Может стоит создать раздел на форуме типа "Безопасность" и перечислять уязвимости?

Пришло по рассылке

----- Forwarded message from Michael Hirdes <dodger/typo3.org> -----

Date: Tue, 10 Oct 2006 15:43:07 +0200
From: Michael Hirdes <dodger/typo3.org>
To: typo3-announce/lists.netfielders.de
Subject: [TYPO3-announce] Security Bulletin TYPO3-20061010-1: fe_adminLib.inc

Dear users of TYPO3,

A Cross-Site-Scripting (XSS) problem has been discovered in fe_adminLib.inc

The "backURL" parameter is not escaped correctly. A prepared URL could potentially contain some unwanted JavaScript code.

A patched Version has been released under [1]

The upcoming release 4.0.3 of TYPO3 will contain this patch.

Please see [1] for instruction how to patch your installations.

Also the TYPO33 Security Cookbook has been released under [2] please have a look at this.

on behalf of the Security Team,
Michael Hirdes

[1] http://typo3.org/teams/security/security-bulletins/typo3-20061010-1/
[2] http://typo3.org/teams/security/

--
TYPO3 Security Team
http://typo3.org/teams/security
_______________________________________________
TYPO3-announce mailing list
TYPO3-announce/lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-announce

----- End forwarded message -----

--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/ _______________________________________________
TYPO3-russia mailing list
TYPO3-russia@lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-russia

http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:
2006-09-06 13:12:04. 50% сайтов с typo3 ломаются. cms то хорошая, но когда всякие школьники к ней модули пишут...

в ней пароль передается хешифрованным (шифруется на клиентской стороне), зная хэш пароля - ты админ.

я в свое вермя ломанул оф сайт typo3 и стащил оттуда пару модулей, там же и логи потер

интересно как он похищал чужие хеши?

http://www.altaforum.ru/showthread.php?t=268&page=2

Цитата:


интересно как он похищал чужие хеши?
Как я понимаю, все что идет по http можно похитить, если сидишь в той же локальной сети
Поэтому, если актуальна безопасность - надо юзать https

На эту тему в Install Tool есть:

[lockSSL]
Int. 0,1,2,3: If set (1+2+3), the backend can only be operated from an ssl-encrypted connection (https). Set to 2 you will be redirected to the https admin-url supposed to be the http-url, but with https scheme instead. If set to 3, only the login is forced to SSL, then the user switches back to non-SSL-mode

[loginSecurityLevel]
String. Keywords that determines the security level of login to the backend. "normal" means the password from the login form is sent in clear-text, "challenged" means the password is not sent but hashed with some other values, "superchallenged" (default) means the password is first hashed before being hashed with the challenge values again (means the password is stored as a hashed string in the database also). DO NOT CHANGE this value manually; without an alternative authentication service it will only prevent logins in TYPO3 since the "superchallenged" method is hardcoded in the default authentication system.

Ну а что касается этого кул хацкера... Кто его знает, человеку 20 лет, не 14 ;-) - может и действительно что-то сломал... но модули то ему зачем? Дефейснул бы - прославился :-) А модули скачивать и логи потом тереть - это как-то странно.