Ти спробуй . Бо дуже самовпевнено заявляють розробники IPB стосовно безпеки. Раз ти з 2.1.6 зміг упоратися, то і 2.2.2 не повинен скласти тобі великих проблем.

Шукай в ньому дірки. Бо хто шукає, той завжди знаходить .

на днях 2.1.6 зламав, тепер пропонують за 2.2.2 взятися )

Як ти можеш причитати на форумі IPB в пості Security Enhancements in 2.2 в новій версії движка (в гілці 2.2.x) передбачені наступні покращення безпеки:

1. Minimizing XSS Risk
2. Minimizing SQL Injection Risk
3. Balancing security and convenience
4. Account Locking brute-force protection

Зокрема стосовно Cross-Site Scripting атак цікавий перший пункт:

Minimizing XSS Risk
Cross site scripting (XSS) is used by hackers to gain information about the user browsing the web page. Typically cookie information is taken for use in other attacks. For example, IPB uses a log in key which is stored in a cookie to enable a member to log in on their return automatically. If a vulnerability were discovered that allowed a hacker to execute javascript in a post they could collect the cookie information of every user that visited the topic that contains their post. They could then use this cookie to log in as this member. Naturally, IPB has many checks and features to prevent javascript from running but IPB 2.2.0 goes further to ensure that even if an XSS attack took place the damage is severely limited.

Invision Power Board 2.2.0 introduces a ’stronghold’ cookie. This cookie is saved alongside the member log in key and contains very specific information about the computer that’s being used to access the forum. A stronghold cookie will not work on another computer or even for another user. This means that even if a hacker had your cookie information they would be unable to log in as you because the stronghold cookie check will prevent that.

Furthermore, IPB 2.2.0 also takes advantage of “HTTP Only” cookies to prevent javascript from accessing sensitive cookies. This will make it much harder to gain a member’s log in cookies and increases security against XSS attacks.

Так що вони ввели свій посилений “stronghold” кукіс для протидії XSS атакам (а також підтримку HTTP Only кукісів). Але це все лише невелике обмеження зловмисників, так як захоплення кукісів - це лише одна з можливостей використання XSS, і залишаються багато інших векторів атаки (зокрема XSS для віддаленого контролю).

В третьому пункті покращень “Balancing security and convenience” також йде мова про кукіси. Окрім “stronghold” кукісів, в движку додали ще деякі покращення безпеки: постійне оновлення кукісів після чергового перелогіну, а також встановлення часу життя кукіса (7 діб по замовчуванню).