« Уразливість на justua.info
Добірка уразливостей »

Invision Power Board 2.2.2

22:49 26.03.2007

Деякий час тому вийшов Invision Power Board v2.2.2, тому всім хто користується движком IPB, раджу звернути увагу на нову версію. Мій форум вже був переведений в березні на нову версію.

  • Русская версия Invision Power Board v2.2.2 (деталі)

Компанія IBResource офіційно повідомляє про випуск нової російської версії форуму Invision Power Board v2.2.2. Нова версія несе в собі максимальну надійність, безпеку і локалізацію, при цьому не ідучи далеко від англомовного оригіналу.

Це наступна офіційна локалізована версія Invision Power Board, після IPB 2.1.7, випущена IBResource. В якій багато уваги було приділено безпеці.

У новій версії 2.2.2 разом з партнерами компанії IPS, Inc. були досліджені нові методи безпеки і зроблені необхідні зміни в програмном коді для переведення безпеки на більш високий рівень. При запуску форуму на новітньому PHP 5.2.x система може використовувати захищені cookies, що практично зводять до нуля можливість застосування XSS атак.


This entry was posted on 22:49 26.03.2007 and is filed under Новини, Програми. You can follow any responses to this entry through the RSS 2.0 feed.

4 відповідей на “Invision Power Board 2.2.2”

  1. trovich каже:
    Вівторок, 00:20 27.03.2007

    Що за захищені коржики? Кинь в мене парою url

  2. MustLive каже:
    Субота, 21:10 31.03.2007

    trovich, захищені кукіси - це або HTTP Only кукіси (про які я ще напишу окрему статтю), або ІПБ-шніки придумали щось своє. До речі, так і є, якщо прочитати форум Invision Power. Причому, вони використовують два підходи - як HTTP Only так і власні “тверді” кукіси, з тіє причини, що HTTP Only підтримуються лише IE 6/7, тому основний акцент зробили на свої “stronghold” кукіси.

    Як ти можеш причитати на форумі IPB в пості Security Enhancements in 2.2 в новій версії движка (в гілці 2.2.x) передбачені наступні покращення безпеки:

    1. Minimizing XSS Risk
    2. Minimizing SQL Injection Risk
    3. Balancing security and convenience
    4. Account Locking brute-force protection

    Зокрема стосовно Cross-Site Scripting атак цікавий перший пункт:

    Minimizing XSS Risk
    Cross site scripting (XSS) is used by hackers to gain information about the user browsing the web page. Typically cookie information is taken for use in other attacks. For example, IPB uses a log in key which is stored in a cookie to enable a member to log in on their return automatically. If a vulnerability were discovered that allowed a hacker to execute javascript in a post they could collect the cookie information of every user that visited the topic that contains their post. They could then use this cookie to log in as this member. Naturally, IPB has many checks and features to prevent javascript from running but IPB 2.2.0 goes further to ensure that even if an XSS attack took place the damage is severely limited.

    Invision Power Board 2.2.0 introduces a ’stronghold’ cookie. This cookie is saved alongside the member log in key and contains very specific information about the computer that’s being used to access the forum. A stronghold cookie will not work on another computer or even for another user. This means that even if a hacker had your cookie information they would be unable to log in as you because the stronghold cookie check will prevent that.

    Furthermore, IPB 2.2.0 also takes advantage of “HTTP Only” cookies to prevent javascript from accessing sensitive cookies. This will make it much harder to gain a member’s log in cookies and increases security against XSS attacks.

    Так що вони ввели свій посилений “stronghold” кукіс для протидії XSS атакам (а також підтримку HTTP Only кукісів). Але це все лише невелике обмеження зловмисників, так як захоплення кукісів - це лише одна з можливостей використання XSS, і залишаються багато інших векторів атаки (зокрема XSS для віддаленого контролю).

    В третьому пункті покращень “Balancing security and convenience” також йде мова про кукіси. Окрім “stronghold” кукісів, в движку додали ще деякі покращення безпеки: постійне оновлення кукісів після чергового перелогіну, а також встановлення часу життя кукіса (7 діб по замовчуванню).

  3. BoyKot каже:
    Понеділок, 16:46 02.07.2007

    І що прям ніяк? =)

    на днях 2.1.6 зламав, тепер пропонують за 2.2.2 взятися )

  4. MustLive каже:
    Понеділок, 20:55 02.07.2007

    BoyKot

    Ти спробуй ;-) . Бо дуже самовпевнено заявляють розробники IPB стосовно безпеки. Раз ти з 2.1.6 зміг упоратися, то і 2.2.2 не повинен скласти тобі великих проблем.

    Шукай в ньому дірки. Бо хто шукає, той завжди знаходить 8-) .

Leave a Reply

You must be logged in to post a comment.