В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Yii Framework 3

460 membersпожаловаться на группу
2020 September 14

СП

Сергей Предводителев... in Yii Framework 3
Dmitriy S
Это не так. Если ты пишешь токен в сессию, то все формы в течение сессии будут проверятся по одному и тому же токену. При утечке токена из одной формы у злоумышленника будет возможность отправлять любые формы на все время сессии. Если мы делаем дополнительную маску с интервалом времени, то валидность токена будет ограничена этим интервалом.
Это можно решить ещё переопределив хранилище и там учитывать время
источник
14:35пожаловаться#1

СП

Сергей Предводителев... in Yii Framework 3
интерфейс маски выплили... yii-dev-tools домучаю и протестирую в связке с yii-view и yii-demo
источник
14:36пожаловаться#2

AM

Alexander Makarov in Yii Framework 3
Dmitriy S
Это не так. Если ты пишешь токен в сессию, то все формы в течение сессии будут проверятся по одному и тому же токену. При утечке токена из одной формы у злоумышленника будет возможность отправлять любые формы на все время сессии. Если мы делаем дополнительную маску с интервалом времени, то валидность токена будет ограничена этим интервалом.
И это нормально. Если у тебя утечка канального уровня или XSS, то защита от CSRF - твоя самая низко-приоритетная проблема.
источник
14:37пожаловаться#3

AM

Alexander Makarov in Yii Framework 3
Вся идея CSRF строится на том, что у тебя 2 безопасных канала коммуникации.
источник
14:37пожаловаться#4

DS

Dmitriy S in Yii Framework 3
Alexander Makarov
И это нормально. Если у тебя утечка канального уровня или XSS, то защита от CSRF - твоя самая низко-приоритетная проблема.
Нет. У меня допустим XSS на странице контактов, там где отправка формы сообщения. Я тяну оттуда токен и могу его использовать в форме перевода денег скажем, пока не истечет сессия.
источник
14:39пожаловаться#5

AM

Alexander Makarov in Yii Framework 3
Инвалидация токена имеет смысл только после ре-авторизации.
источник
14:39пожаловаться#6

AM

Alexander Makarov in Yii Framework 3
Dmitriy S
Нет. У меня допустим XSS на странице контактов, там где отправка формы сообщения. Я тяну оттуда токен и могу его использовать в форме перевода денег скажем, пока не истечет сессия.
Умгу. Если у тебя XSS, то я пишу такое:

fetch('/transfer', {method: 'POST', to: 1213123, amount: 1000});
источник
14:41пожаловаться#7

AM

Alexander Makarov in Yii Framework 3
И да, в этом случае тебя спасёт.
источник
14:42пожаловаться#8

AM

Alexander Makarov in Yii Framework 3
Но мне ничего не мешает предварительно сделать туда GET-запрос и выцепить токен из формы.
источник
14:43пожаловаться#9

AM

Alexander Makarov in Yii Framework 3
XSS на любой странице делает CSRF-защиту бесполезной.
источник
14:44пожаловаться#10

AM

Alexander Makarov in Yii Framework 3
По определению причём потому как тут нет никакого cross-site.
источник
14:46пожаловаться#11

DS

Dmitriy S in Yii Framework 3
Alexander Makarov
XSS на любой странице делает CSRF-защиту бесполезной.
В принципе да, с XSS неудачный пример
источник
14:49пожаловаться#12

DS

Dmitriy S in Yii Framework 3
А мы сериализатор xml не будем из data-response выносить?
источник
15:16пожаловаться#13

RM

Rustam Mamadaminov in Yii Framework 3
https://github.com/yiisoft/serializer/issues/5
GitHub
Implement XML serializer · Issue #5 · yiisoft/serializer
Can be used by yii-web formatter to convert data into XML.
источник
15:21пожаловаться#14

СП

Сергей Предводителев... in Yii Framework 3
Продолжаю воевать с yii-dev-tool.
в дебаге вот такое нашёл:
debug1: read_passphrase: can't open /dev/tty: No such device or address
источник
16:05пожаловаться#15

СП

Сергей Предводителев... in Yii Framework 3
То есть git находит SSH-ключ , но не может запросить пароль...
источник
16:05пожаловаться#16

СП

Сергей Предводителев... in Yii Framework 3
Я попробовал сделать setTty(true) для процесса...
Получил ошибку TTY mode is not supported on Windows platform.

Точно yii-dev-tool работает на windows с SSH-ключами с паролем?
источник
16:29пожаловаться#17

AM

Alexander Makarov in Yii Framework 3
А :)
источник
16:32пожаловаться#18

AM

Alexander Makarov in Yii Framework 3
А через какой шелл ты работаешь?
источник
16:32пожаловаться#19

AM

Alexander Makarov in Yii Framework 3
git bash for windows?
источник
16:32пожаловаться#20