Релиз Django 1.2.2 — security-обновление

[Slon7]

Судя по кол-ву тикетов на 1.3 до 2.0 там еще очень далеко

[rybnadzorro]

И так сделано достаточно много и хорошо. Чего вы ждёте от второй версии?

[zerkms]

«позволяющие злоумышленникам устраивать XSS-атаки»
кто-нибудь сможет привести пример, когда модификация своей куки позволит провести атаку на кого-нибудь, кроме себя?

[cblp]

Какой-нибудь злой скрипт на стороне пользователя может отправить такую куку на сервер. Таким образом, пользователь получит злой код уже не от злого скрипта, а от благонадёжного сервера.

Хотя я не знаю, насколько реалистична такая угроза, но суть данной новости в том, что дыры надо закрывать, даже если они не критические. Комбинация нескольких некритических дыр может создать критическую уязвимость.

[zerkms]

Правильно, но он получит скрипт только в случае, если у него кука модифицирована. Если у злоумышленника дотянулись руки до пользовательских кук — то уже всё что можно на клиенте доступно и так.

[VolCh]

Как мне видится возможный сценарий:
— как-то внедрили скрипт, модифицирующий куку на страницу, например, товара (публичная торговая площадка, скажем, не без экранирования описания товара) — там сам по себе он никаких пользовательских данных собрать не может, лишь потому, что их там нет
— при переходе на страницу с формой оплаты изменяем action на свой и получаем, например, данные кредитки

[zerkms]

Да, понял. Спасибо.

[VolCh]

Для эксплуатации многих дыр слишком много «если», например получили с помощью SQL Injection доступ к БД, а пароли там зашифрованные :)

[VolCh]

Есть достаточно много ресурсов, где вся информация и так в паблике, конфиденциальным является только пароль :)

[kmike]

Наверное, скоро 1.2.3 выйдет, там пара багов в 1.2.2.

[tonsky]

как в воду глядел :)

[cbx]

Патч откатили и переделали: code.djangoproject.com/changeset/13733