форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий"	–1 +/–
Сообщение от opennews (??) on 17-Авг-13, 14:13
Представлены (http://php.net/archive/2013.php#id2013-08-16-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013-4248), вызванная некорректной  обработкой  символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (https://bugs.php.net/bug.php?id=65236) (CVE-2013-4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента. Из изменений также можно отметить реализацию поддержки защищённых сессий (https://wiki.php.net/rfc/strict_sessions), позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима производится через опцию use_strict_session в php.ini, после чего осуществляется дополнительная проверка инициализации сессии (принимаются только ранее сгенерированные web-приложением сессии) и её корректности по специальному проверочному ключу, что позволяет защититься от атак по использованию перехваченных путём сниффинга идентификаторов сессий. URL: http://php.net/archive/2013.php#id2013-08-16-1 Новость: http://www.opennet.me/opennews/art.shtml?num=37684
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	–3 +/–
Сообщение от Kroz (??) on 17-Авг-13, 14:13
Когда они добавят возможность отслеживания прогресса загрузки файлов? А то всякие костыли приходится юзать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+2 +/–
	Сообщение от pfffff on 17-Авг-13, 17:11
	http://php.net/manual/ru/session.upload-progress.php
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+/–
Сообщение от Аноним (??) on 17-Авг-13, 14:20
Extension заюзай  и все у тебя будет хорошо pecl
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	–1 +/–
Сообщение от Аноним (??) on 17-Авг-13, 17:53
Ни прошло и 100 лет!!! https://github.com/php/php-src/commit/84f9213e00ae624e789ec0...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+1 +/–
Сообщение от Sylvia (ok) on 17-Авг-13, 20:22
для тех кто напишет "PHP - решето" - CVE-2013-4248 присутствует и в Ruby тоже
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	8. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+1 +/–
	Сообщение от бедный буратино (ok) on 18-Авг-13, 03:26
	Кто напишет "PHP не решето" - тот погрешит против истины. Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена. А большинство проектов - родом из php <= 5.2, для них новые возможности - как серпом по яйцам, поэтому там делая фабрика по переизобретению колёс, которая безопасности совсем не добавляет. Поэтому все всё давно поняли, и дальнейшее обсуждение этого животрепещущего вопроса - бесполезно. Не надо провоцировать скандалы.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+/–
	Сообщение от mma on 19-Авг-13, 11:46
	>Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена. Кто должен править твои руки что бы ты писал безопасный код?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+1 +/–
	Сообщение от Kibab (ok) on 19-Авг-13, 13:42
	В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. А править руки тысячам PHP-кодеров -- задача непосильная для анонимных анатиликов опеннета :-)
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+/–
	Сообщение от Аноним (??) on 19-Авг-13, 20:05
	> В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	13. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+1 +/–
	Сообщение от бедный буратино (ok) on 20-Авг-13, 08:19
	> Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль. Китайский - тот же русский, только в картинках. Достаточно понимать хотя бы разницу между строгой и нестрогой типизацией, чтобы не нести такой ахинеи.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+/–
	Сообщение от Аноним (??) on 21-Авг-13, 15:56
	Онаним не пониматель, онаним пейсатель на пэхэпэ.
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	12. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."	+/–
	Сообщение от Аноним (??) on 19-Авг-13, 23:12
	https://code.google.com/p/naxsi/
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема