phpBB 3.2.1 đi trước, 3.1.11 theo sau


phpBB 3.2.1 đi trước, 3.1.11 theo sau
nedka

nedka

21/07/2017 18:10
phpBB đã đồng thời phát hành 2 phiên bản mới: 3.2.1 và 3.1.11 để vá các lỗi bảo mật liên quan đến hình đại diện liên kết và chức năng kiểm tra phiên bản mới. Bên cạnh đó, việc cập nhật lên Twig 1.33 mang đến nhiều cú pháp câu lệnh mới giúp đỡ bạn trong việc thiết kế giao diện dễ dàng hơn.

Lỗi bảo mật trong hình đại diện dạng liên kết
Một lỗ hổng giả mạo yêu cầu máy chủ SSRF đã được phát hiện trong chức năng đặt hình đại diện là liên kết ảnh từ một trang web khác. Nó cho phép kẻ tấn công có thể truy xuất đến tập tin hình nội bộ trong hệ thống và được phát hiện bởi công ty bảo mật SEC Consult. Hãy tạm thời tắt ngay tính năng dùng hình đại diện liên kết cho đến khi bạn cập nhật xong phiên bản mới: 3.2.1 hoặc 3.1.11.

Lỗi bảo mật trong chức năng kiểm tra phiên bản mới
Lỗ hổng XSS này cho phép kẻ tấn công chèn vào các liên kết nguy hiểm bằng giao thức javascript: thay thế cho các liên kết tải về tập tin phiên bản mới hay thông báo phát hành. Bạn nghĩ mình có thể an toàn nếu chỉ dùng những gói mở rộng chính thức của phpBB hay đã được phpBB phê duyệt trên thư viện của họ. Tuy nhiên, nếu tập tin dữ liệu phiên bản mới, được đặt trên phpBB.com hay các trang web của nhà phát triển, bị tấn công và sửa đổi dữ liệu thì bạn sẽ có thể vô tình nhấp chuột vào chúng trước khi phát hiện ra.

Do đó, việc ngăn chặn chúng ngay từ hệ thống của chúng ta là điều nên làm, dù nguồn dữ liệu kiểm tra là đáng tin cậy. Ngoài ra, chức năng kiểm tra phiên bản mới bây giờ cũng hỗ trợ nhiều nhánh phiên bản khác nhau, thay vì chỉ chọn một nhánh cao nhất như trước đây.

Vấn đề tải nặng với truy vấn tìm kiếm khi dùng MySQL FULLTEXT
Thuật toán tìm kiếm với chỉ mục FULLTEXT trong MySQL đã được cải thiện để giảm tần số tải cho máy chủ của bạn. Bên cạnh đó, lỗi tên chủ đề mới được chia nhỏ từ chủ đề khác không được lập chỉ mục tìm kiếm cũng đã được khắc phục.

Thuật toán mã hóa mật khẩu người dùng mới: bcrypt
phpBB đã chuyển sang mã hóa mật khẩu người dùng bằng thuật toán bcrypt. Bạn không cần lo lắng phải làm gì với những mật khẩu đã mã hóa theo kiểu cũ, vì công cụ cập nhật sẽ tự động làm công việc chuyển đổi này.

Phân trang cho phần thông tin bài viết
Công cụ xem IP người gửi và thông tin bài viết dành cho điều hành viên không có chức năng phân trang. Do đó, khi một chủ đề có quá nhiều bài viết sẽ làm cho các điều hành viên của chúng ta kéo chuột đến mỏi tay. Hai phiên bản mới đã phân trang cho bảng chức năng này khi có quá nhiều bài viết.

Kiểm tra chứng chỉ SSL khi kết nối đến máy chủ SMTP/Jabber
Khi kết nối đến máy chủ SMTP hay Jabber để gửi thư / tin nhắn, các phiên bản mới sẽ kiểm tra chứng chỉ SSL trên các máy chủ này (nếu dùng) xem có đáng tin cậy hay không. Bạn cũng có thể chọn không kiểm tra hoặc cho phép dùng chứng chỉ SSL tự xác thực, tuy nhiên điều này tiềm ẩn nguy cơ thiếu an toàn.

Thứ tự sắp xếp tin nhắn sai (Chỉ 3.1.11)
Thứ tự sắp xếp tin nhắn luôn sai theo ý bạn trong phpBB 3.1.10, và giờ thì điều đó không còn nữa.

Tương thích Facebook API v2 (Chỉ 3.2.1)
Facebook đã chuyển sang sử dụng API v2 cho các ứng dụng web. Vì thế khi người dùng đăng nhập diễn đàn bằng tài khoản Facebook của họ sẽ dẫn đến lỗi không thể xác thực qua OAuth. phpBB 3.2.1 đã cập nhật PHPoAuthLib lên phiên bản 0.8.10 để hỗ trợ Facebook API v2.

Biểu tượng độ phân giải cao cho proSilver (Chỉ 3.2.1)
Các hình ảnh dùng trong giao diện proSilver mặc định đã được nâng cấp độ phân giải để hiển thị "mịn" hơn trên các màn hình độ phân giải lớn.

Cải thiện trình xử lý văn bản TextFormatter (Chỉ 3.2.1)
Trong phpBB 3.2.0, khi bạn sử dụng một vài ký tự đặc biệt như // hay \\ nối tiếp nhau làm mã cho biểu tượng vui sẽ dẫn đến lỗi trong trang quản lý. Chưa hết, khi sử dụng thẻ BBCode [list] nằm bên trong thẻ [color] sẽ tạo ra mã HTML sai mục đích ban đầu, thay vì hiện đúng như phpBB 3.1.x. Hai lỗi quan trọng này và nhiều rắc rối khác của TextFormatter đã được cải thiện trong phiên bản 0.10.1 đi kèm phpBB 3.2.1. Đồng thời, thẻ [url] trong 3.2.1 đã nhận diện được giao thức irc://.

Lỗi khi cập nhật qua giao thức FTP (Chỉ 3.2.1)
phpBB 3.2 gặp sự cố khi bắt đầu tiến trình tải tập tin cần cập nhật lên máy chủ qua giao thức FTP. Với công cụ cập nhật đã sửa lỗi của 3.2.1, bạn đã có thể dùng lại phương pháp này để cập nhật phpBB.

Cú pháp Twig mới (Chỉ 3.2.1)
phpBB 3.2.1 đã cập nhật Twig từ phiên bản 1.24 lên 1.33, mang đến nhiều cú pháp mới cho bạn làm việc dễ dàng hơn với giao diện.

Bỏ khoảng trắng chỉ đầu hoặc đuôi
Trước đây, khi dùng bộ lọc |trim của Twig, nó sẽ mặc định bỏ khoảng trắng dư ở cả hai đầu trước và sau chuỗi ký tự. Còn bây giờ, bạn có thể chọn chỉ áp dụng cho một đầu mà thôi.

Chỉ bỏ khoảng trắng đứng trước:

Chép
{{ ABC|trim(side='left') }}
hoặc
Chép
{{ ABC|trim(' ', 'left') }}
Chỉ bỏ khoảng trắng đứng sau:
Chép
{{ ABC|trim(side='right') }}
hoặc
Chép
{{ ABC|trim(' ', 'right') }}
Bộ lọc mới này sử dụng 2 hàm PHP tương ứng là ltrim()rtrim().

Kiểm tra tên biến của một đoạn mã HTML đã tồn tại hay chưa
Ví dụ bạn có một đoạn mã HTML sử dụng ở nhiều nơi tên là abc:
Chép
{% block abc %}...{% endblock %}
Ở tập tin đang cần chèn đoạn mã này, bạn muốn kiểm tra chắc chắn nó đã được tạo thì mới chèn vào, còn không thì hiện thông báo lỗi:
Chép
{% if block('abc') is defined %}
	{{ block('abc') }}
{% else %}
	Không tìm thấy dữ liệu!
{% endif %}

Kiểm tra hằng đã tồn tại hay chưa
Chép
{% if constant('IN_PHPBB') is defined %}

Sử dụng một biến trong phạm vi giới hạn
Thẻ with mới xuất hiện sẽ cho phép bạn dùng biến trong phạm vi đoạn mã xác định, ra khỏi đoạn mã đó chúng sẽ bị xóa đi như chưa hề tồn tại.
Chép
{% with %}
	{% set ABC = 123 %}
	{# Dùng {{ ABC }} ở đây sẽ trả về 123 #}
{% endwith %}

{# Không còn dùng {{ ABC }} ở đây được nữa vì nó không tồn tại #}
hoặc
Chép
{% with { ABC: 123 } %}
	{# Dùng {{ ABC }} ở đây sẽ trả về 123 #}
{% endwith %}

{# Không còn dùng {{ ABC }} ở đây được nữa vì nó không tồn tại #}
Bạn cũng có thể chọn đem một biến có sẵn vào "vùng cấm" này, các biến khác còn lại sẽ không tồn tại.
Chép
{% set ABC = 123 %}
{% set XYZ = 999 %}

{% with ABC only %}
	{# Dùng {{ ABC }} ở đây sẽ trả về 123 #}
	{# Không dùng {{ XYZ }} ở đây được vì nó không tồn tại #}
{% endwith %}

Các dòng lệnh mới
Sửa cấu trúc cây phân nhánh cho các chuyên mục và gói chức năng:
Chép
php bin/phpbbcli.php fixup:fix-left-right-ids
Chuyển đổi mật khẩu đã mã hóa của người dùng sang thuật toán bcrypt mới:
Chép
php bin/phpbbcli.php fixup:update-hashes

Các điểm chèn mã mới
Tương tự các bản phát hành trước, có rất nhiều sự kiện PHP và sự kiện giao diện mới được thêm vào. Chúng tôi chỉ điểm sơ một vài sự kiện có thể hữu ích cho nhu cầu của bạn.
  • core.user_format_date_override: Sửa hoặc thay thế toàn bộ hàm định dạng ngày tháng format_date() của PHP.
  • core.delete_post_after: Thực thi sau khi một bài viết bị xóa.
  • core.get_user_rank_after: Sửa cấp bậc của một thành viên trước khi hiển thị.
  • core.modify_email_headers: Sửa dữ liệu thư trước khi gửi đi.
  • core.send_file_to_browser_before: Thay đổi lên tập tin đính kèm trước khi gửi đến trình duyệt để người dùng xem hay tải về.
  • core.smiley_text_root_path: Sửa đường dẫn thư mục chứa biểu tượng vui (trong nội dung hiển thị).
  • core.generate_smilies_before: Sửa đường dẫn thư mục chứa biểu tượng vui (trong khung soạn thảo).
  • core.user_unban: Thực thi ngay sau khi người dùng được gỡ bỏ lệnh cấm.
  • core.viewtopic_highlight_modify: Chỉnh sửa từ khóa được tìm thấy (tô sáng) trong nội dung chủ đề khi người dùng tìm kiếm.
  • index_body_birthday_block_before: Chèn nội dung HTML vào trước phần sinh nhật trên trang chủ.

Các thành phần được cập nhật
Tải về phiên bản mới và gói cập nhật: 3.2.1 | 3.1.11

Cuối cùng, là lưu ý cho những ai còn đang sử dụng phpBB 3.1.x. Nhánh phiên bản này đã không còn nhận được cập nhật tính năng mới từ tháng 6 vừa qua. Sở dĩ bạn nhìn thấy phiên bản 3.1.11 vì đây là một bản vá lỗi bảo mật và điều này sẽ không còn nữa khi phpBB 3.1 kết thúc vòng đời vào ngày cuối cùng của năm 2017 này. Hãy cân nhắc chọn thời điểm sớm nâng cấp lên 3.2!

Tham khảo: https://www.phpbb.com/community/viewtop ... &t=2430926


VinaBB

Quan điểm

  • Không đề cập chính trị, tôn giáo, nội dung đồi trụy.
  • Giữ gìn sự trong sáng của Tiếng Việt.
  • Không chia sẻ phần mềm vi phạm bản quyền.
  • Không rao vặt và không nhận đặt quảng cáo.
  • Dù trong túi hết tiền thì diễn đàn phpBB của anh cũng phải ngay ngắn.

Chuyện tình VinaBB

17/07/2004: Yêu phpBB từ phiên bản 2.0.10.
22/10/2006: Cất tiếng cười chào đời.
11/06/2007: Chính thức định cư trên Olympus, Sao Hỏa.
11/06/2009: Mất liên lạc với Trái Đất. [ Phiên bản 2007 ]
28/07/2016: Trôi dạt đến mặt trăng Rhea, Sao Thổ.
12/12/2016: Cuộc hành trình mới lại bắt đầu…

Code in Viet Nam

Cống hiến hết mình vì Tổ Quốc Việt Nam Xã Hội Chủ Nghĩa

Quản trị viên

nedka

NEDKA Solutions

NEDKA Solutions

Đơn vị chủ quản

Chúng tôi chịu trách nhiệm toàn bộ nội dung có trên VinaBB.vn trước pháp luật.