The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сессий"  –1 +/
Сообщение от opennews (??) on 17-Авг-13, 14:13 
Представлены (http://php.net/archive/2013.php#id2013-08-16-1) корректирующие выпуски интерпретатора языка программирования PHP - 5.4.18 и 5.5.2 в которых устранено более 20 ошибок. В обоих выпусках устранена уязвимость в модуле OpenSSL (CVE-2013-4248), вызванная некорректной  обработкой  символов с нулевым кодом в поле subjectAltName в SSL-сертификатах, что открывает возможности для спуффинга. Кроме того, в выпуске 5.4.18 (в ветке PHP 5.5 данная проблема была устранена в версии 5.5.1) исправлена уязвимость (https://bugs.php.net/bug.php?id=65236) (CVE-2013-4113) в парсере XML, которая позволяет организовать выполнение кода при обработке специально оформленного XML-контента.


Из изменений также можно отметить реализацию поддержки защищённых сессий (https://wiki.php.net/rfc/strict_sessions), позволяющих защититься от атак по перехвату фиксированных идентификаторов пользовательских сессий и подбор идентификаторов через выявление коллизий в алгоритмах генерации идентификаторов сессий. Включение нового режима производится через опцию use_strict_session в php.ini, после чего осуществляется дополнительная проверка инициализации сессии (принимаются только ранее сгенерированные web-приложением сессии) и её корректности по специальному проверочному ключу, что позволяет защититься от атак по использованию перехваченных путём сниффинга идентификаторов сессий.

URL: http://php.net/archive/2013.php#id2013-08-16-1
Новость: http://www.opennet.me/opennews/art.shtml?num=37684

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  –3 +/
Сообщение от Kroz email(??) on 17-Авг-13, 14:13 
Когда они добавят возможность отслеживания прогресса загрузки файлов? А то всякие костыли приходится юзать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +2 +/
Сообщение от pfffff on 17-Авг-13, 17:11 
http://php.net/manual/ru/session.upload-progress.php
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +/
Сообщение от Аноним (??) on 17-Авг-13, 14:20 
Extension заюзай  и все у тебя будет хорошо

pecl

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  –1 +/
Сообщение от Аноним (??) on 17-Авг-13, 17:53 
Ни прошло и 100 лет!!!

https://github.com/php/php-src/commit/84f9213e00ae624e789ec0...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +1 +/
Сообщение от Sylvia (ok) on 17-Авг-13, 20:22 
для тех кто напишет "PHP - решето" - CVE-2013-4248 присутствует и в Ruby тоже
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +1 +/
Сообщение от бедный буратино (ok) on 18-Авг-13, 03:26 
Кто напишет "PHP не решето" - тот погрешит против истины.

Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.

А большинство проектов - родом из php <= 5.2, для них новые возможности - как серпом по яйцам, поэтому там делая фабрика по переизобретению колёс, которая безопасности совсем не добавляет.

Поэтому все всё давно поняли, и дальнейшее обсуждение этого животрепещущего вопроса - бесполезно. Не надо провоцировать скандалы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +/
Сообщение от mma on 19-Авг-13, 11:46 
>Ни одна из детских болезней, позволяющих легко и незаметно писать небезопасный код с улыбкой на устах, не исправлена.

Кто должен править твои руки что бы ты писал безопасный код?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +1 +/
Сообщение от Kibab (ok) on 19-Авг-13, 13:42 
В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует. А править руки тысячам PHP-кодеров -- задача непосильная для анонимных анатиликов опеннета :-)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +/
Сообщение от Аноним (??) on 19-Авг-13, 20:05 
> В данном случае правка рук Буратино ничего не изменит -- он, я так понимаю, пхп не использует.

Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +1 +/
Сообщение от бедный буратино (ok) on 20-Авг-13, 08:19 
> Изменит-изменит. Он пистон юзает. А это тот же пых, только в профиль.

Китайский - тот же русский, только в картинках.

Достаточно понимать хотя бы разницу между строгой и нестрогой типизацией, чтобы не нести такой ахинеи.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +/
Сообщение от Аноним (??) on 21-Авг-13, 15:56 
Онаним не пониматель, онаним пейсатель на пэхэпэ.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

12. "Обновление PHP 5.4.18 и 5.5.2 с реализацией защищённых сесси..."  +/
Сообщение от Аноним (??) on 19-Авг-13, 23:12 
https://code.google.com/p/naxsi/
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру