Jogger.pl


Panel sterowania dostał nowy certyfikat połączenia, ważny przez cały rok – akceptowany jest bez dodawania wyjątków w przeglądarce.

W związku z dodaniem zabezpieczenia przed ewentualnym atakiem XSS oto lista dodatkowych dozwolonych odnośników w formie tagów joggerowych:

  • <ADMIN_ENTRY_ADD_HREF/> - Dodaj wpis
  • <ADMIN_TEMPLATE_MAIN_HREF/> - Edycja szablonu wpisów
  • <ADMIN_TEMPLATE_CSS_HREF/> - Edycja plików CSS
  • <ADMIN_TEMPLATE_COMMENT_HREF/> - Edycja szablonu komentarzy
  • <ADMIN_NOTIFY_LIST_HREF/> - Kto śledzi mojego joggera
  • <ADMIN_LOGOUT_HREF/> - Wylogowanie
  • <ADMIN_ENTRY_LIST_HREF/> - Lista wpisów do edycji
  • <ADMIN_DRAFT_LIST_HREF/> - Lista szkiców
  • <ADMIN_THREAD_LIST_HREF/> - Śledzone wątki
  • <ADMIN_SETTINGS_HREF/> - Ustawienia

Wszystkie wymienione tutaj znaczniki działają jedynie w bloku <ADMIN_BLOCK> i zostały uaktualnione we wszystkich szablonach.

Proszę uzupełnić joggerowe wiki

UPDATE: Dodatkowy znacznik na stronę z komentarzami: <ADMIN_COMMENT_EDIT_HREF/> - Edycja komentarza

Przy przekierowaniu do panelu administracyjnego jest sprawdzany adres, z którego nastąpiło wejście. Jeżeli wejście nie nastąpiło z innej zakładki w panelu to sprawdzane są wszystkie przekazywane parametry.

W przypadku, gdy odnośnik jest w porządku to jogger pozwala wejść dalej:

 

W przeciwnym wypadku odrzuca wejście:

Bug #382

Bezpieczeństwo 15 stycznia 2007

Zgłoszenie #382: Błędne dodawanie trackbacka jeśli wpis ma w tytule HTML

Zgłoszenie #86: blokowanie ip po zewnetrzy/wewnetrzny adres ip

Zmienione

Zgloszenie #123: Bezpieczne logowanie

Odnosniki /login.php i /?op=logout zostają zamienione na /login/ i /logout/

Dodalem formularz logowania pod https://login.jogger.pl/