Next Generation CMS :: Форум поддержки

Заинтересовала наша система? Тогда этот форум для Вас!

Вы не зашли.

#1 2012-05-14 16:36:01

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Changeset [994]

Всем привет! :)

Уважаемые Специалисты!

Подскажите пожалуйста, есть ли смысл устанавливать обновление против "воровства авторизационной cookie через обнаруженные XSS уязвимости", если в настройках авторизации в значении "Запоминать пользователя" выбрано "Нет"?

Заранее СПАСИБА! :)

Изменено cmsTester (2012-05-14 16:36:22)

Не в сети

#2 2012-05-14 18:44:06

vitaly
Администратор
Откуда Россия
Зарегистрирован: 2008-10-08
Сообщений: 2,823
Рейтинг :   118 

Re: Changeset [994]

cmsTester, есть smile
При желании можешь накатить только этот changeset - он затрагивает всего пару файлов и единственное что делает - выставляет фраг "httpOnly" для авторизационных кук. Тем самым предотвращает доступ JavaScript'а к этой cookie (и не позволяет её украсть в случае обнаружения какой-либо уязвимости).

Не в сети

#3 2012-05-15 12:23:53

cmsTester
Участник
Откуда Город-На-Болоте
Зарегистрирован: 2011-10-09
Сообщений: 45
Рейтинг :   

Re: Changeset [994]

На 9.2 не пошло. Показывает белый экран.

И на 9.3 тоже не пошло... Ругается:

NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()

Stack trace
Line #    File name
308    /home/бла-бла-бла/public_html/engine/core.php

А вот, кстати, ещё вопрос: если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае чейнджсет продолжает быть актуальным или уже нет?

Изменено cmsTester (2012-05-17 11:45:07)

Не в сети

Подвал раздела

Работает на FluxBB