User Tools

Site Tools


ru:security:csrf

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
ru:security:csrf [2013/09/16 04:10]
Arkady created
ru:security:csrf [2013/10/16 09:29] (current)
Arkady
Line 1: Line 1:
-====== CSRF Protection ​======+====== ​Защита от CSRF (Подделка межсайтовых запросов) ​======
  
-GetSimple 3.0+ has a built-in security system to prevent ​[[http://​ru.wikipedia.org/​wiki/​%D0%9F%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%BC%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2|CSRF/​XSRF/​Подделка межсайтовых запросов]]. ​This will prevent attempts to create malicious cross-site attacks aimed at exploiting and/or compromising your GetSimple installation.  ​+В GetSimple 3.0+ применяется встроенная система защиты от [[http://​ru.wikipedia.org/​wiki/​%D0%9F%D0%BE%D0%B4%D0%B4%D0%B5%D0%BB%D0%BA%D0%B0_%D0%BC%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D1%85_%D0%B7%D0%B0%D0%BF%D1%80%D0%BE%D1%81%D0%BE%D0%B2|CSRF/​XSRF/​подделки межсайтовых запросов]]. ​Защитные функции не позволяют проводить вредоносные CSRF-атаки для внедрения эксплойта или компрометации вашего сайта.  ​
  
-While, not recommended unless you are having problems: you can turn off CSRF protection (3.1+ only) via a [[ru:​config:​gsconfig|Настройки gsconfig.php setting]]. 
  
 +Начиная с версии 3.1+ CSRF-защиту можно выключить через соответствующую настройку в файле [[ru:​config:​gsconfig|gsconfig.php]],​ но разработчики рекомендуют поступать таким образом,​ только если вам доставляют неудобство возможные частые ложные срабатывания функции защиты. ​
 +
 +===== Ложные срабатывания CSRF-защиты =====
 +
 +В редких случаях GetSimple выдает ложные предупреждения о возможной CSRF-атаке при попытке выполнения действий над сайтом,​ например,​ сохранении или создании страниц,​ удалении файлов и пр. Единственная пока известная причина для такого поведения модуля,​ указанная разработчиками ​ - наличие прав доступа 0755 на определенные файлы ​ вместо 0644.
 +
 +====== Ссылки ======
 +
 +На главную [[ru:​|Содержание]]
 +
 +===== Страницы этой секции =====
 +
 +=== Дополнительная информация по системе ===
 +  *[[ru:​debugging|Режим отладки]]
 +  *[[ru:​how_to:​change_admin_password_salted|Дополнительная защита административного пароля с помощью уникального модификатора (salt)]]
 +  *[[ru:​config:​caching-function|Кэш-функции и индексный файл pages.xml]]
 +  *[[ru:​config:​gsconfig|Файл конфигурации системы gsconfig.php]]
 +  *[[ru:​config:​htaccess|Файл .htaccess]]
 +  *[[ru:​how_to:​svn|Доступ к SVN]]
 +  *[[ru:​security:​https-ssl|GetSimple и HTTPS/SSL]]
 +  *[[ru:​lighttpd_permalinks|Настройка структуры постоянных ссылок (ЧПУ) на Lighttpd-серверах]]
  
-===== Reasons for False CSRF Errors ===== 
  
-In rare circumstances,​ your GetSimple installation will give you false CSRF notices, and will not allow you to perform any actions such as saving/​creating pages, deleting file, etc. This is a maintained list of reasons why this may happen: 
-  * File permissions are set to 0755 instead of 0644 
ru/security/csrf.1379304619.txt.gz · Last modified: 2013/09/16 04:10 by Arkady