Next Generation CMS :: Форум поддержки

cmsTester

Участник

Откуда: Город-На-Болоте

Здесь с 2011-10-09

Сообщений: 45

Рейтинг :   2 

Changeset [994]

Всем привет! :)

Уважаемые Специалисты!

Подскажите пожалуйста, есть ли смысл устанавливать обновление против "воровства авторизационной cookie через обнаруженные XSS уязвимости", если в настройках авторизации в значении "Запоминать пользователя" выбрано "Нет"?

Заранее СПАСИБА! :)

Отредактировано cmsTester (2012-05-14 15:36:22)

vitaly

Администратор

Откуда: Россия

Здесь с 2008-10-08

Сообщений: 2,788

Рейтинг :   115 

Re: Changeset [994]

cmsTester, есть
При желании можешь накатить только этот changeset - он затрагивает всего пару файлов и единственное что делает - выставляет фраг "httpOnly" для авторизационных кук. Тем самым предотвращает доступ JavaScript'а к этой cookie (и не позволяет её украсть в случае обнаружения какой-либо уязвимости).

cmsTester

Участник

Откуда: Город-На-Болоте

Здесь с 2011-10-09

Сообщений: 45

Рейтинг :   2 

Re: Changeset [994]

На 9.2 не пошло. Показывает белый экран.

И на 9.3 тоже не пошло... Ругается:

NGCMS Runtime error: Call to undefined function loadPermissions()
[ 1]: Call to undefined function loadPermissions()

Stack trace
Line #    File name
308    /home/бла-бла-бла/public_html/engine/core.php

А вот, кстати, ещё вопрос: если в настройках безопасности выбрано не использовать cookies для авторизации, то в этом случае чейнджсет продолжает быть актуальным или уже нет?

Отредактировано cmsTester (2012-05-17 10:45:07)