Организация Apache Software Foundation представила (http://mail-archives.apache.org/mod_mbox/www-announce/201707...) выпуск сервера web-конференций Apache OpenMeetings 3.3.0 (http://openmeetings.apache.org/), который примечателен устранением 11 уязвимостей, пяти из которых присвоен высокий уровень опасности. Всем пользователям продукта рекомендуется срочно установить обновление.
В частности устранена уязвимость, позволяющая совершить подстановку SQL-кода аутентифицированным пользователем (CVE-2017-7681 (http://openwall.com/lists/oss-security/2017/07/13/10)), осущестивить вставку JavaScript-кода в чат (CVE-2017-7663 (http://openwall.com/lists/oss-security/2017/07/13/6)), провести CSRF- и XSS-атаки (CVE-2017-7666 (http://openwall.com/lists/oss-security/2017/07/13/7)). Система аутентификации оказалась незащищена от перебора паролей и ботов (отсутствует капча), пароли хранились с использованием ненадёжных криптографических методов (CVE-2017-7673 (http://openwall.com/lists/oss-security/2017/07/13/8)). Отсутствовала проверка загружаемых документов XML (CVE-2017-7664 (http://openwall.com/lists/oss-security/2017/07/13/17)).
Из не связанных с безопасностью изменений можно отметить поддержку импорта/экспорта событий календаря-планировщика при помощи протоколов ical и caldav, поддержку загрузки видеофайлов на сервер, возможность сохранения резервных копий в формате zip, расширенные возможности переноса файлов в корзину в режиме drag&drop, средства для настройки звуковых уведомлений, возможность скрытия элементов в виртуальном конференц-зале. Решены проблемы с отображением интерфейса, например, перекрытием окон в IE и неверным порядном следования записей в чате.
Напомним, что Apache OpenMeetings в первую очередь нацелен на организацию видео- и аудиоконференций, проводимых через Web. Поддерживаются как проведение вебинаров с одним выступающим докладчиком, так и конференций с произвольным числом одновременно взаимодействующих между собой участников. Дополнительно предоставляются средства для интеграции с календарём-планировщиком, отправки индивидуальных или широковещательных уведомлений и приглашений, совместного доступа к файлам и документам, поддержания адресной книги участников, ведения протокола мероприятия, совместного планирования выполнения задач, трансляции вывода запускаемых приложений (демонстрация скринкастов), проведения голосований и опросов.
Один сервер может обслуживать произвольное число конференций, проводимых в отдельных виртуальных конференц-залах и включающих свой набор участников. Сервер поддерживает гибкие инструменты управления полномочиями и мощную систему модерирования конференций. Управление и взаимодействие участников производится через web-интерфейс. Код OpenMeetings написан на языке Java. Интерактивный web-интерфейс построен с использованием фреймворка OpenLaszlo (http://www.openlaszlo.org/). В качестве СУБД могут использоваться MySQL и PostgreSQL. Для организации вещания используется потоковый сервер Red5 (http://www.red5.org/), который позволяет обеспечить возможность участия в видеоконференции клиентов с минимальной пропускной способностью канала 64 кбит/с.URL: http://mail-archives.apache.org/mod_mbox/www-announce/201707...
Новость: http://www.opennet.me/opennews/art.shtml?num=46849
Удивительный скриншот. Совершенно жуткая мешанина полей и пиктограмм.
Мань, это телекоммуникация, а не айфон, видом своих кишков она тебя в кащенко отправит.
А это и не кишки не разу - как 10 лет назад было уг так сейчас им и осталось. Им надо переработать бекэнд, или викинуть Red5 и заменить его чем то более вменяемым. Хоть asterisk каким нибудь.
> А это и не кишки не разу - как 10 лет назад
> было уг так сейчас им и осталось. Им надо переработать бекэнд,
> или викинуть Red5 и заменить его чем то более вменяемым. Хоть
> asterisk каким нибудь.да херли, CCM прикрутить и пожинать плоды. Вы вообще адекватно представляете себе разработку с нуля бэкенда под ВКС?
Кто-нибудь знает как его заставить по https? Пробовал по инструкциив в него впиндюрить ssl сертификат, https так и не взлетел (в конфигах тоже все перебирал)...
> Кто-нибудь знает как его заставить по https? Пробовал по инструкциив в него
> впиндюрить ssl сертификат, https так и не взлетел (в конфигах тоже
> все перебирал)...логи показал бы, если не смог по ним погуглить
УМВР. Давай конкретику, что не работает.
а нгинкс на что? запускаешь от юзера на непрориоитетном порту, дальше настраиваешь нгинкс в роли кэша. эта связка сработает практически везде
OpenLaslo is no longer supported. ... If you are still using OpenLaszlo and you can not what you are looking here, since 2012 when the project was abandoned, a lot of more powerful and light platforms are available for your projects. You might consider frameworks like Polymer, Bootstrap, and Skeleton.Прямо с сайта по ссылке. Это ж г мамонта какое то.
Ну и где аналитеги, вопящие про то, что чтобы не было уязвимостей, надо писать на чём угодно, кроме C?
Убогая вещь. Сейчас тестирую mind.
Проприетарщина. Не интересно.
bbb посмотрите
А клиента под ведро до сих пор нет? А там до сих пор адобе флеш?
ага
Ечть поддержка html5 без видео. В хроме работает с гарнитурой с Android