Перейти к содержимому


Фотография

Обновление безопасности

Форумы IBResource

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2
ipb323
  • Участники
  • Cообщений: 72

Отправлено

Выявлена проблема в последнем патче. Перестают работать предупреждения у модераторов, т.ч. не торопитесь устанавливать.

Если конкретно, то вот эта конструкция всё портит:

if ( $this->request['secure_key'] != $this->member->form_hash )
{
$this->registry->output->showError( 'no_permission', 10264.1, null, null, 403 );
}

Сообщение отредактировал ipb323: 20 Февраль 2017 - 09:56


Design_Nick
  • Клиенты
  • Cообщений: 505
  • http://design-nick.ru
  • Город:Челябинск

Отправлено

Поздно. И откатить не могу. Есть у кого доступ к НЕ исправленным файлам?

 

IP.Board 3.4.6


Сообщение отредактировал Design_Nick: 23 Февраль 2017 - 17:56


Denis Chursinov
  • Клиенты
  • Cообщений: 650

Отправлено

Эта конструкция ничего не портит. Она и есть патч безопасности. Уже много патчей во всех шаблонах добавлялись хэш-коды для защиты форм от CSRF. Если вы используете устаревшие стили внешнего вида или не обновили базовый стиль ранее, то добавьте хэш в форму отправки предупреждения:
 

1. Найдите шаблон addWarning в разделе Профили пользователей вашего стиля внешнего вида. 

2. Найдите начало формы. Строка вида

 <input type='hidden' name='from_id2' value='{$this->request['from_id2']}' />

 . После нее добавьте параметр хеш-кода

 <input type='hidden' name='secure_key' value='{$this->member->form_hash}' />

 . 






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных