Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Замена стандартного ввода сообщений на Xinha
Замена стандартного ввода сообщений на Xinha
Интересует вопрос замены стандартного интерфейса добавления сообщения на Xinha.
Очень уж нравится.
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
Очень уж нравится.
Кто-нибудь таким занимался?
Как это может отразиться на безопасности?
Char0Day, извините, что перебила. Просто попутный вопрос на утверждение...
А если в конфигах всего несколько штук прописаны и разрешены?... Ну, к примеру, перечёркивание текста, для ссылок, картинок,... ещё парочка?
Или это уже без разницы - сколько и какие разрешены, главное, что сам факт - "разрешены" - означает капец и зелёный свет для "униженных и оскорблённых" но продвинутых недоброжелателей?
Йиииии... *Что делать, что делать?*RedNaxi писал(а):Это уже сильный удар по безопасности.
А если в конфигах всего несколько штук прописаны и разрешены?... Ну, к примеру, перечёркивание текста, для ссылок, картинок,... ещё парочка?
Или это уже без разницы - сколько и какие разрешены, главное, что сам факт - "разрешены" - означает капец и зелёный свет для "униженных и оскорблённых" но продвинутых недоброжелателей?
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Да я их, в общем-то, для себя прописала. Просто у меня мод стоит - скрывать ссылки от гостей, но мне нужно было, чтобы некоторые из них всё-таки были видны и гостям, где-то процентов 15 от общего числа, и html-коды как раз и отвечают моему запросу - мод на них не реагирует. Мне намного важнее было узнать, чем вообще может грозить разрешённый html? И зачем тогда предоставлена такая возможность, раз это опасно? (Просто за прошедший год никаких инцидентов не было, я и расслабилась.)
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
- RedNaxi
- Former team member
- Сообщения: 933
- Стаж: 17 лет 1 месяц
- Откуда: BeBoss.ru
- Благодарил (а): 2 раза
- Поблагодарили: 14 раз
ну например если разрешить тег <a> </a> то будет разрешен и такой вариант тега:
<a href="javascript:alert('xss')">text</a>
У себ попробовал - тег обработался, ява скрипт запустился. Соответственно на месте alert('xss') может быть что угодно вплоть до скрипта который бдет передавать ваши кукисы сниферу. Тогда злоумышленник разместивший подобную ссылку сможет получить кукисы всех юзеров которые перейдут это этой ссылке. думаю ясно чем потенциально грозит получение злоумышленниками админских кукисов. Если включен автологин то в админку они конечно не попадут но над форумом поиздеваютя.
Да и просто то что кто-то сможет заходить от имени ваших пользователей врядли хорошо скажется на репутации вашего форума.
<a href="javascript:alert('xss')">text</a>
У себ попробовал - тег обработался, ява скрипт запустился. Соответственно на месте alert('xss') может быть что угодно вплоть до скрипта который бдет передавать ваши кукисы сниферу. Тогда злоумышленник разместивший подобную ссылку сможет получить кукисы всех юзеров которые перейдут это этой ссылке. думаю ясно чем потенциально грозит получение злоумышленниками админских кукисов. Если включен автологин то в админку они конечно не попадут но над форумом поиздеваютя.
Да и просто то что кто-то сможет заходить от имени ваших пользователей врядли хорошо скажется на репутации вашего форума.
Ясно! Большое спасибо за пояснения. Буду теперь думать, как выкрутиться.
Человек, который никогда не сердится, - просто дурак!
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина
Человек, который может заставить себя не сердиться, - настоящий мудрец! © Гёте
Форум Беседы у камина