Gli ultimi post di Edit
Attacco su vasta scala contro phpBB
Martedì 20 Maggio 2008 - 08:24
di Claudio Garau
Oltre 500 mila siti web sono stati colpiti e compromessi da un attacco su vasta scala mirato ad infettare i PC dei visitatori attraverso l’azione di malware; la notizia non avrebbe particolare rilevanza su queste pagine se non fosse per il fatto che tutti i siti attaccati sono accomunati dal fatto di ospitare un’installazione del content manager per forum di discussione phpBB.
A dare la notizia è stato Computerworld che per maggiori informazioni ha contattato una delle più importanti società sul fronte della sicurezza informatica: Trend Micro Inc.
Continua a leggere Attacco su vasta scala contro phpBB
Categoria: CMS | Permalink | Commenta
Joomla, controllo centralizzato delle versioni
Mercoledì 2 Aprile 2008 - 15:10
di andrea.ferrini
È buona norma mantenere aggiornata all’ultima release disponibile l’installazione del proprio CMS, sia per sfruttare appieno le più recenti funzionalità, sia per garantire la copertura di eventuali bug noti. Diventa quindi importante verificare periodicamente la versione della release installata, e confrontarla con l’ultima disponibile.
Prendiamo come esempio Joomla. Per motivi di sicurezza, la visualizzazione del numero di release installata sul proprio sito non è un’informazione pubblica, ma accessibile solo dall’interfaccia di amministrazione. Ipotizziamo di avere 10 installazioni, dovremmo accedere all’amministrazione di tutti e 10 i siti.
Continua a leggere Joomla, controllo centralizzato delle versioni
Categoria: CMS | Permalink | Commenti (2)
Anche Drupal 6 si aggiorna per una vulnerabilità
Lunedì 3 Marzo 2008 - 15:02
di Claudio Garau
Dopo Joomla 1.5 e WordPress 2.3.2 ora è il turno di Drupal 6, anche questo CMS subisce il suo primo aggiornamemento di sicurezza a causa di un bug rilevato nella nuova versione. La corsa alla nuova release ha quindi mietuto un’altra vittima e gli utenti, che si stavano godendo da pochi giorni l’ultima versione di quello che rimane uno dei migliori Content Manager in circolazione, dovranno ora soddisfare l’ennesima richiesta di aggiornamento.
Il 27 Febbraio, cioè neanche 15 giorni dopo il rilascio della versione 6, Gábor Hojtsy ha pubblicato nel sito ufficiale del CMS un articolo intitolato “Drupal 6.1 fixing security issues released“; il motivo di questo annuncio è da ricercarsi in un bug moderatamente critico rilevato nel core stesso della nuova versione di Drupal.
Continua a leggere Anche Drupal 6 si aggiorna per una vulnerabilità
Categoria: CMS | Permalink | Commenta
New release mania e vulnerabilità
Venerdì 29 Febbraio 2008 - 09:01
di Claudio Garau
Mi capita di spesso di effettuare segnalazioni riguardanti bug e problemi di sicurezza in varie tipologie di applicazioni. Ultimamente ho notato la diffusione di un fenomeno che ho ribattezzato “New release mania”, che non riguarda soltanto i CMS.
Un esempio abbastanza noto è quello del più diffuso browser open source della Rete: Firefox. Sarà soltanto un’impressione ma ultimamente gli sviluppatori della Mozilla Foundation sembrano molto più preoccupati di distribuire quanto prima la versione 3 del programma che di scovare bug nella diffusa 2.0.0.xx; ne consegue un susseguirsi di aggiornamenti ognuno dei quali destinato a coprire le falle di quello precedente.
Continua a leggere New release mania e vulnerabilità
Categoria: CMS | Permalink | Commenti (2)
Ancora problemi di sicurezza per Joomla 1.0.x
Martedì 26 Febbraio 2008 - 15:24
di Claudio Garau
In questi giorni il team di sviluppo di Joomla si trova impegnato non solo nel lavoro relativo al lancio delle nuove versioni stabili ma anche nella soluzione di bug (qualche volta anche abbastanza seri) che coinvolgono sia la distribuzioni 1.5.x che la 1.0.x tuttora in sviluppo.
Questo fiorire di vulnerabilità mostra una grande velocità del team nell’individuazione e nella correzione dei problemi, nello stesso tempo però denuncia anche una certa fretta nel rilascio delle release definitive.
Continua a leggere Ancora problemi di sicurezza per Joomla 1.0.x
Categoria: CMS | Permalink | Commenti (3)
Mambo, attenti a quello che installate
Venerdì 30 Novembre 2007 - 14:18
di Claudio Garau
Tempo fa Elpie, importante boarder del forum di Mambo-foundation.org, ha richiamato all’ordine tutti gli utilizzatori di Mambo con un post dal titolo abbastanza esplicito: “Be careful about what you install“.
Il riferimento del contributo è diretto in particolar modo a coloro che integrano moduli creati per Joomla all’interno di Mambo spesso sovrascrivendo file molto importanti per il core di quest’ultimo:
It has recently come to our attention that some users are installing 3rd party extensions that were written for Joomla, and that replace core files.
Continua a leggere Mambo, attenti a quello che installate
Categoria: CMS | Permalink | Commenta
Google come strumento di ricerca per vulnerabilità
Martedì 24 Aprile 2007 - 09:05
di Simone Carletti
L’argomento non è per nulla nuovo ma fino ad oggi non avevo ancora trovato un articolo sufficientemente esaustivo che mi desse modo di trattarlo.
Vi siete mai posti la domanda di quanto sia frequente l’utilizzo di Google come strumento di ricerca di applicativi vulnerabili?
Io sì, a spese mie. Nel 2003 rilasciai, quasi per gioco, un programma di statistiche chiamato ASP Stats Generator. Il progetto partì quasi per scherzo ma dopo qualche mese il numero di installazioni superava cifre a tre 0.
Il codice delle prime release era tutt’altro che a prova di bomba, nel tempo lo affinai ma la versione completamente riscritta da zero con l’esperienza acquisita negli anni ha tardato ad essere rilasciata, complice il fattore tempo.
Circa un anno fa Secunia pubblicò una vulnerabilità legata ad una specifica versione. Il numero delle query di tipo avanzato su Google volte ad individuare specifiche installazioni di quella release aumentò esponenzialmente nel giro di qualche giorno ed i siti elencati nella prima pagina che non avevano applicato la patch furono quasi tutti presi di mira.
Continua a leggere Google come strumento di ricerca per vulnerabilità
Categoria: Sicurezza | Permalink | Commenti (3)
IEroot - Hack e commento condizionale per IE
Martedì 20 Marzo 2007 - 09:12
di Alessandro Fulciniti
Se dopo il post Hack vs commento condizionale
vi state chiedendo quale dei due sia meglio, in #IEroot
Targeting IE Using Conditional Comments and Just One Stylesheet viene presentata una nuova soluzione, che li usa entrambi per servire regole specifiche alle varie versioni di IE, inclusa IE7, combinando markup aggiuntivo nell’HTML (dei div racchiusi nel commento condizionale) e hack nel CSS.
Ironia a parte, se mi è permesso un parere: una soluzione simile è assolutamente da evitare, per diversi motivi.
Il primo è che l’uso del commento condizionale per servire elementi aggiuntivi nel markup causa facilmente la perdita di controllo del markup stesso, dato che sfugge al validatore; in secondo luogo si dispone di metodi consolidati per evitare e risolvere bug e difetti di resa su IE,
il più delle volte senza la necessità di hack ma solo usando workaround.
Il terzo motivo è che, tutto sommato, IE7 si presenta come un browser robusto e, a parte qualche difetto sporadico (quale l’italicaboo bug)
non ci sono grandi bug o difetti di resa, e difficilmente troveremo, se abbiamo fatto le cose a dovere, difformità di resa con Firefox, Opera e Safari.
L’unico vantaggio che posso vedere in una soluzione come IEroot è la centralità del CSS, un vantaggio che però ha un prezzo troppo alto e soprattutto, ingiustificato.
Categoria: CSS | Permalink | Commenti (3)
Italicaboo bug e altri bug di IE7
Lunedì 12 Marzo 2007 - 10:45
di Alessandro Fulciniti
Già con la versione beta, avevamo riscontrato uno strano bug che affliggeva questo blog con IE7: l’italicaboo bug, che faceva sparire il testo della colonna di destra. Poco tempo fa un lettore mi chiedeva aggiornamenti in merito (grazie a Paolo per avermelo ricordato!), ho così pensato di farvi sapere come abbiamo risolto.
È bastato aggiungere position:relative sulla colonna di destra. Non si tratta di un vero e proprio hack, bensì di un workaround: cioè una dichiarazione totalmente innocua sugli altri browser che ha il solo effetto di risolvere il bug.
Ora, il fatto è che i bug di IE7 non sono ancora molto documentati, ma l’esperienza
maturata con IE6 dovrebbe fornirci una buona base per risolvere problemi e difetti di resa. Altri workaround da tentare in situazioni simili sono overflow:auto e min-height:0.
Categoria: CSS | Permalink | Commenti (3)
Hack vs commento condizionale
Lunedì 12 Febbraio 2007 - 08:38
di Alessandro Fulciniti
Ipotesi: nella stesura e nel test del CSS, vi trovate ad avere problemi di resa con Internet Explorer. Domanda: se doveste scegliere tra usare un hack o il commento condizionale, quale preferireste?
La mia risposta, e credo che i lettori l’abbiano intuito, è: nessuno dei due, prima preferirei usare un workaround. Ma se proprio dovessi scegliere, userei il commento condizionale: è a prova di futuro, non “inquina” il CSS principale e sarei sicuro che risolverei il problema nella maniera più pulita tra le due.
La mia scelta credo sia piuttosto condivisa tra gli standardisti, ma l’altra sera mi è capitato di leggere una voce decisamente fuori dal
coro. Jens Meiert in Why “Conditional Comments” are bad, repeat: bad sostiene con forza che il commento condizionale sia il male. Traduco alcuni passaggi significativi:
L’uso del commento condizionale è sconsigliabile. Di fatto, contraddice l’obbiettivo di separazione tra struttura e presentazione, e un giorno ti sopraffarà. […]
Cosa c’è di sbagliato nel commento condizionale? Due cose importanti:
- Nonostante sia sintatticamente valido non è standard compliant:
l’informazione che compare tra i commenti non ha significato e i commenti
saranno ignorati dal parser.- Il commento condizionale modifica l’HTML, compromettendo la separazione
tra struttura e presentazione in ogni caso. Pensaci su. [..] È più semplice e “pragmatico” usare i peggiori (ma validi) hack, filtro o workaround che trovi. Almeno vivono nel foglio di stile.
Continua a leggere Hack vs commento condizionale
Categoria: Web Standards | Permalink | Commenti (7)