форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Релиз web-фреймворка Django 1.4 "	+/–
Сообщение от opennews (??) on 24-Мрт-12, 09:48
Вышла (https://www.djangoproject.com/weblog/2012/mar/23/14/) стабильная версия популярного фреймворка Django (https://www.djangoproject.com/) 1.4, написанного на языке Python (http://python.org/) и предназначенного для разработки веб-приложений. Начиная с Django 1.4 в качестве минимальной версии  рекомендован Python 2.5, поддержка Python 2.4 прекращена. В следующем выпуске планируется (http://www.opennet.ru/opennews/art.shtml?num=33370) прекратить поддержку Python 2.5 и начать постепенную адаптацию для использования Python 3. Основные изменения (https://docs.djangoproject.com/en/dev/releases/1.4/) в новой версии: -  Поддержка указания часовых поясов; -  Поддержка интеграции с работающими внутри браузера тестирующими фреймворками (https://docs.djangoproject.com/en/dev/releases/1.4/#support-...), такими как Selenium; -  Обновлена (https://docs.djangoproject.com/en/dev/releases/1.4/#updated-...) структура  проекта и файл manage.py; -  Поддержка (https://docs.djangoproject.com/en/dev/releases/1.4/#custom-p...) подключения кастомизированных шаблонов проекта и приложений; -  Улучшенная поддержка WSGI; -  Расширены возможности ORM, включая поддержку "SELECT FOR UPDATE" и возможность массового добавления набора данных; -  Улучшенное хеширование паролей (реализована поддержка хэшей PBKDF2 и bcrypt), улучшена защита от CSRF-атак и clickjacking; -  Улучшения в интерфейсе администрирования: -  список собственных фильтров -  множественная сортировка столбцов -  добавлены новые методы в ModelAdmin -  Добавлен API для криптографической подписи данных и новая утилита для работы с цифровыми подписями; -  Новый визард форм; -  Интернационализация URL-паттернов. Подробный обзор нововведений на русском языке с примерами использования можно увидеть в блоге Ильи Барышева (http://blog.futurecolors.ru/search/label/Django%20Days). URL: https://www.djangoproject.com/weblog/2012/mar/23/14/ Новость: http://www.opennet.ru/opennews/art.shtml?num=33438
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Релиз web-фреймворка Django 1.4 "	+/–
Сообщение от Аноним (??) on 24-Мрт-12, 09:48
Хорошая штука. Исользуем на рабоде для написаня web-приложений.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Релиз web-фреймворка Django 1.4 "	+5 +/–
	Сообщение от Аноним (??) on 24-Мрт-12, 14:54
	> Исользуем на рабоде Скажите пожалуйста где вы работаете, очень интересно.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Релиз web-фреймворка Django 1.4 "	+2 +/–
Сообщение от Аноним (??) on 24-Мрт-12, 11:54
А почему в мини-новостях? Изменения весьма крупные.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Аноним (??) on 24-Мрт-12, 12:14
	Поддерживаю. Изменения явно не минорные.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Релиз web-фреймворка Django 1.4 "	+/–
Сообщение от jedie on 24-Мрт-12, 12:31
часовые пояса только сейчас появились? Оо
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от jedie on 24-Мрт-12, 12:32
	их поддержка имеется ввиду
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	16. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от Аноним (??) on 24-Мрт-12, 20:15
	Нет давно, по крайней мере в 0.94 уже были.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Релиз web-фреймворка Django 1.4 "	+3 +/–
Сообщение от Аноним (??) on 24-Мрт-12, 14:47
> Расширены возможности ORM, включая поддержку "SELECT FOR UPDATE" И это появилось только сейчас?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Релиз web-фреймворка Django 1.4 "	+/–
Сообщение от Xasd (ok) on 24-Мрт-12, 16:04
> улучшена защита от CSRF-атак и clickjacking; каким обрзом сделали защиту от Clickjacking ? %) %)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	11. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от Xasd (ok) on 24-Мрт-12, 16:10
	а всё нащёл... https://docs.djangoproject.com/en/1.4/ref/clickjacking/ круто :)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	13. "Релиз web-фреймворка Django 1.4 "	+2 +/–
	Сообщение от Xasd (ok) on 24-Мрт-12, 17:06
	> а всё нащёл... > https://docs.djangoproject.com/en/1.4/ref/clickjacking/ > круто :) а нет... не круто... > We've added a middleware to provide easy protection against clickjacking using the > X-Frame-Options header. It's not enabled by default for backwards compatibility reasons, > but you'll almost certainly want to enable it to help plug that security hole for > browsers that support the header. >>>It's not enabled by default<<< не добавили по умолчанию -- это значит что 99.99% web-разработчиков не будут этим пользоватся -- всеголишь только потомучто будут думать что:    """         уязвимости-сайта это результат моих действий, а не результат моих бездействий.         я [видимо] не допускал ошибок следовательно, уязвимостей [видимо] нет    """ ...вобщем разработчки Django -- видимо совсем не извлекают пользы из чужих недавних ошибок [ http://www.opennet.ru/opennews/art.shtml?num=33268 ] # p.s.: а если 99.99 web-разработчиков не будут внедрять защиты от Clickjacking -- то страдать-то -- будем мы, простые пользователи... и как потом доказать комуто что твой "клик" "украли" ?? ip то твой и Куки все твои xD..
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	21. "Релиз web-фреймворка Django 1.4 "	–3 +/–
	Сообщение от arisu (ok) on 25-Мрт-12, 14:22
	жабоскрип надо отключать потому что. и не использовать сайты, которые требуют, чтобы он обязательно был включен.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	24. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Имя on 25-Мрт-12, 21:03
	Clickjacking можно и на HTML+CSS сделать.... CSS тоже отключить? ....вы только подтвердили слова о том что люди в основной массе нифига не понимают что такое Clickjacking и поэтому защиту делать не будут
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	25. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от arisu (ok) on 25-Мрт-12, 21:12
	> Clickjacking можно и на HTML+CSS сделать…. CSS тоже отключить? нет, нельзя. потому что если сломан сервер, то это уже другой разговор. а если сервер целый, то только js. > ….вы только подтвердили слова о том что люди в основной массе нифига > не понимают что такое Clickjacking и поэтому защиту делать не будут ты только что подтвердил, что «веб-программисты» cannot into security. но это аксиома.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	26. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от Имя on 25-Мрт-12, 21:24
	> нет, нельзя. потому что если сломан сервер может почитаешь хотябы каким образом реализовывается Clickjacking ??? я то лично отчётливо понимаю что из МИНИМАЛЬНЫХ требований нужно: 1. манипуляция с несколькими <div> их CSS: абсолютное позиционирование и overflow:hidden -- для этих <div> 2. iFrame (внутри одного из <div>) и его "opacity:0.00001" (невидимая глазу прозрачность) 3. граммотно составленная web-страничка с какойнить кнопкой (типа -- "зайти на сайт >>>" или "пропустить рекламу >>>") а если есть Javascript то это ВСЕГОЛИШЬ добавляет комфортность: например, наборы элементов могут двигаться всегда вместе с курсором мыши (т.е. куда не тыкнешь на сайте -- всюду будет "угон клика")
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	29. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от arisu (ok) on 25-Мрт-12, 21:40
	идиотизм пользователя, жмущего на "голые сиськи семенович бесплатно" я в расчёт вообще не беру. всё остальное бессмысленно без передачи кукишей (или инфы из кукишей). латать же криворукость юзеров бессмысленно по определению.
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	41. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от Xasd (ok) on 27-Мрт-12, 14:06
	> идиотизм пользователя, жмущего на "голые сиськи семенович бесплатно" я в расчёт вообще не беру. а кнопка типа "посмотреть новый аналог транзистора КТ-315, бесплатно, без SMS" -- тоже идиотизм ??? xD несправность ПРИСУТСТВУЕТ -- и это значит способ как заставить нажать на кнопку (обманным обоазом) это всеголишь дело техники.. когда люди перестанут жать на "голвые сиськи" найдётся чтото другое.. и для тебя тоже чтото найдётся поверь
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

	42. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от arisu (ok) on 27-Мрт-12, 14:12
	> а кнопка типа «посмотреть новый аналог транзистора КТ-315, бесплатно, без SMS» — > тоже идиотизм ??? xD да. вообще, те, кто переходят дорогу не глядя по сторонам — ССЗБ. > несправность ПРИСУТСТВУЕТ — и это значит способ как заставить нажать на кнопку > (обманным обоазом) это всеголишь дело техники.. когда люди перестанут жать на > «голвые сиськи» найдётся чтото другое.. и для тебя тоже чтото найдётся > поверь неа, не верю. я как-то не приучен без доказательств на веру брать.
	Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

	43. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от Xasd (ok) on 27-Мрт-12, 19:12
	а может ты и вообще интернетом не пользуешься, кто тебя знает.. (кроме сайта opennet.ru и электронной почты)
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	44. "Релиз web-фреймворка Django 1.4 "	+/–
	Сообщение от arisu (ok) on 27-Мрт-12, 19:13
	да я и сюда… друг на флопике приносит, потом ответы забирает.
	Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

	27. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Имя on 25-Мрт-12, 21:30
	> если сломан сервер, то это уже другой разговор давай сразу обговорим такой момент -- если сайт (для которобу будет создаваться ClickJacking) НЕ использует HTTP-заголовок "X-Frame-Options: ..." -- то это щитается как "сломан сервер" или нет? # p.s.: и сразу встаёт следущий вопрос: можешь хотябы 10 разных сайтов в пример привести которые HTTP-заголовок "X-Frame-Options: ..." -- ИСПОЛЬЗУЮТ?
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	28. "Релиз web-фреймворка Django 1.4 "	–1 +/–
	Сообщение от arisu (ok) on 25-Мрт-12, 21:35
	это всё попытка залатать дырку соседа костылями. более того, это поле и нестандартно, и ненужно. покажи мне кросс-сайтовую атаку без js, plz. и, конечно, с активированой политикой «disable 3rd-side cookies».
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	30. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Имя on 25-Мрт-12, 21:56
	> «disable 3rd-side cookies» ты издеваешь чтоле? троллишь? какие ещё "3rd-side cookies"??? страничка сайта которая загружена внутри iframe -- загружается СО ВСЕМИ СВОИМИ куками!!! > покажи мне кросс-сайтовую атаку без js, plz ты хочешь чтобы я тебе щаз чтоле начал писать тут код??? не жирноли?????? ...вобщето ДАЖЕ CSRF-атаку можно провести без javascript, не только Clickjacking... потомучто -- для iframe не нужен javascript... и даже более того -- Javascript не имеет полномочий к внутренностям чужой iframe-document-object-model (javascript РАЗУМЕЕТСЯ-НУЖЕН для проведения XSS-атаки.. но про XSS-атаку мы тут вообщето ничего не говорим... Clickcjacking это НЕ разновидность XSS... CSRF это тоже НЕ разновидность XSS... это три совершенно разных направления. и ещё остаются направления: PHP-Injection и SQL-Injection -- они тоже все не связаны с Javascript) ..нащёт примера Clickjacking без javascript -- ды легко -- < style >     iframe { /* iframe from facebook.com */       width:300px;       height:100px;       position:absolute;       top:0; left:0;       filter:alpha(opacity=50); /* in real life opacity=0 */       opacity:0.5;     }     < /style >          < div >Click on the link to get rich now:</div>              < iframe src="http://target-site/PLUS_ONE_BUTTON.html" >< /iframe >          < a href="http://www.google.com" target="_blank" style="position:relative;left:20px;z-index:-1">CLICK ME!</a>      этот пример я взял с первого попавлегося сайта.. при этом это ПРОСТОЙ пример без использования overflow:hidden [с помощью "overflow:hidden" можно отрезать из iframe ненужные куски] > это поле и нестандартно, и ненужно предположим у меня есть сайт... напиши мне тогда ХОТЯБЫ ОДИН верный способ как мне защитить свой сайт от Clickjacking? ты удивишься но ТОЛЬКО "X-Frame-Options: ..." может помочь... несмотря на всю свою нестандартность xD ...да я согласен что нестандартный поля это плохо... но пусть тогда разрабы вообще отменят iframe из браурезов и из W3C .. я буду только ЗА! :-)
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	33. "Релиз web-фреймворка Django 1.4 "	–1 +/–
	Сообщение от arisu (ok) on 25-Мрт-12, 22:41
	> ты издеваешь чтоле? троллишь? какие ещё "3rd-side cookies"??? страничка сайта которая загружена > внутри iframe -- загружается СО ВСЕМИ СВОИМИ куками!!! и что это даёт? clickjacking нафиг не упёрся без уникальных кукишей юзера. чтобы они возникли в iframe, надо нажать на голые сиськи семенович бесплатно. как я уже говорил, этот вариант не рассматривается. (ну ладно, ладно, подтролливаю, обращение с уникального ip тоже важно -- только это никак не clickjacking) > ты хочешь чтобы я тебе щаз чтоле начал писать тут код??? не > жирноли?????? да мне вообще фиолетово, why so butthurt? вопрос имел практический смысл: посмотреть, понимаешь ли ты, о чём речь идёт и зачем. > -- для iframe не нужен javascript... и даже более того -- > Javascript не имеет полномочий к внутренностям чужой iframe-document-object-model и что ты этим ифрэймом сделаешь? ну, накрутку кликов с разных IP. но это, опять же, не clickjacking. > ..нащёт примера Clickjacking без javascript -- ды легко -- это снова сиськи семенович. > предположим у меня есть сайт... напиши мне тогда ХОТЯБЫ ОДИН верный способ > как мне защитить свой сайт от Clickjacking? ну, поскольку выше у тебя был допочёс по поводу "кода" -- ты реально ожидаешь, что я тут буду давать бесплатные консультации? qui pro quo, любезнейший. > ты удивишься но ТОЛЬКО "X-Frame-Options: ..." может помочь... несмотря на всю свою > нестандартность xD весь обрыдался. > ...да я согласен что нестандартный поля это плохо... но пусть тогда разрабы > вообще отменят iframe из браурезов и из W3C .. я буду > только ЗА! :-) зачем? не надо ничего отменять. вообще-то достаточно *все* кукиши ифрэймов считать 3rd-party. и блокировать referer из iframe.
	Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

	36. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Xasd (ok) on 26-Мрт-12, 10:21
	> и что ты этим ифрэймом сделаешь? ну, накрутку кликов с разных IP. но это, опять же, не clickjacking. ну допустим внутри iframe скрыта кнопка "удалить мой аккаунт".. или "подтердить что я педик" (aka "подтвердть разрешение на исползование прав OAuth").... > чтобы они возникли в iframe, надо нажать на голые сиськи семенович бесплатно. как я уже говорил, этот вариант не рассматривается. с хренали этот вариант не рассматривается? ты хочешь сказать что когда заходишь на незнакомый сайт -- то никогда никуда не нажимаешь там мышкой? LOL xD если ЛИЧНО ТЕБЯ не интересует голые сиськи -- то возможно на таких как ты найдётся какоето другое заманилово xD xD , например "скачать клип Бориса Моисеева" xD. >> предположим у меня есть сайт... напиши мне тогда ХОТЯБЫ ОДИН верный способ >> как мне защитить свой сайт от Clickjacking? > ну, поскольку выше у тебя был допочёс по поводу "кода" -- ты реально ожидаешь, что я тут буду давать бесплатные консультации? qui pro quo, любезнейший. ну тоесть -- ясно -- ты незнаешь как можно защитить свой сайт от Clickjacking.. всмысле никаких способов и не бывает кроме как "X-Frame-Options: SAMEORIGIN" [на данный момент развития www]
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	31. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Имя on 25-Мрт-12, 22:05
	> это всё попытка залатать дырку соседа костылями попытку можно щитать проваленной -- по причине того что: 1. это не пропихнули в стандарт [хотя и есть почти во всех браузерах] 2. поумолчанию нужно былобы щитать что "X-Frame-Options: SAMEORIGIN" (а не "X-Frame-Options: ALLOW"), если иного не указано
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	32. "Релиз web-фреймворка Django 1.4 "	+1 +/–
	Сообщение от Имя on 25-Мрт-12, 22:14
	моя-лично вся надежда -- на http://www.w3.org/TR/from-origin/ ... ...как раз возможно именно оно и исправит ОБА этих пункта :-)
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

12. "Релиз web-фреймворка Django 1.4 "	+5 +/–
Сообщение от www (??) on 24-Мрт-12, 16:59
К теме о Django... позволю себе разрекламировать усилия создателей форума DjangoBB, основанный на вебфреймворке Django: Ребята сделали отличный форум. перехали с phpBB недавно, и возможно есть ещё где огрехи, но вполне комфортно всё работает. Молодцы! http://python.su/forum/ http://djangobb.org/ https://bitbucket.org/slav0nic/djangobb
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема