Next Generation CMS :: Форум поддержки
Вы не вошли.
- Темы: Активные | Без ответа
Объявление
Страницы 1
#1 2010-07-04 12:38:45
Идея по защите от XSS атак
Наткнулся на хорошую идею помогающую защитить админов от кражи кукисов
Вот ссылка на форум http://fluxbb.org.ru/forum/viewtopic.php?id=1974
Кто что думает - полезная функция?
Вне форума
#2 2010-07-04 13:33:19
Re: Идея по защите от XSS атак
Идее сто лет уже 
От кражи кукисов она не защищает, а делает невозможным использовать спижженую куку с другим ip.
Реализовать можно в виде хака для модуля авторизации, буквально пару строк. В функции check_auth() после выполнения запроса $mysql->record($query)проверить равен ли $row['ip'] == checkIP() (это стандартная функция движка, возвращающая IP) и если нет, то послать подальше
П.С. А как у вас куки тырят вообще?
Вне форума
#5 2010-07-04 17:34:28
Re: Идея по защите от XSS атак
В SVN выложена обновлённая версия плагина auth_basic, в нём добавлена возможность включения привязки сессии к IP адресу - при её включении при каждой смене IP адреса нужно будет заново авторизоваться. Собственно, это на 95% защищает от кражи cookie.
Вне форума
#6 2010-07-04 20:15:32
Re: Идея по защите от XSS атак
vitaly, мне кажется не очень гибко задавать эту настройку в плагине авторизации. Админ включит для своей защиты, а остальным будет не сильно удобно. Лучше сделать галочку в настройках профиля ИМХО.
P.S. А вообще хотелось бы иметь возможность при логине с другого браузера сохранять авторизацию и в первом браузере. Как на том же Флаксе, я залогинен на телефоне, на компе и на ноуте. Не знаю только про реализацию.. Несколько кук?
Вне форума
Страницы 1
- Сейчас в этой теме пользователей: 0, гостей: 1
- [Bot] ClaudeBot
[ Сгенерировано за 0.013 сек, 7 запросов выполнено - Использовано памяти: 530.66 Кбайт (Пик: 550.34 Кбайт) ]