iteX

iteX, iMoney, iSape, iTwitter, Wordpress

Posts Tagged ‘isape’

Проблемы с админами репозитария wordpress.org

September 4th, 2011 | Author: itex

Гдето в начале лета wordpress.org взломали и засадили им бекдоры в распространенные плагины.
После того как они обнаружили это, поменяли пароли всем юзерам и поменяли отношение к безопасности.
Только както не по нормальному. Если простым языком, то через жопу. Прикрутили видимо какойто код проверки на безопасность плагинов.
В итоге забанили мой плагин iMoney на репозитарии. Причем сделали это без уведомлений, по тихому. Просто в один день перестали давать скачивать плагин с сайта. Или редиректит на главную или 404.
Я долго считал, что это всеголишь глюки их svn. Мучался с удалением, восстановлением файлов и прочим шаманством.
Потом написал им на форуме поддержки, никто не ответил. Написал на plugins@wordpress.org сообщение такого плана:

I am the author of the plugin iMoney (http://wordpress.org/extend/plugins/imoney).
About a two month ago, when I upgrade versions in SVN, plugin is not updated.
http://wordpress.org/extend/plugins/imoney – redirect on main, http://downloads.wordpress.org/plugin/imoney.zip – 404.
I change passwords, add and removed files.
Plugin removed from plugins repository? Why?
What is the solution?
Thank you anyway.

Через несколько дней они ответили:

Hi,
The plugin was removed for a couple of reasons:
- compressed code. Code should be in the clear and readable.
- you are using $_SERVER many times and this has security implications as well as being inefficient.

If you could redo the code and check it against known exploits we’d be happy to put it back.

Тоесть, им не нравится упакованный код от бирж ссылок и частое использвание директивы $SERVER. Мол это может быть не безопасно и не ээфективно.
Что может быть не эффективного в вызове переменной $SERVER?
Я не спорю, что в коде есть спорные участки. Костыли и подобное. Но каждый такой участок решают какунить конкретную проблему, возникшуюю у человека, клиента плагина.
Это все было изначально со времен написания плагина. Тоесть с 2008 года их все устраивало, а весной 2011 уже нет.
Я считаю, что у них появился какойто статический анализатор, который ругается на определенные конструкции языка. И они не смотря в код, делают на основании отчетов анализатора выводы о коде.

Прошло дофига времени, я наконец решил малость переписать код. Переменную $_SERVER сделайл по ссылке внутренней переменной класса.
Запакованный код со всего плагина свел в одну функцию и специально ее подписал, мол хранилище кода.
Проверил, что все работает и написал им новое письмо. Мол сделал, что они хотели. Мой плагин, чтоб не можифицировать файлы вордпресса или код бирж использует всяческие ухищрения, переопределения $_SERVER и тд.
При инсталяции запакованного кода пользователь сам должен нажать кнопку, чтоб его установить. Причем он сам может его установить вручную без плагина. Написал, что с 2007 не было зарегистрировано случаев взлома через мои плагины. И что я очень помешан на безопасности.

Hi, Sorry for my English. I modified code and check it against known exploits. My plugin easily combines codes from link systems and WordPress. In order to not modify the code link systems, and WordPress, to have to find ingenious solutions in a plugin ($_SERVER replacement and other). I made a few changes to your static analyzer less swearing.
Move data into a separate function. This code from other systems and is installed on the user’s request. Users are always aware of it. If it is stored in other separate files, there is a chance that it can executed. I really care about security. I’ve seen less safe plugins, do not know why it was blocked. The plugin has existed since 2007 and have never been hacked.
Thank you for your patience))

Опять от них пришел отрицательный ответ.

Here’s the bottom line:
- Your code, as it stands, is extremely insecure. Doesn’t matter if you’ve been hacked or not, or whether anybody has discovered the vulnerabilities or not. Insecure is insecure.
- Your use of base64 obfuscated files is unacceptable. We do not allow obfuscated code in the repository. No exceptions.
As the code currently stands, it will not be allowed back in the plugin repository. These issues must be addressed for the plugin to be listed again.

Пишут, что мой код очень дырявый, весьма спорное утверждение, что не имеет значения, взламывали или нет, есть уязвимость или нет. Просто, без отсылок к дырявому коду и прочему. С чего они решили тогда, что он дыряв? Начет упакованного кода, что нельзя использовать никому, без исключений.

В итоге както мя напрягает такое поведение. Их репозитарий весьма удобен тем, что с него автоматом у всех пользователей обновляет на новые версии плагина. Соотвественно забивать на них не надо, несмотря на то, что они забили на всех, кто пользовался моим плагином.
Другие мои плагины с такимиже свойствами ими вообще никак не затронуты. На всякий случай решил новые версии плагинов не выкладывать, то еще и остальные забанят.

Из решений, хм, есть три варианта.

Просто взять новое название плагина и они заапрувят стопудоф. Но возникнет путаница у пользователей.
Второе, это проявить чудеса обсфукации и фиг их статический анализатор чтонить найдет. Опять же возникнут вопросы у вебмастеров, нафиг в плагине такая вирусоподобная защита вставлена.
Ну а третье переписать плагин. Снова. А потом еще раз и опять и опять. Заместо того, что добавлять новые биржи или еще чтонить, придется делать ревизии кода.
Пока все равно склоняюсь к третьему варианту.

Вообщем я считаю, что они все таки мудаки, но если есть возможность, посмотрите код на дыры, я особо опасных мест не вижу.
Три месяца уже все это длиться.
Надо чтото уже решить относительно быстро и эффективно.

Posted in plugins | Tags: imoney, isape, plugins, security, wordpress, защита, уроды | Comments Closed

FAQ по iMoney и iSape

August 10th, 2011 | Author: itex

В последнее время заметил, что даже по такому простому плагину стали возниакть вопросы, видимо сказывается его распространненость и разный уровень вебмастеров. Решил накатать небольшой FAQ по плагинам, первую версию которого вы можете лицезреть ниже… Read the rest of this entry »

Incoming search terms:

Posted in plugins | Tags: imoney, isape, plugins | 131 Comments »

Обновил плагины

August 8th, 2011 | Author: itex

В iMoney добавил парамаетр “Show content links only on Pages and Posts”, который позволяет избежать ерроров, если ссылка сипользуется до или после текста, скажем в тегах, вообщем как для контекста раньше.

Posted in plugins | Tags: imoney, isape, money, plugins | Comments Closed

Обновил iMoney, сделал маскировку ссылок как в iSape

August 8th, 2011 | Author: itex

Обновил iMoney, сделал маскировку ссылок как в iSape. Теперь, еще труднее обнаружить продажные ссылки. Также обновил iSape, исправил ошибку с виджетами.

Incoming search terms:

isape не выводит ссылки

Posted in Uncategorized | Tags: imoney, isape, plugins | 25 Comments »

Маскировка ссылок Sape

August 6th, 2011 | Author: itex

Обновил плагин iSape, добавил возможность маскировки определения продажных ссылок. Теперь сервисы типа venality.name не показывают, что чтото нашли продажное. При грамотном распределении ссылок по странице, довольно сложно отличить продажные ссылки от натуральных. В целом также наверно не определят и поисковики, соответсвенно не просядет пиар и тиц от пессимизации. В iMoney такой функционал добавлю чуть позже, если не будет проблем с этим кодом.

Incoming search terms:

Posted in plugins | Tags: imoney, isape, plugins | 6 Comments »

Первое обновление iMoney в 2011 году

January 29th, 2011 | Author: itex

Обновил iMoney. Решил небольшую проблему в пхп секции с token_get_all. Переделал код, чтоб можно было мигрировать плагин в Joomlu и Drupal. Пока работаю в сторону джумлы, но чето застрял какбы на админке. Не хочется все опции переписывать в файл, хотелось бы както совместить с текущей ситуацией в плагине. Это будет хорошо для развития и поддержки. Писать мало кода, но зато плагин будет для трех самый распространенных Цмс. Хотя наверно просто не хватает знаний по джумле, со временем все встанет на свои места. С друпалом еще вообщем не занимался, думаю делать уже после джумлы.

Также думаю еще больше срастить iMoney и iSape. iSape более раскрученный и тд, его почемуто больше качают, чем imoney, хотя по факту код как раз из imoney. Вообще приходили мысли просто заменить, но тогда возникнут проблему с настройками у тех, кто уже ставил раньше iSape.

Posted in plugins | Tags: imoney, isape, plugins, wordpress | 16 Comments »

Вышел новый Вордпресс

June 18th, 2010 | Author: itex

WordPress 3.0 Thelonious наконец вышел, скачать его можно здесь.

Я обновил пару блогов, вроде живые, работают. На всякий случай есть бекап:). Как ни странно, вроде работает быстрее, наверно самообман, от верcии к версии Вордпресс все тяжелеет.

Обновили работу с плагинами, можно обновлять автоматом и прочие плюшки. Добавлена новая тема с названием “Twenty Ten”. Добавили встроенный сокращатель ссылок, хз зачем правда, может потом будет интеграция с твиттером.

Добавили слияние с WordPress MU. Для меня полезная фича думаю, тк я использую блогофермы с патченным вордпрессом, теперь это видимо будет доступно из коробки, пока подробно не смотрел. Да там много всяких фич добавилось, кто хочет знать больше, на этой странице много написано, что добавили или поменяли.
Мои плагины работают, проблем не встретил особо. Но если что, дайте знать.

Теперь о другом. Писал в поддержку трастлинка, чтоб дали мне код для добавления в мой плагин iMoney. Сегодня пришел ответ, что они не заинтересованы в такой установке кода. По их словам в автоматическом режиме код ставится их программистами, а в ручном – самим пользователем. Не знаю как они планируют массово подключать пользователей к своей системе. Будем надеятся, что это минусы бета версии.

Напоследок выкладываю видео о новых фичах вордпресса.

Posted in plugins | Tags: imoney, isape, plugins, trustlink, wordpress, блог, партнерки | Comments Closed

Подключение Teasernet в WordPress

May 5th, 2010 | Author: itex

Есть такая партнерка Teasernet покупки-продажи кликов по тизерам. Принимает, как и продает, только трафик из СНГ. Существует больше года, что радует.
Цена за 1 клик, которую получает партнер, на данный момент по рекламе от 30 до 70 копеек. На деле я думаю, что поменьше на говонтрафе. Минимальная сумма выплат 100 рублей.
Внешний вид тизеров, статистика и запреты показов настраиваются в самой партнерке. На сайте прописывает чисто код и два параметра.
Теперь есть возможность использовать автоматически Тизернет и в вордпрессе.

Read the rest of this entry »

Incoming search terms:

teasernet wordpress

Posted in plugins | Tags: imoney, isape, sape, teasernet, защита, партнерки | 3 Comments »

Небольшие обновления плагинов

January 10th, 2010 | Author: itex

Сделал небольшие обновления плагинов iSape и iMoney для работы с Вордпресс 2.9. Новостей никаких нет, работы и всего остального на мя наваливается все больше и больше, все бесплатные проекты продвигаются очень медленно.

Posted in plugins | Tags: imoney, isape, plugins | 12 Comments »

Обновил плагины

June 14th, 2009 | Author: itex

Обновил все три публичных плагина.
iTwitter получил возможность вывода последних твитов указанных пользователей с сортировкой по дате.
Добавлен выбор случайного сервиса сокращения ссылок, отключение сокращени и исправлен баг в соотвествующей функции
Добавлено создание ссылки из текста вида #tagname or @username в постах и комментах.
В iSape добавил параметр в safe_url.
В iMoney, кроме этого параметра, поправлены функции менлинка. Те у кого они ре работали, могут попробовать его их снова.

Incoming search terms:

imoney multi_site

Posted in plugins | Tags: imoney, isape, itwitter, plugins | 30 Comments »