Invision Power Board 2.2.2
22:49 26.03.2007Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.
- Русская версия Invision Power Board v2.2.2 (деталі)
Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.
Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.
У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.
Вівторок, 00:20 27.03.2007
Що за захищені коржики? Кинь в мене парою url
Субота, 21:10 31.03.2007
trovich, захищені кукіси - це або HTTP Only кукіси (про які я ще напишу окрему статтю), або ІПБ-шніки придумали щось своє. До речі, так і є, якщо прочитати форум Invision Power. Причому, вони використовують два підходи - як HTTP Only так і власні “тверді” кукіси, з тіє причини, що HTTP Only підтримуються лише IE 6/7, тому основний акцент зробили на свої “stronghold” кукіси.
Як ти можеш причитати на форумі IPB в пості Security Enhancements in 2.2 в новій версії движка (в гілці 2.2.x) передбачені наступні покращення безпеки:
1. Minimizing XSS Risk
2. Minimizing SQL Injection Risk
3. Balancing security and convenience
4. Account Locking brute-force protection
Зокрема стосовно Cross-Site Scripting атак цікавий перший пункт:
Так що вони ввели свій посилений “stronghold” кукіс для протидії XSS атакам (а також підтримку HTTP Only кукісів). Але це все лише невелике обмеження зловмисників, так як захоплення кукісів - це лише одна з можливостей використання XSS, і залишаються багато інших векторів атаки (зокрема XSS для віддаленого контролю).
В третьому пункті покращень “Balancing security and convenience” також йде мова про кукіси. Окрім “stronghold” кукісів, в движку додали ще деякі покращення безпеки: постійне оновлення кукісів після чергового перелогіну, а також встановлення часу життя кукіса (7 діб по замовчуванню).
Понеділок, 16:46 02.07.2007
І що прям ніяк? =)
на днях 2.1.6 зламав, тепер пропонують за 2.2.2 взятися )
Понеділок, 20:55 02.07.2007
BoyKot
Ти спробуй . Бо дуже самовпевнено заявляють розробники IPB стосовно безпеки. Раз ти з 2.1.6 зміг упоратися, то і 2.2.2 не повинен скласти тобі великих проблем.
Шукай в ньому дірки. Бо хто шукає, той завжди знаходить .