В 1.9 есть xsrf уязвимость, в 1.10 она исправлена, но у меня нет возможности перейти на 1.10, поэтому для тех кто встречался и решил эту проблему, просьба подсказать как это сделать?
PS
посмотреть 1.10 не предлагать
#1
9 марта 2013 в 22:52
#2
10 марта 2013 в 09:24
как вариант, думал фильтровать некоторые ссылки (в тех же картинках) но это не решит проблему полностью… надо как-то уникально идентифицировать юзера на каждой странице, вопрос как?
PS
xsrf уязвимость позволяется делать все что угодно от имени юзера, в том числе и админа.
PS
xsrf уязвимость позволяется делать все что угодно от имени юзера, в том числе и админа.
#3
10 марта 2013 в 11:39
Scarnru, во-первых CSRF, во-вторых решить проблему можно сделав так, как сделано в 1.10 — не вижу особой проблемы в этом.
придумайте свой способ решения, более простой быть может.
интересно а какой ответ вы ждете?посмотреть 1.10 не предлагать
придумайте свой способ решения, более простой быть может.
не пугайте людей.xsrf уязвимость позволяется делать все что угодно от имени юзера, в том числе и админа.
Сегодня в 03:50
#4
10 марта 2013 в 12:02
Я не пугаю, у меня есть кейс как удалить любого юзера, а т.к. писать тут такие кейсы нельзя, я и не пишу… а только спрашиваю "как".
PS
я не веб разработчик, и чтобы "посмотреть как оно в 1.10", мне надо отдать ХХХ денег, что делать очень не хочется…
PS
я не веб разработчик, и чтобы "посмотреть как оно в 1.10", мне надо отдать ХХХ денег, что делать очень не хочется…
#5
10 марта 2013 в 12:03
если кто-то готов взяться за исправление этого, пишите в личку, расскажу в деталях в чем проблема
#6
10 марта 2013 в 12:07
Т.к. 1.9 не поддерживается, хочу предложить скинутся владельцев проектов на 1.9, чтобы заказать разработку исправления, кто за?
#7
10 марта 2013 в 16:57
Поддерживаю
Т.к. 1.9 не поддерживается, хочу предложить скинутся владельцев проектов на 1.9, чтобы заказать разработку исправления, кто за?
#8
10 марта 2013 в 17:16
Кстати, господа разработчики, а сколько будет стоить у вас, выпустить такой патч для 1.9?