021-06-02, 08:54
16 звезд 4191 Загрузки Обновлено 31.05.2021, 06:03
19 звезд 1,815 Скачать Обновлено 23.05.2021, 09:09
7 звезд 262 Загрузки Обновлено 12.05.2021, 17:44
4 звезды 216 Загрузки Обновлено 2021-05-09, 09:53
1234 проекта 4,418 сборок
Flarum
Это сообщение было отредактировано 2021-06-07 в 20:50 по всемирному координированному времени, чтобы включить полное описание инцидента с безопасностью.Оригинальное объявление все еще доступно внизу этого поста.Если вы еще не обновились до версии 1.0.2 или новее, сделайте это немедленно. Подробная информация об уязвимости является общедоступной, и ваш форум может быть использован злонамеренно.
Затронутые версии:
- v1.0.0 — ⚠️ Затронутые
- v1.0.1 — ⚠️ Затронуто
- <= v0.1.0-beta.16 — ✅ Не влияет
# Обновление до последней версии
обновление композитора --prefer-dist --no-dev -a -W
# Убедитесь, что вы используете v1.0,2
композитор шоу flarum / core
# Очистить кэш
php flarum cache: очистить
Предисловие
В субботу 5 июня 2021 года в 23:02 UTC я (@davwheat) обнаружил критическую уязвимость межсайтового скриптинга (XSS) в ядре Flarum, затрагивающую версии v1.0.0 и v1.0.1.Эта уязвимость связана с обработкой переменных, передаваемых в транслятор ядра, и возможным преобразованием строк в узлы HTML DOM.
Подробности этой уязвимости были раскрыты на канале Flarum Discord
# devs-security
в 23:05 UTC (через 3 минуты после обнаружения).Оценка CVE уязвимости составила 10,0, что является наивысшей возможной оценкой CVE. Уязвимость была первоначально обнаружена при выполнении некоторого локального тестирования в несвязанной области кода ядра, прежде чем было замечено, что строки HTML, введенные в поле поиска, будут проанализированы и вставлены в DOM как HTML вместо текста.
Это было исправлено комбинацией усилий нескольких разработчиков и быстро перенесено в основную ветку ядра в 01:47 UTC на следующий день (2021-06-06). Мэтт (@ tankerkiller125) вручную разместил обновление до демоверсии.flarum.site и nightly.flarum.site в целях тестирования и исправления уязвимости. После проверки того, что патч работает должным образом и не оказывает заметного влияния на другие области ядра и связанных расширений, он был выпущен как v1.0.2 в 02:26 UTC.
На Discuss были сделаны сообщения, связанные с созданием нового обсуждения (https://discuss.flarum.org/d/27558) и сообщениями об обсуждениях релизов v1.0.0 и v1.0.1. Джордан (@ jordanjay29) отправил объявление в Discord через несколько минут в 02:32 UTC.
Чем вызвана уязвимость?
Система перевода Flarum позволяла преобразовывать строковые входные данные в узлы HTML DOM при рендеринге. Это изменение было внесено между v0.1.0-beta.16 и v1.0.0 и не было замечено или задокументировано.Это позволяло любому пользователю вводить вредоносную разметку HTML в определенные поля ввода пользователя и запускать ее в клиентских браузерах. Пример, который привел к обнаружению этой уязвимости, находился в поле поиска на форуме. Ввод искусственно вредоносной разметки HTML, такой как
, приводил к появлению окна предупреждения на форуме.Эта атака также может быть изменена для выполнения запросов AJAX от имени пользователя, возможно, для удаления обсуждений, изменения их настроек или профиля или даже для изменения настроек в панели администратора, если атака была нацелена на привилегированного пользователя. Расчетный вектор CVSS для этой уязвимости составляет
CVSS: 3.1 / AV: N / AC: L / PR: N / UI: N / S: C / C: H / I: H / A: H
, что приводит к CVE. оценка 10, максимально возможная. См. Разбивку по шкале CVSS. Совет по безопасности был опубликован на GitHub с подробной информацией об уязвимости: https: // github.com / flarum / core / security / Advisories / GHSA-5qjq-69w6-fg57. Мы получили CVE (
CVE-2021-32671
), который будет опубликован в официальном списке CVE на сайте mitre.org: https://cve.mitre.org/cgi-bin/cvename.cgi?name= CVE-2021-32671 Нарушение CVSS
Вектор атаки: сетьЭта атака выполняется по сети без необходимости физического или локального доступа. Сеть не обязательно должна быть смежной.
Сложность атаки: низкая
Атака проводится относительно просто и затрагивает все форумы, независимо от их индивидуальной конфигурации.Его можно повторить при любых условиях.
Взаимодействие с пользователем: нет
Пример, который привел к обнаружению этой уязвимости, действительно требует взаимодействия с пользователем: необходимо щелкнуть вредоносную ссылку, а затем ввести поле поиска. Однако мы считаем, что существует высокая вероятность того, что из-за этой уязвимости можно будет выполнить атаку без какого-либо взаимодействия с пользователем
Объем: изменен
Уязвимый компонент — форум Flarum. Затронутый компонент — это браузер пользователя, поэтому область видимости изменилась.
Влияние на конфиденциальность: высокое
Данные о затронутом пользователе могут быть полностью извлечены злоумышленником с помощью злонамеренного запроса AJAX.
Влияние на целостность: высокое
Данные затронутого пользователя могут быть изменены злоумышленником с помощью злонамеренного запроса AJAX.
Влияние на доступность: высокое
Если администратор форума пострадал, злонамеренный запрос AJAX может изменить настройки форума на панели администратора и привести к полному отказу в обслуживании форума.Это могло произойти путем вставки сломанного кода Javascript в настраиваемый заголовок, что привело к поломке интерфейса форума.
Как была устранена уязвимость?
При передаче переменных в переводчик мы теперь выполняем некоторые дополнительные проверки.Теперь, если переданная переменная является строкой, мы заключим ее в Mithril-фрагмент (узел VDOM, который не преобразуется в фактический узел при визуализации), а затем используем его вместо этого. Mithril гарантирует, что содержимое этого фрагмента отображается только как строка, а не как разметка HTML.
Для получения дополнительной информации см. Коммит, исправляющий эту уязвимость: flarum / [email protected]
440bed8
Что мы сделали правильно?
Быстрое раскрытие информации и время реакции нескольких разработчиков позволило быстро исправить ядро. Эта уязвимость была устранена за 3 часа 24 минуты, что невероятно.Все доступные члены основной группы вместе отказались от того, над чем они работали, чтобы исправить уязвимость. Во время обнаружения, проверки и исправления этой уязвимости между разработчиками, тестировщиками QA и членами правления Foundation было отправлено более 630 сообщений. Мы не могли просить ничего большего от всей команды Flarum, когда они нам были нужны.
Что можно улучшить?
На момент открытия ни у одного онлайн-разработчика не было возможности подготовить проект раскрытия информации о безопасности на GitHub. Это дало бы нам безопасный способ попытаться вместе разработать патч и упростить проверку кода. Вместо этого нам нужно было отправить скриншоты кода и написать предложения в Discord. Это также означало, что мы могли легко протестировать патч только на одном устройстве (моем), прежде чем отправлять его в мастеринг, а затем тестировать на других развертываниях.Как мы можем предотвратить это снова?
Наш форматировщик текста в настоящее время находится за пределами организации Flarum. Этот пакет был разработан независимо от команды Flarum, поэтому проверка кода несколькими разработчиками ядра никогда не проводилась. Несмотря на это, однако, наши обзоры кода организации часто более внимательно рассматривают стиль, правильность и удобочитаемость кода, а не поиск всех возможных эксплойтов.Эта уязвимость была обнаружена чисто случайно. Трудно сказать, как долго он мог бы оставаться во Фларуме, если бы его не поймали.Нам нужно работать над тем, чтобы тесты Javascript стали стандартом для ядра Flarum. В настоящее время у нас есть тесты PHP, которые проверяют, что пользователи не могут выполнять опасные действия, если у них нет разрешения, но у нас нет никакого способа автоматически проверять интерфейс форума на наличие возможных уязвимостей и ошибок. Это было бы чрезвычайно полезно для будущих циклов выпуска, обнаружения ошибок и сканирования уязвимостей.
Оригинальное объявление
Недавно мы выпустили критическое исправление безопасности для ядра Flarum.Мы настоятельно призываем все форумы, на которых работают версии v1.0.0 и v1.0.1, немедленно обновить их до версии v1.0.2.Затронутые версии
- v1.0.0 — ⚠️ Затронутые
- v1.0.1 — ⚠️ Затронуто
- <= v0. 1.0-beta.16 — ✅ Не влияет
Удар
Эта критическая уязвимость позволяет любому пользователю выполнить атаку межсайтового скриптинга (XSS), которая может привести к эскалации привилегий и отказу в обслуживании для форумов, на которых работают уязвимые версии.По нашей оценке, оценка CVE составляет 10, что является наивысшей возможной серьезностью.
Полная информация будет доступна в ближайшем будущем по мере обновления форумов по затронутым версиям.
Патчи
Все форумы, на которых работает Flarum core v1.0.0 или v1.0.1, должны немедленно обновиться до версии v1.0.2.Список литературы
Совет по безопасности был опубликован на GitHub с подробным описанием этой уязвимости: https://github.com/flarum/core/security/advisories/GHSA-5qjq-69w6-fg57.Полная информация будет доступна в ближайшем будущем по мере обновления форумов по затронутым версиям.
Кредит
Спасибо @davwheat за обнаружение уязвимости и предоставление исправления.Напоминание: если вам когда-либо станет известно о проблеме безопасности в Flarum, сообщите нам об этом в частном порядке по электронной почте [электронная почта защищена], и мы незамедлительно рассмотрим ее.
Вы можете найти нашу полную политику безопасности на GitHub.
Как обновить
Немедленно обновитесь до Flarum core v1.0.2. # Обновить до последней версии
обновление композитора --prefer-dist --no-dev -a -W
# Убедитесь, что вы используете v1.0,2
композитор шоу flarum / core
# Очистить кэш
php flarum cache: очистить
Продолжение
Полная информация будет доступна в ближайшем будущем по мере обновления форумов по затронутым версиям.Поддержка
Как всегда, для получения поддержки создайте новое обсуждение в теге «Поддержка».Spring RTS Engine — Индексная страница
Сейчас 12 июн 2021, 07:23
- 2431 Темы
- 75311 Посты
- Последнее сообщение Re: мы должны использовать QTPFS?
от Forboding Angel Перейти к последнему сообщению
- 2248 Темы
- 38544 Посты
- Последнее сообщение Re: Archsimkats Valley V1
от Forboding Angel Перейти к последнему сообщению
- Скрипты Lua
Обсудить сценарии Spring на основе Lua (виджеты LuaUI, сценарии миссий, сценарии gaia, сценарии правил модов, привязки клавиш со сценариями и т. Д…)
Модератор: МодераторыТемы: 1573
- 1573 Темы
- 19490 Посты
- Последнее сообщение Re: Виджет LUA для отслеживания юнита…
от Senethril Перейти к последнему сообщению
- Скрипты Lua
- 1012 Темы
- 38259 Посты
- Последнее сообщение Re: Случайная незавершенная работа 2018/19/20
от PicassoCT Перейти к последнему сообщению
- 46 Темы
- 750 Посты
- Последнее сообщение Re: Поглощение воздуха весной
, PicassoCT Перейти к последнему сообщению
- Подфорумы проекта
Подфорумы для конкретных проектов игр / модов. Баланс, разработка, дизайн, направление, всевозможные обсуждения конкретных проектов.
Модераторы: Модераторы, разработчик контента
Подфорумы: Сбалансированное уничтожение, Сбалансированная перезагрузка уничтожения, Конфликт Терра, Проклятые, Evolution RTS, Kernel Panic, Journeywar, Ludum Dare, MechCommander: Наследие, Металлических Фракций, МОЗАИКА, NOTA, Уничтожение Феникса, SpringBoard, Весна: 1944 г., Звездные войны: Имперская зима, TA Prime, Уничтожение Технологий, XTA, Zero-KТемы: 1947
- 1947 Темы
- 47189 Посты
- Последнее сообщение Re: Metal Factions
, автор: raaar Перейти к последнему сообщению
- Подфорумы проекта
Статистика
Всего сообщений 569059 • Всего тем 30720 • Всего участников 14021 • Наш новый участник Marlondak
— Индексная страница
Сейчас пт 11. Июн 2021, 22:25
- 257 Темы
- 1469 Посты
- Последнее сообщение Re: Лучшая заточка кулачка для MEL
от Chris430 Перейти к последнему сообщению
Ср 24. фев 2021, 14:05
- 37 Темы
- 144 Посты
- Последнее сообщение Трансмиссионная жидкость 1958-59-60
от 59lincolnrag Перейти к последнему сообщению
Вс 9.Май 2021, 06:25
- 22 Темы
- 84 Посты
- Последнее сообщение FEU-12127-N Dual Point для MEL
от Chris430 Перейти к последнему сообщению
сб 10. авг 2019, 12:46
- 19 Темы
- 60 Посты
- Последнее сообщение Re: Странная вещь на моем дросселе…
Шелби № 18 Перейти к последнему сообщению
Пн 13. Ноя 2017, 10:38
- 30 Темы
- 237 Посты
- Последнее сообщение Re: Коллекторы Multi Carb
от Chris430 Перейти к последнему сообщению
Вт 6. Авг 2019, 10:46
- 9 Темы
- 51 Посты
- Последнее сообщение Re: Полная гонка 430
от Fordman1 Перейти к последнему сообщению
Пн 7.Июн 2021, 16:56
- Запчасти для двигателей MEL
Обменивайтесь знаниями и обсуждайте запасные части двигателя, связанные с двигателем MEL, такие как кулачки, стержни, цепи, воздухозаборники и многое другое.Темы: 26
- 26 Темы
- 189 Посты
- Последнее сообщение Re: Роликовые подъемники
от Treinarts Перейти к последнему сообщению
Чт 25.
- Запчасти для двигателей MEL