Oznacza pytania bezpieczeństwa dotyczące Magento.
Nadszedł czas na kolejny dzień aktualizacji, SUPEE-7405 dla Magento 1.x jest niedostępny, a lista poprawek jest długa: https://magento.com/security/patches/supee-7405 Po doświadczeniu z ostatnimi łatkami muszę jeszcze raz zapytać: jakie są możliwe problemy przy stosowaniu łatki i co muszę wziąć...
Najnowsza poprawka bezpieczeństwa Magento 1 SUPEE-8788 zawiera 17 aktualizacji APPSEC , dlatego bardzo ważne jest, aby ją jak najszybciej zastosować. Z drugiej strony istnieje wiele potencjalnych przerw w kompatybilności wstecznej, a biorąc pod uwagę historię łat w ciągu ostatniego roku, nie...
Nowa aktualizacja zabezpieczeń Magento 1, rozwiązująca 16 problemów APPSEC: https://magento.com/security/patches/supee-9767 Siedem luk w zabezpieczeniach ma ocenę 8,0 lub wyższą pod kątem ważności CVSSv3 i są one wykorzystywane na wolności, więc jest to krytyczna łatka. Witryny mogą stosować...
Po zainstalowaniu poprawki SUPEE-6285 w naszym sklepie Magento 1.7.0.2 system wyświetla błąd „ Odmowa dostępu ” podczas próby uzyskania dostępu do wszystkich modułów niestandardowych dla użytkowników, którzy mają uprawnienia selektywne (nie wszystkie). Zrzut ekranu poniżej. Uprawnienia...
27 października 2015 r. Magento wydało poprawkę bezpieczeństwa SUPEE-6788. Zgodnie ze szczegółami technicznymi , 4 naprawione APPSEC wymagają pewnych przeróbek w modułach lokalnych i społecznościowych: APPSEC-1034, adresowanie z pominięciem niestandardowego adresu URL administratora (domyślnie...
Poprawki bezpieczeństwa Magento wyglądają tak, jakby były .shplikami. Jak ktoś zastosuje te poprawki bez dostępu SSH do swoich instalacji Magento? Czy te łatki są kumulatywne? IE: Czy zostaną uwzględnione w przyszłej wersji Magento, czy też trzeba je ponownie zastosować? Zadaję to pytanie,...
Korzystamy z Magento Enterprise (1.12) i miałem już kilku klientów wysyłających mi e-maile, którzy skarżyli się, że otrzymali swoje hasło pocztą e-mail, kiedy zakładali konto. Wiem, że jest to uważane za złą praktykę, ale wchodzi w skład Magento po wyjęciu z pudełka. Zamierzam to zmienić i usunąć...
Magento wydało nową łatkę bezpieczeństwa dla M1 oraz aktualizacje dla M1 i M2. Na jakie problemy należy zwrócić uwagę podczas aktualizacji lub stosowania tej poprawki? SUPEE-10570 SUPEE-10570, Magento Commerce 1.14.3.8 i Open Source 1.9.3.8 zawierają wiele ulepszeń bezpieczeństwa, które...
Właśnie zastosowałem łatkę bezpieczeństwa PATCH_SUPEE-5344_CE_1.8.0.0_v1-2015-02-10-08-10-38.sh Ponieważ nie mam dostępu SSH do serwera WWW, dostawca wykonał dla mnie pracę. Jak mogę sam sprawdzić, czy wszystko poszło dobrze? Jestem na Magento CE
Nowa łatka Magento 1 została wydana, SUPEE-10415 . Ta poprawka zapewnia ochronę przed kilkoma typami problemów związanych z bezpieczeństwem Strona informacyjna: https://magento.com/security/patches/supee-10415 Strona pobierania: https://magento.com/tech-resources/download Jakie są możliwe...
Nowa aktualizacja zabezpieczeń Magento 1 dotyczy 13 problemów APPSEC https://magento.com/security/patches/supee-10266 Na jakie typowe problemy należy zwrócić uwagę przy stosowaniu tej poprawki? SUPEE-10266, Magento Commerce 1.14.3.6 i Open Source 1.9.3.6 zawierają wiele ulepszeń...
Magento zaleca, aby nie używać szablonów za pośrednictwem dowiązań symbolicznych: Advanced > Developer > Template Settings > Allow Symlinks Ostrzeżenie! Włączenie tej funkcji nie jest zalecane w środowiskach produkcyjnych, ponieważ stanowi potencjalne zagrożenie bezpieczeństwa. Do...
Wiem, że Magento 2 ma kilka metod zabezpieczania szablonu: $block->escapeHtml() $block->escapeQuote() $block->escapeUrl() $block->escapeXssInUrl() Ale zastanawiam się, kiedy użyć każdej z tych
Po tygodniach oczekiwania na aktualizację dzisiaj (27.10.2015) została wydana: SUPEE-6788 Wiele rzeczy zostało załatanych, a także zachęca się do przeglądu zainstalowanych modułów pod kątem możliwych luk. Otwieram ten post, aby uzyskać wgląd w to, jak zastosować łatkę. Jakie są kroki, aby...
Ponieważ Magento używa narzędzia / downloader do wygodnego instalowania programów za pomocą Magento Connect Manager , oczywiste jest, że stanowi to również zagrożenie dla bezpieczeństwa, ponieważ umożliwia robotom lub osobom próbowanie zdobycia poświadczeń dotyczących instalacji. Sprawdzając...
Magento wydało nową łatkę bezpieczeństwa dla M1 oraz aktualizacje dla M1 i M2. Na jakie typowe problemy należy zwrócić uwagę przy stosowaniu tej poprawki / aktualizacji? Magento 1 https://magento.com/security/patches/supee-11155 Magento 2 To powinna być ostatnia wersja z serii 2.1, która...
Dzisiaj 04.08.2015 została wydana nowa łatka bezpieczeństwa, niektórzy koledzy i ja sprawdzaliśmy łatkę i zawsze miło jest porozmawiać o tym, co się zmieniło, czy też ktoś wie, jakie są możliwe ataki, które mogą wpłynąć na niezakończony sklep? Co najgorszego może się zdarzyć? Aktualizacja:...
Czy jest wbudowany pomocnik Magento do ucieczki z danych wyjściowych szablonu, aby zapobiec XSS? A może powinienem po prostu użyć PHP htmlspecialcharslub
Bardzo często pobieramy witrynę z innej firmy, a teraz utknęliśmy z konglomeratem kodu i potencjalnie dziesiątkami osób, które pracowały nad witryną. Szukam listy dziurkaczy, o którą prosi ochroniarz, aby upewnić się, że witryna Magento jest zahartowana. Byłoby to wymagane, gdyby ktoś wziął pełną...
OK, ktoś musi o to zapytać: dzisiaj, 7.07.2015, została wydana nowa poprawka bezpieczeństwa dla Magento <1.9.2. zaktualizuj swoje sklepy jak najszybciej! Ale co się zmieniło? Czy znane są luki w zabezpieczeniach? Co najgorszego mogło się stać? I czy jest coś, co może się zepsuć? Podobnie...