Select it with the mouse and hit Enter
| на поддержку перевода |
|
ЯМ:41001223475816
Документация на русском языке для Django стала реальностью. Благодаря новым возможностям движка Sphinx мы можем оперативно дополнять перевод, по мере обновления оригинальной документации.
Сегодня команда Django выпустило несколько релизов -- Django 1.3.4 и Django 1.4.2 -- для исправления дыр в безопасности, о которых нам сообщили.
Всем пользователям рекомендуется провести немедленное обновление.
Заражение заголовка Host
Некоторые части Django, не зависящие от приложений конечного пользователя, используют полные URL, включая доменное имя, которое создаётся из заголовка HTTP Host. Некоторые атаки направленные на эту часть остаются без контроля Django и и только правильно настроенный веб сервер поможет от них. Документация Django содержит рекомендации такой конфигурации для продвинутых пользователей.
Тем не менее, собственный механизм анализа заголовка Host в Django уязвим, как было недавно сообщено нам. Анализ заголовка Host в Django 1.3 и Django 1.4 -- а точнее, django.http.HttpRequest.get_host() -- некорректно обрабатывал информацию о логине и пароле в заголовке. Таким образом, следующий заголовок Host принимался бы Django при работе с сайтом "validsite.com":
Host: validsite.com:random@evilsite.com
Используя его, злоумышленник мог заставить части Django -- а точнее, механизм сброса пароля -- сгенерировать и отобразить определённые URL пользователям.
Для решения этой проблемы, логика HttpRequest.get_host() была изменена. Заголовки Host, которые содержат потенциально опасное содержимое (например, пары логин/пароль) теперь выбрасывают исключение django.core.exceptions.SuspiciousOperation.
Документация на опцию HttpOnly в куке.
Начиная с Django 1.4, куки сессии всегда отправляются с флагом HttpOnly, который предоставляет дополнительную защиту от кроссайтового скриптинга, запрещая кроссайтовым скриптам доступ к куке сессии.
Несмотря на то, что это не проблема с безопасностью в Django, нам было сообщено, что документация Django 1.4 некорректно описывает эту защиту, что теперь все куки по умолчанию используют метод HttpRequest.set_cookie().
Документация Django была соответственно обновлена. Пользователям Django проверить использование set_cookie(), чтобы удостовериться в правильном использовании флага HttpOnly.
Версии, которые надо обновить
Проблема с заголовком Host касается следующих версий Django:
Проблема с документацией на HttpOnly флаг касается следующих версий Django:
Решение
На код Django были наложены патчи, во все указанные выше ветки. Каждый патч можно посмотреть:
Host и коммит для флага HttpOnly;Host и коммит для флага HttpOnly;HttpOnly.Так как ветка разработки Django находится в пре-альфа состоянии, пользователям настоятельно рекомендуется не использовать её на боевых серверах. Если же вы нас не послушали, то следует немедленно обновить Django до HEAD, который содержит все вышеуказанные патчи.
Благодарности
Проблема с заголовком Host была описана James Kettle. Проблема с описанием флага HttpOnly была описана Preston Holmes, которые теперь является членом команды Django.
Исходное сообщение на djangoproject.com.
rad
ответить saintbyte
Я страшный человек я пользую 1.5 из гита =)
Я надеюсь не на продакшене?Иначе да, вы страшный человек.
Кто понял жизнь, тот не торопится.
Я страшный человек я пользую 1.5 из гита =)