Next Generation CMS :: Форум поддержки
Вы не зашли.
- Темы: Активные | Без ответов
Объявление
Страницы 1
#1 2010-07-04 13:38:45
Идея по защите от XSS атак
Наткнулся на хорошую идею помогающую защитить админов от кражи кукисов
Вот ссылка на форум http://fluxbb.org.ru/forum/viewtopic.php?id=1974
Кто что думает - полезная функция?
Не в сети
#2 2010-07-04 14:33:19
Re: Идея по защите от XSS атак
Идее сто лет уже 
От кражи кукисов она не защищает, а делает невозможным использовать спижженую куку с другим ip.
Реализовать можно в виде хака для модуля авторизации, буквально пару строк. В функции check_auth() после выполнения запроса $mysql->record($query)проверить равен ли $row['ip'] == checkIP() (это стандартная функция движка, возвращающая IP) и если нет, то послать подальше
П.С. А как у вас куки тырят вообще?
Не в сети
#5 2010-07-04 18:34:28
Re: Идея по защите от XSS атак
В SVN выложена обновлённая версия плагина auth_basic, в нём добавлена возможность включения привязки сессии к IP адресу - при её включении при каждой смене IP адреса нужно будет заново авторизоваться. Собственно, это на 95% защищает от кражи cookie.
Не в сети
#6 2010-07-04 21:15:32
Re: Идея по защите от XSS атак
vitaly, мне кажется не очень гибко задавать эту настройку в плагине авторизации. Админ включит для своей защиты, а остальным будет не сильно удобно. Лучше сделать галочку в настройках профиля ИМХО.
P.S. А вообще хотелось бы иметь возможность при логине с другого браузера сохранять авторизацию и в первом браузере. Как на том же Флаксе, я залогинен на телефоне, на компе и на ноуте. Не знаю только про реализацию.. Несколько кук?
Не в сети
Страницы 1