CMS Made Simple Forums

Content management as it is meant to be
https://forum.cmsmadesimple.org/

CMS Made Simple 1.11.6 vrijgegeven Security release

https://forum.cmsmadesimple.org/viewtopic.php?t=66167

Page 1 of 1

CMS Made Simple 1.11.6 vrijgegeven Security release

Posted: Fri Apr 19, 2013 3:33 pm
by Rolf
Zojuist is CMS Made Simple 1.11.6 Merchena vrijgegeven!
Naast enkele bugfixes, bevat deze een paar belangrijke wijzigingen om XSS hacks te voorkomen. Upgraden is zeer aan te bevelen!

De Engelstalige aankondiging: http://forum.cmsmadesimple.org/viewtopi ... =1&t=66166

Kijk ook even in het standaard /docs/htaccess.txt bestand. Daar zijn enkele regels die overgenomen moeten worden in je eigen .htaccess bestand in de root van je website.
php_value session.cookie_httponly true
<IfModule mod_headers.c>
# Disable ETags
Header unset ETag
FileEtag None
# For Security
Header set X-Frame-Options "SAMEORIGIN"
</IfModule>

Re: CMS Made Simple 1.11.6 vrijgegeven Security release

Posted: Mon Apr 22, 2013 7:26 am
by pasmaskas
Upgraden gaat prima alleen zodra ik het .htaccess bestand op de website vervang met de nieuwe uit de 1.11.6 doc map (txt versie hernoemen naar .htaccess) dan krijg ik alleen maar een error500 pagina en meer kan ik ook niet doen. Als ik die van 1.11.5 weer terug zet is er niets aan de hand.

Wat doe ik verkeert?

Re: CMS Made Simple 1.11.6 vrijgegeven Security release

Posted: Mon Apr 22, 2013 8:42 am
by Rolf
Niet alle webhosts accepteren:

Code: Select all

php_value session.cookie_httponly true
Dan moet je daar even:

Code: Select all

#php_value session.cookie_httponly true
van maken. Iets minder veilig, maar geen keus...

Re: CMS Made Simple 1.11.6 vrijgegeven Security release

Posted: Mon Apr 22, 2013 9:05 am
by pasmaskas
Dankje Rolf!

Dit werkt wel alleen jammer voor de veiligheid.

Gr Pascal

Re: CMS Made Simple 1.11.6 vrijgegeven Security release

Posted: Mon Apr 22, 2013 11:18 am
by Rolf
In de SVN had ik deze regel al verplaatst naar

Code: Select all

# This is important, so uncomment if your host permit
#Options -Indexes
#ServerSignature Off
#php_value session.cookie_httponly true  <------------
Optioneel dus, maar wel aan te bevelen...
All times are UTC
Page 1 of 1

Powered by phpBB® Forum Software © phpBB Limited