The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз web-фреймворка Django 1.4

24.03.2012 08:46

Вышла стабильная версия популярного фреймворка Django 1.4, написанного на языке Python и предназначенного для разработки веб-приложений. Начиная с Django 1.4 в качестве минимальной версии рекомендован Python 2.5, поддержка Python 2.4 прекращена. В следующем выпуске планируется прекратить поддержку Python 2.5 и начать постепенную адаптацию для использования Python 3.

Основные изменения в новой версии:

  • Поддержка указания часовых поясов;
  • Поддержка интеграции с работающими внутри браузера тестирующими фреймворками, такими как Selenium;
  • Обновлена структура проекта и файл manage.py;
  • Поддержка подключения кастомизированных шаблонов проекта и приложений;
  • Улучшенная поддержка WSGI;
  • Расширены возможности ORM, включая поддержку "SELECT FOR UPDATE" и возможность массового добавления набора данных;
  • Улучшенное хеширование паролей (реализована поддержка хэшей PBKDF2 и bcrypt), улучшена защита от CSRF-атак и clickjacking;
  • Улучшения в интерфейсе администрирования:
    • список собственных фильтров
    • множественная сортировка столбцов
    • добавлены новые методы в ModelAdmin
  • Добавлен API для криптографической подписи данных и новая утилита для работы с цифровыми подписями;
  • Новый визард форм;
  • Интернационализация URL-паттернов.

Подробный обзор нововведений на русском языке с примерами использования можно увидеть в блоге Ильи Барышева.

  1. Главная ссылка к новости (https://www.djangoproject.com/...)
  2. OpenNews: Разработчики web-фреймворка Django представили план миграции на Python 3
  3. OpenNews: Релиз web-фреймворка Django 1.3
  4. OpenNews: Релиз web-фреймворка Django 1.2
  5. OpenNews: Уязвимость в web-фреймворке Django
Автор новости: www
Тип: Программы
Ключевые слова: , django, python
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (28) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 09:48, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хорошая штука. Исользуем на рабоде для написаня web-приложений.
     
     
  • 2.8, Аноним (-), 14:54, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Исользуем на рабоде

    Скажите пожалуйста где вы работаете, очень интересно.

     

  • 1.3, Аноним (-), 11:54, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А почему в мини-новостях? Изменения весьма крупные.
     
     
  • 2.4, Аноним (-), 12:14, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поддерживаю. Изменения явно не минорные.
     

  • 1.5, jedie (?), 12:31, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    часовые пояса только сейчас появились? Оо
     
     
  • 2.6, jedie (?), 12:32, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    их поддержка имеется ввиду
     
     
  • 3.16, Аноним (-), 20:15, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Нет давно, по крайней мере в 0.94 уже были.
     

  • 1.7, Аноним (-), 14:47, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Расширены возможности ORM, включая поддержку "SELECT FOR UPDATE"

    И это появилось только сейчас?

     
  • 1.9, Xasd (ok), 16:04, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > улучшена защита от CSRF-атак и clickjacking;

    каким обрзом сделали защиту от Clickjacking ? %) %)

     
     
  • 2.11, Xasd (ok), 16:10, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а всё нащёл...
    https://docs.djangoproject.com/en/1.4/ref/clickjacking/
    круто :)
     
     
  • 3.13, Xasd (ok), 17:06, 24/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а всё нащёл...
    > https://docs.djangoproject.com/en/1.4/ref/clickjacking/
    > круто :)

    а нет... не круто...

    > We've added a middleware to provide easy protection against clickjacking using the
    > X-Frame-Options header. It's not enabled by default for backwards compatibility reasons,
    > but you'll almost certainly want to enable it to help plug that security hole for
    > browsers that support the header.
    >>>It's not enabled by default<<<

    не добавили по умолчанию -- это значит что 99.99% web-разработчиков не будут этим пользоватся -- всеголишь только потомучто будут думать что:
       """
            уязвимости-сайта это результат моих действий, а не результат моих бездействий.
            я [видимо] не допускал ошибок следовательно, уязвимостей [видимо] нет
       """

    ...вобщем разработчки Django -- видимо совсем не извлекают пользы из чужих недавних ошибок [ http://www.opennet.ru/opennews/art.shtml?num=33268 ]

    # p.s.: а если 99.99 web-разработчиков не будут внедрять защиты от Clickjacking -- то страдать-то -- будем мы, простые пользователи... и как потом доказать комуто что твой "клик" "украли" ?? ip то твой и Куки все твои xD..

     
     
  • 4.21, arisu (ok), 14:22, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    жабоскрип надо отключать потому что. и не использовать сайты, которые требуют, чтобы он обязательно был включен.
     
     
  • 5.24, Имя (?), 21:03, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Clickjacking можно и на HTML+CSS сделать.... CSS тоже отключить?

    ....вы только подтвердили слова о том что люди в основной массе нифига не понимают что такое Clickjacking и поэтому защиту делать не будут

     
     
  • 6.25, arisu (ok), 21:12, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Clickjacking можно и на HTML+CSS сделать…. CSS тоже отключить?

    нет, нельзя. потому что если сломан сервер, то это уже другой разговор. а если сервер целый, то только js.

    > ….вы только подтвердили слова о том что люди в основной массе нифига
    > не понимают что такое Clickjacking и поэтому защиту делать не будут

    ты только что подтвердил, что «веб-программисты» cannot into security. но это аксиома.

     
     
  • 7.26, Имя (?), 21:24, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > нет, нельзя. потому что если сломан сервер

    может почитаешь хотябы каким образом реализовывается Clickjacking ???

    я то лично отчётливо понимаю что из МИНИМАЛЬНЫХ требований нужно:

    1. манипуляция с несколькими <div> их CSS: абсолютное позиционирование и overflow:hidden -- для этих <div>

    2. iFrame (внутри одного из <div>) и его "opacity:0.00001" (невидимая глазу прозрачность)

    3. граммотно составленная web-страничка с какойнить кнопкой (типа -- "зайти на сайт >>>" или "пропустить рекламу >>>")

    а если есть Javascript то это ВСЕГОЛИШЬ добавляет комфортность: например, наборы элементов могут двигаться всегда вместе с курсором мыши (т.е. куда не тыкнешь на сайте -- всюду будет "угон клика")

     
     
  • 8.29, arisu (ok), 21:40, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    идиотизм пользователя, жмущего на голые сиськи семенович бесплатно я в расчёт ... текст свёрнут, показать
     
     
  • 9.41, Xasd (ok), 14:06, 27/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а кнопка типа посмотреть новый аналог транзистора КТ-315, бесплатно, без SMS -... текст свёрнут, показать
     
     
  • 10.42, arisu (ok), 14:12, 27/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да вообще, те, кто переходят дорогу не глядя по сторонам 8212 ССЗБ неа, не ... текст свёрнут, показать
     
     
  • 11.43, Xasd (ok), 19:12, 27/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а может ты и вообще интернетом не пользуешься, кто тебя знает кроме сайта ope... текст свёрнут, показать
     
     
  • 12.44, arisu (ok), 19:13, 27/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да я и сюда 8230 друг на флопике приносит, потом ответы забирает ... текст свёрнут, показать
     
  • 7.27, Имя (?), 21:30, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > если сломан сервер, то это уже другой разговор

    давай сразу обговорим такой момент -- если сайт (для которобу будет создаваться ClickJacking) НЕ использует HTTP-заголовок "X-Frame-Options: ..." -- то это щитается как "сломан сервер" или нет?

    # p.s.: и сразу встаёт следущий вопрос: можешь хотябы 10 разных сайтов в пример привести которые HTTP-заголовок "X-Frame-Options: ..." -- ИСПОЛЬЗУЮТ?

     
     
  • 8.28, arisu (ok), 21:35, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    это всё попытка залатать дырку соседа костылями более того, это поле и нестанда... текст свёрнут, показать
     
     
  • 9.30, Имя (?), 21:56, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты издеваешь чтоле троллишь какие ещё 3rd-side cookies страничка сайта ко... большой текст свёрнут, показать
     
     
  • 10.33, arisu (ok), 22:41, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    и что это даёт clickjacking нафиг не упёрся без уникальных кукишей юзера чтобы... текст свёрнут, показать
     
     
  • 11.36, Xasd (ok), 10:21, 26/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну допустим внутри iframe скрыта кнопка удалить мой аккаунт или подтердить ... текст свёрнут, показать
     
  • 9.31, Имя (?), 22:05, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    попытку можно щитать проваленной -- по причине того что 1 это не пропихнули в ... текст свёрнут, показать
     
     
  • 10.32, Имя (?), 22:14, 25/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    моя-лично вся надежда -- на http www w3 org TR from-origin как раз воз... текст свёрнут, показать
     

  • 1.12, www (??), 16:59, 24/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    К теме о Django...

    позволю себе разрекламировать усилия создателей форума DjangoBB, основанный на вебфреймворке Django:

    Ребята сделали отличный форум. перехали с phpBB недавно, и возможно есть ещё где огрехи, но вполне комфортно всё работает. Молодцы!


    http://python.su/forum/

    http://djangobb.org/

    https://bitbucket.org/slav0nic/djangobb

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру