to post messages and comments.

Drupal — небезопасный процесс обновления
Процесс обновления друпала имеет недостатки при которых злоумышленник может взять под контроль сайт,
пишет Fernando Arnaboldi из IOActive blog.ioactive.com
Кто бы перевёл ещё.

Вчера юные палестинские хакеры взломали сайт-визитку на Drupal 7, который я делал года три назад для одной конторы. Обновления безопасности в последний раз ставили туда года так полтора назад. Классический такой deface с пламенным приветом Израилю, скучным видео и списком всех причастных ко взлому. Могу сказать совершенно без сарказма: it was fun, приходите ещё.

Работа с материалами в Drupal это дикая мешанина из объектов и массивов :( Надо всё к объектам приводить через Entity API, но это бесит. Какое счастье, что лезть в код вообще приходится не так часто.

Drupal во всей красе: вот модуль Rules — какая чудесная идея! Порабощение мира! Но без Conditional Rules что-либо серьёзнее, чем снять страницу с публикации, просто не сделать. И этот модуль до сих пор не слит с основной веткой. Два года как!

Хотя, Drupal тут ни при чём. Open Source Curse, господа присяжные заседатели.

Потребовали разные водяные знаки для разных доменов. Ну и хрен с вами, вспомнил, как хукать системные вызовы, несколько лет уже не приходилось — хватало функций темизации.

Осилил мультисайтинг на Drupal через Domain Access. Самое сложным, как ни странно, оказалось массовое клонирование материалов на домены. В Views каталогов включил отображение товаров только для текущего домена. Таблицу блоков клонировал через префикс, используя этот вот сниппет: drupal.org Материалы клонировал через Replicate и VBO. Таким образом, я получил разные статьи на ресурсах, разные блоки на основе старых и, естественно, владельцы филиалов имеют возможность создавать и изменять текущий контент. Теперь это нужно автоматизировать для создания региональных филиалов магазина.

Добросовестно вычера сидел, пытался понять смысл работы модуля Relation для Drupal 7. Честно говоря, так до конца и не понял. Похоже на текущей версии единственная его фича — якобы лучшая производительность, чисто в теории и предположительно. Методом научного тыка, связь 1-1 или 1-многим спокойно реализуется полем Entity Reference и выводом через Views (два представления было сделано буквально за 2-3 минуты).

Вернул себе глайп прокси,ну как вернул,залил на сервер. Открываю яндекс, не спрашивайте почему именно его :D Все вроде бы ок,но начинает играть музон со странички drupala 404, у мя там флешка привинчена :D Перезагружаю страницу,все ок,но вместо слов кракозябры. ЫЫыыыыыы.

а еще почему-то не вышло скопировать одну из стандартных тем в новую папку и переназвать ее в info-файле. вроде бы работает, а начинает срать варнингами

похоже темы тут — какой-то ёб**ый ад.
то, что в /themes — дохуя простое, и это неспроста так, все инклудится из /modules/system потому что. а что там дальше от чего зависит — хуйпойми :)
сходу что-то не вникаю. похоже дохера манов прочитать придётся, отдельные статьи в их вики не особо помогают.
плюс, у них там, похоже, от версии к версии всё как-то меняется — отдельные статьи для 5-6, 7 и 8 версий. вот нахера? в WP например новые фичи просто добавляются. хоть на древнющую версию свою тему ставь — почти уверен, что всё будет работать.
а тут похоже фиг. пичалька

как-то можно добавить форму входа на страницу /admin? чтоб вместо "Доступ запрещен" была.
хочу убрать ее с самого сайта.

Никогда не используйте возможность сделать дерево терминов таксономии в #Drupal без КРАЙНЕЙ на то необходимости.

в качестве эксперимента настроил каптчу на только кириллические символы и добавил шрифт для нее с поддержкой кириллицы. Посмотрим уменшьнит ли это потом ботов для друпал7, ибо сейчас регистрируются человек^W штук по 50 в час

Собираю инфу — как правильно переопределить процесс регистрации пользователей в Drupal 7, чтобы исключить полностью возможность обычной регистрации пользователей и оставить только авторизацию через заранее известный OpenID сервис (с автоматическим заведением несуществующего пользователя). Дело осложняется тем, что сервис предоставляет кое-какую техническую информацию при авторизации, которую мне надо хранить в базе для дальнейшего использования. OpenID с самим процессом авторизации справляется, но не подходит — ибо не заменяет, а дополняет и при отключении регистрации пользователей тоже не заводит новых пользователей.

Panels в Drupal — это монстр. Если я могу понять Views — нет ничего лучше для быстрой разработки — то Panels... увольте. И не показывайте мне это,

Кто как, а я так и не научился нормально смотреть скринкасты по программированию. Ну не могу я смотреть видеоурок по созданию первого модуля для Drupal 8 целых 50 минут, если по текстовой инструкции этот же модуль создается за 10-15....

Темы для #Drupal с themeforest.net не являются настоящими темами, а, скорее, сборками. Шаг влево, шаг вправо — расстрел. Зато можно выбрать подходящую под задачи сборку и не париться вообще. До определённого момента, который рано или поздно наступит.

Всё время забываю о том, что не надо патчить системные модули #Drupal. Надо просто скопировать нужный модуль в каталог нужного сайта и наложить патч на копию.

Начал осваивать SASS+Compass. Первую тему на основе AT долго настраивал попутно разбираясь в технологиях, надеюсь дальше пойдёт быстрее.
Надо будет потом Omega попробовать, там пока между бетами много добавляют чего.

Услышав, что на Drupal слишком трудно реализовать интернет-магазин из-за некоторых "специфичных" требований, начал активно выясниять требования. Как ни странно, пока что не увидел таковых, по крайней мере таких, с которыми бы Drupal и разработчик на нем не справились бы с задачей.

Вот думаю, пора уже наверное устраивать DrupalCafe в Москве, как то перерыв затянулся. Есть что обсудить, Киевский DrupalCamp, Drupal 8, многое еще.