Очень уж нравится.
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
Уважаемые пользователи!
В версии phpBB 3.3.13 обнаружены ошибки при использовании функции поиска по конференции.
Обсуждение проблемы и ее решения здесь Re: Вышел phpBB 3.3.13 [обсуждаем].
В связи с этим, не рекомендуется установка и обновление до phpBB 3.3.13.
Ошибка будет устранена разработчиками в версии phpBB 3.3.14.
Скачать предыдущую версию - phpBB 3.3.12 - можно здесь.
В версии phpBB 3.3.13 обнаружены ошибки при использовании функции поиска по конференции.
Обсуждение проблемы и ее решения здесь Re: Вышел phpBB 3.3.13 [обсуждаем].
В связи с этим, не рекомендуется установка и обновление до phpBB 3.3.13.
Ошибка будет устранена разработчиками в версии phpBB 3.3.14.
Скачать предыдущую версию - phpBB 3.3.12 - можно здесь.
Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Замена стандартного ввода сообщений на Xinha
-
Char0Day
- phpBB 1.0.0
- Сообщения: 3
- Стаж: 17 лет 6 месяцев
Замена стандартного ввода сообщений на Xinha
Интересует вопрос замены стандартного интерфейса добавления сообщения на Xinha.
Очень уж нравится.
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
Очень уж нравится.
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
-
Char0Day
- phpBB 1.0.0
- Сообщения: 3
- Стаж: 17 лет 6 месяцев
-
Char0Day
- phpBB 1.0.0
- Сообщения: 3
- Стаж: 17 лет 6 месяцев
-
Mylene
- phpBB 1.2.0
- Сообщения: 15
- Стаж: 17 лет 6 месяцев
- Откуда: Moscow
Char0Day, извините, что перебила. 
Просто попутный вопрос на утверждение...
А если в конфигах всего несколько штук прописаны и разрешены?... Ну, к примеру, перечёркивание текста, для ссылок, картинок,... ещё парочка?
Или это уже без разницы - сколько и какие разрешены, главное, что сам факт - "разрешены" - означает капец и зелёный свет для "униженных и оскорблённых" но продвинутых недоброжелателей?
Просто попутный вопрос на утверждение...Йиииии... *Что делать, что делать?*RedNaxi писал(а):Это уже сильный удар по безопасности.
А если в конфигах всего несколько штук прописаны и разрешены?... Ну, к примеру, перечёркивание текста, для ссылок, картинок,... ещё парочка?
Или это уже без разницы - сколько и какие разрешены, главное, что сам факт - "разрешены" - означает капец и зелёный свет для "униженных и оскорблённых" но продвинутых недоброжелателей?
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
-
Mylene
- phpBB 1.2.0
- Сообщения: 15
- Стаж: 17 лет 6 месяцев
- Откуда: Moscow
Да я их, в общем-то, для себя прописала. Просто у меня мод стоит - скрывать ссылки от гостей, но мне нужно было, чтобы некоторые из них всё-таки были видны и гостям, где-то процентов 15 от общего числа, и html-коды как раз и отвечают моему запросу - мод на них не реагирует. Мне намного важнее было узнать, чем вообще может грозить разрешённый html? И зачем тогда предоставлена такая возможность, раз это опасно? (Просто за прошедший год никаких инцидентов не было, я и расслабилась.)
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
-
RedNaxi
- Former team member
- Сообщения: 933
- Стаж: 17 лет 8 месяцев
- Откуда: BeBoss.ru
- Благодарил (а): 2 раза
- Поблагодарили: 10 раз
ну например если разрешить тег <a> </a> то будет разрешен и такой вариант тега:
<a href="javascript:alert('xss')">text</a>
У себ попробовал - тег обработался, ява скрипт запустился. Соответственно на месте alert('xss') может быть что угодно вплоть до скрипта который бдет передавать ваши кукисы сниферу. Тогда злоумышленник разместивший подобную ссылку сможет получить кукисы всех юзеров которые перейдут это этой ссылке. думаю ясно чем потенциально грозит получение злоумышленниками админских кукисов. Если включен автологин то в админку они конечно не попадут но над форумом поиздеваютя.
Да и просто то что кто-то сможет заходить от имени ваших пользователей врядли хорошо скажется на репутации вашего форума.
<a href="javascript:alert('xss')">text</a>
У себ попробовал - тег обработался, ява скрипт запустился. Соответственно на месте alert('xss') может быть что угодно вплоть до скрипта который бдет передавать ваши кукисы сниферу. Тогда злоумышленник разместивший подобную ссылку сможет получить кукисы всех юзеров которые перейдут это этой ссылке. думаю ясно чем потенциально грозит получение злоумышленниками админских кукисов. Если включен автологин то в админку они конечно не попадут но над форумом поиздеваютя.
Да и просто то что кто-то сможет заходить от имени ваших пользователей врядли хорошо скажется на репутации вашего форума.
-
Mylene
- phpBB 1.2.0
- Сообщения: 15
- Стаж: 17 лет 6 месяцев
- Откуда: Moscow
Ясно! Большое спасибо за пояснения. Буду теперь думать, как выкрутиться.
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
