Что нового в SMF 2.1 — безопасность

После выпуска первого публичного релиза альфа-версии SMF 2.1 настала пора рассказать в блоге о текущем развитии. В ближайшее время будут выходить статьи, рассказывающие о новых функциях в SMF 2.1. Сегодняшний выпуск посвящен улучшению безопасности.

Мы, в Simple Machines, относимся к безопасности очень серьезно и для дальнейшего развития SMF 2.1 добавили следующие функции для улучшения нашей защиты.

Поддержка IPv6
Баны и управление сообщениями теперь работают и с IPv6 и с IPv4. Улучшены средства для блокирования доступа нежелательных пользователей к форуму.

Сессии модераторов
Раньше, даже если вы были залогинены на форуме как администратор, то перед выполнением задач администрирования вам предлагалось повторно ввести пароль — это позволяло быть уверенным, что даже, если вы забыли выйти с форума в каком-то другом месте, никто не сможет воспользоваться вашими администраторскими привилегиями. Мы понимаем, что обычно модераторов на форуме больше чем администраторов и даже с модераторским доступом злоумышленник может удалить или повредить множество сообщений. Чтобы не допустить этого, мы добавили проверку сессий модераторов, так что перед выполнением задач модерирования, вашим модераторам придется повторно ввести свой пароль. Не волнуйтесь, это потребуется один раз за активный сеанс.

Завершение сеанса администрирования
Также, чтобы остановить любую вредоносную активность, если кто-то получил доступ в панель администрирования форума, теперь вы можете выбрать в главном меню пункт «Завершить сеанс администрирования» и его выбросит оттуда.

Токены
Если вы залогинены на форуме и даже если подтвердили свою сессию вводом пароля, злоумышленник может обмануть вас, вынудив перейти по специально сформированной ссылке и выполнить какое-то действие, которое может нанести вред форуму (в редких случаях). Для лучшей защиты SMF 2.1 использует токены на каждой странице. Вы не будете замечать их и они не помешают работе вашего форума, но они не дадут взаимодействовать страницам с чем-то сторонним без вашего ведома.

HTTP only cookies
Этот параметр можно включить, чтобы запретить любым скриптам доступ к вашим cookies и данным необходимым для работы с SMF, например, не даст JavaScript читать ваши cookies и выполнять действия от вашего имени. Это поможет защитить от XSS атак, когда другой сайт заставляет вас нанести вред своему.

Открытая разработка
SMF — это продукт с открытым кодом, выпущенный под лицензией BSD. Вы можете следить за текущим прогрессом и видеть работу над перечисленными улучшениями на GitHub или сами участвовать внося улучшения и исправления в код.
http://github.com/SimpleMachines/SMF2.1

Оригинал статьи: http://www.simplemachines.org/community/index.php?topic=486056.0

Автор оригинала: Trekkie101

Перевод: digger