Unofficial WebSite X5
WebSite X5 versioni obsolete => WebSite X5 [v10] Evolution - Lista Bug => Topic aperto da: serzio - 13 Giugno, 2014, 03:51:22
-
http://www.serzio.it/dev/evo10/rincus (http://www.serzio.it/dev/evo10/rincus)
Ditemi cosa ne pensate ...
-
che è stato abbastanza facile ..
REGOLAMENTO PER LA DISCIPLINA DEL DIRITTO DI ACCESSO AI DOCUMENTIAMMINISTRATIVI E PER L'INDIVIDUAZIONE DEL RESPONSABILEDEL PROCEDIMENTO AMMINISTRATIVO E DEI TERMINI PROCEDIMENTALI
----------------------------------------------------------------------------------------------------------------------------------
e che hai colto nel segno con l'exploit.
Se decidi di rendere pubblico l'exploit, tienili però sui carboni ardenti per un pò di tempo... >:D
-
tanto per fare un esempio http://answers.websitex5.com/post/[-omissis-]
da cui si estrae http://www.[-omissis-] e www.[-omissis-] ; con l'exploit si accede direttamente ai files che ovviamente non godono di nessuna protezione. Non oso pensare a tutti quegli amministratori, studi legali et simili che hanno inserito nelle cartelle, files contenenti dati sensibili, rendiconti bancari ecc ecc.
a proposito di sicurezza.. http://www.zeusnews.it/n.php?c=21263 :)) :lol:
-
[...]
a proposito di sicurezza.. http://www.zeusnews.it/n.php?c=21263 :)) :lol:
Non meravigliartene .... lavoro da molti anni come consulente per tribunali ed enti pubblici .... non puoi nemmeno immaginare in quali condizioni gli vengono "preparati" i computer ... ed i server, in particolare ... dalle aziende fornitrici che, però, lo fanno con mille certificazioni di qualità. Stendiamo un velo pietoso.
L'exploit di questa notte è una cacchiata trremenda .....
Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ... (https://www.unofficialwsx5.com/Smileys/clabicons_by_smfsimple/evil.gif) ... così il post rimane in vista per almeno un paio di giorni.
Anche per avere il tempo necessario per verificare meglio il tutto.
-
Siamo affidabili? (http://answers.websitex5.com/post/93591)
... e [-omissis-] .... è affidabile?
-
Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ... >:D ... così il post rimane in vista per almeno un paio di giorni.
Mi metterò comodo e spero di poter seguire tutto (http://www.sherv.net/cm/emoticons/drink/popcorn-and-drink-smiley-emoticon.gif)
-
Oggi è venerdì ..... aspetterò ad oggi pomeriggio per pubblicare tutto ... >:D ... così il post rimane in vista per almeno un paio di giorni.
Mi metterò comodo e spero di poter seguire tutto (http://www.sherv.net/cm/emoticons/drink/popcorn-and-drink-smiley-emoticon.gif)
Non c'e' nulla di spettacolare ..... pubblicare il file "versions.xml" è una cacchiata colossale. Primo, per la questione del formato xml che ha creato già tanti problemi in passato e non si esclude che possa crearne ancora (non dimentichiamo che il codice è stato rattoppato diverse volte per correggere le vecchie falle). Secondo, per la questione delle esportazioni che hanno comportamenti diversi tra online e locale (problema che ho già sollevato, ma che [-omissis-] si ostina a negare). Quel file doveva esserci indipendentemente dal tipo di esportazione, ma doveva rimanere rigorosamente in locale ... chissà se qualcuno ha intuito il vero tono di quel thread ... dubito :( . Terzo, i files non devono essere pubblicati in quel modo, i nomi devono essere sempre rimappati con caratteri pseudo-casuali ed essere completamente inerti.
-
Ho capito, ho la demo ma ho visto il file "versions.xml".
@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]
:)
-
Ho capito, ho la demo ma ho visto il file "versions.xml".
@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]
:)
Infatti , l'ho messa in guardia prima che legga il post di oggi pomeriggio..
@Sergio : perchè non pubblichi prima l'argomento qui sul forum e poi lo replichi più tardi su Answer? >:D
-
Tornando all'eventuale post pubblico, non sarebbe opportuno dare anche una specie di "toppa", oltre alla cancellazione del suddetto file da ripetere ad ogni esportazione anche una protezione del file versions.xml in, per esempio, .htaccess per server Linux e analogo per server Windows?
Lo so che è superfluo scriverlo:
Only registered users can see contents. Please click here to Register or Login.
Mi metto nei panni dei poveri utenti che hanno confidato nell'area riservata di WS.
-
Ho capito, ho la demo ma ho visto il file "versions.xml".
@milux
Questa cambierà idea... tra poco:
http://answers.websitex5.com/post/[-omissis-]
:)
Infatti , l'ho messa in guardia prima che legga il post di oggi pomeriggio..
@Sergio : perchè non pubblichi prima l'argomento qui sul forum e poi lo replichi più tardi su Answer? >:D
Non l'ho fatto perchè in realtà ... l'ho già fatto. E' un exploit senza storia.
E' più di una settimana che sto duettando con [-omissis-] per una questione sul file versions.xml .... ci manca solo che glielo dico apertamente. Non avevo approfondito bene la questione. Avevo solo sentito, a naso, la puzza di fregatura su quel file e solo stanotte ho trovato l'insonnia giusta per approfondire e fare un esperimento ... che mi ha dato pienamente ragione.
Il sunto è il seguente: i programmatori ... hanno tentato di rimediare al problema delle esportazioni selvagge di website con un sistema tratto da una discussione che facemmo all'epoca della beta della 9 a cui partecipai anch'io e che si proponeva di creare una sorta di indice con i dati sufficienti per consentire di riconoscere i files da esportare e limitare gli upload ai soli oggetti realmente da aggiornare.
Naturalmente, tra le n possibili implementazioni, hanno scelto la meno efficiente, [-omissis-]. Un indice in formato XML accessibile a tutti e per di più esportato in una posizione ben visibile e con un nome standard: "versions.xml".
In tale file c'e' un indice di tutti i files esportati .... e tra l'altro, non è nemmeno affidabile .... ho visto che spesso contiene filename non più esistenti sul sito web .... forse apro una segnalazione anche su questo.
Allora, cosa ho fatto: ho ciambottato (termine pugliese derivato dal famosissimo "ciambotto", una ricetta tipica delle nostre parti a base di pesce misto di vario tipo, pomodoro, aglio ed altro ... squisito .... assimilabile ad un minestrone di pesce) due righe di codice per leggere il file, correggere un problema sugli slash/backslash (segnalato questa mattina, il problema degli slash ...
[attach=1]
... eccheccacchio, se non rispettano gli standard, un hacker giocattolo come me, come fa' a craccare il sito?) .... e, uno ad uno, tira fuori i nomi dei files esportati precedentemente da website e ne visualizza il link ed eventualmente il contenuto.
Ovviamente, molti files non sono leggibili e si tratta di asp e php. Tantissimi altri files, html, css, js, gif, jpg swf etc etc, sono leggibili normalmente, ma lo sono solo se se ne conosce il link. Cosa possibile per le pagine non protette guardandone il sorgente, ma i contenuti delle aree protette non consentono di capire il loro contenuto e quindi ..... i link assenti ce li fornisce il mitico "versions.xml".
Per i curiosi, questa è la ricetta del ciambotto di stanotte:
[attach=2]
-
Tornando all'eventuale post pubblico, non sarebbe opportuno dare anche una specie di "toppa", oltre alla cancellazione del suddetto file da ripetere ad ogni esportazione anche una protezione del file versions.xml in, per esempio, .htaccess per server Linux e analogo per server Windows?
Lo so che è superfluo scriverlo:
Only registered users can see contents. Please click here to Register or Login.
Mi metto nei panni dei poveri utenti che hanno confidato nell'area riservata di WS.
- Funzionerebbe solo con linux
- lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) ;)
-
Funzionerebbe solo con linux
Questo lo so:
[...] e analogo per server Windows?
In quanto agli "stimoli" ... sono d'accordo :)
-
Funzionerebbe solo con linux- ................
- lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) ;)
Io non ho mai utilizzato l'esportazione diretta di X5, ma solo quella tramite disco locale e Filezilla. Di conseguenza, senza esserne cosciente, non creo il file incriminato versions.xml.
Non mi è chiaro se vi sono "problemi conseguenti" (continuando ad esportare sempre tramite Filezilla).
-
Funzionerebbe solo con linux- ................
- lascerebbe [-omissis-] senza i "giusti stimoli" per risolvere rapidamente il problema .... si cullerebbe sulla mezza soluzione proposta (l'unica soluzione definitiva è la rimozione del file ... con tutti i problemi conseguenti, però .... (la storia insegna, ricordate gli exploit sulla 8 che non furono mai risolti e quelli sulla 9 che impiegarono più di un mese per arrivare?) ;)
Io non ho mai utilizzato l'esportazione diretta di X5, ma solo quella tramite disco locale e Filezilla. Di conseguenza, senza esserne cosciente, non creo il file incriminato versions.xml.
Non mi è chiaro se vi sono "problemi conseguenti" (continuando ad esportare sempre tramite Filezilla).
E fai bene. L'unico effetto collaterale è che, non essendoci l' "indice", website non riesce a selezionare i soli files modificati da esportare e pertanto, se non vuoi ripetere l'upload completo ogni volta, ti devi affidare al client ftp in uso per la selezione dei files .... a meno che tu non sia in grado di fare una selezione a mano (sconsigliata).
-
Lo so che è superfluo scriverlo:
Only registered users can see contents. Please click here to Register or Login.
Temporaneamente può andare bene come toppa per gli hosting linux, ma non tutti hanno la possibilità di gestire e/o creare l'.htaccess nell'host.
-
Lo so che è superfluo scriverlo:
Only registered users can see contents. Please click here to Register or Login.
Temporaneamente può andare bene come toppa per gli hosting linux, ma non tutti hanno la possibilità di gestire e/o creare l'.htaccess nell'host.
Si, certo ... solo che molti utenti sono fissati per gli hosting win .... l'unica soluzione, per ora, è di cancellarlo.
Possibili soluzioni:
- si genera l'indice e si lascia nella cartella del progetto, in locale sul pc con website
- si utilizza un piccolo db mysql online, quindi non accessibile direttamente da internet (localhost) ... ma diventa complicato l'accesso per le esportazioni
- si genera un file PHP con all'interno un array che contiene i dati .... rozza ma funzionante.
-
in uno di quei siti http://www.[-omissis-] e www.[-omissis-] c'era un file pdf in c'erano scritte le password per l'accesso alle aree riservate.. :-\
-
in uno di quei siti http://www.[-omissis-] e www.[-omissis-] c'era un file pdf in c'erano scritte le password per l'accesso alle aree riservate.. :-\
Infatti ho rimosso i link ..... ;)
-
sarebbe opportuno anche inserire nell' .htaccess
Options -Indexes
per evitare il listing delle directory che non contengono un index.html.
Il problema dell'exploit è relativo a tutti i files (ad esempio i pdf) che vengono inseriti nel sito www con l'utilizzo del programma. Se vengono solo linkati, il nome del file non compare nel versions.xml.
Almeno credo ...
-
sarebbe opportuno anche inserire nell' .htaccess
Options -Indexes
per evitare il listing delle directory che non contengono un index.html.
Il problema dell'exploit è relativo a tutti i files (ad esempio i pdf) che vengono inseriti nel sito www con l'utilizzo del programma. Se vengono solo linkati, il nome del file non compare nel versions.xml.
Almeno credo ...
Esattamente. ;)
-
L'argomento, forse, verrà trattato anche su answers al link <QUI> (http://answers.websitex5.com/post/95581) .... sempre che non venga impostato come protetto, anche se ... si sa .... io sono estremamente contrario a nascondere simili informazioni.
-
però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..
-
però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..
Non vorrei gettare benzina sul fuoco, come si suol dire ... loro giudicano fondamentale coprire eventuali problematiche, per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio .... ed è anche fondamentale che i problemi vengano risolti prima di subito. In questo modo, anche un problema diventa pubblicità "a favore", evidenziando i pregi di una assistenza rapida ed efficiente, oltre che una certa attenzione verso i propri clienti
-
però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..
.... per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio ....
Proprio per questo io sarei d'accordo con milux
-
però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..
.... per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio ....
Proprio per questo io sarei d'accordo con milux
Scusate, non avevo visto che Serzio ha già provveduto. Bravo!
-
Purtroppo ICM ha nascosto il thread, abbiamo decisamente due modi diversi di vedere le cose, quello che per me è "mettere in guardia" gli utenti dai rischi che corrono, per loro è "allarmismo".
Sposto le soluzioni proposte da questa parte, almeno i nostri utenti, devono sapere.
Soluzioni provvisorie in attesa di una soluzione definitiva:
1) applicabile solo su hosting linux:
si inserisce un file di solo testo sulla root del sito web (directory principale) contenente le seguenti righe (ho inserito l'immagine per garantire l'integrità del codice che answers potrebbe non digerire correttamente)
[attachimg=1]
avendo cura di rinominarlo in .htaccess ..... con il puntino inziale
2) applicabile a tutti
rimozione del file versions.xml dalla root (directory principale, quella che contiene l'index.html, per capirci) del sito web
Unico effetto collaterale è che le esportazioni effettuate successivamente dall'ftp integrato in website non funzioneranno correttamente e costringeranno a riesportare nuovamente tutto il sito web piuttosto che i soli file modificati da una certa data.
3) applicabile a tutti
esportare il sito su una cartella sul disco locale ed utilizzare un client ftp (programma ftp di terza parti .... filezilla, winscp o altri) per effettuare l'upload dei files sulla directory remota (sul sito web online). Solitamente, i client di questo tipo sanno riconoscere i files modificati rispetto a quelli presenti, ma non è un sistema affidabilissimo.
Il riconoscimento può avvenire per data, ma evidentemente le date saranno diverse per TUTTI i files, oppure per dimensione e quindi files modificati ma con la stessa dimensione verranno giudicati uguali .... ad esempio correzioni di lettere invertite o sbagliate sui testi. Ci sono altre varianti, ma occorre prenderci la mano.
PS. Dimenticavo
1) ... al link http://www.serzio.it/dev/evo10/rincus è presente lo script utilizzato per testare il proprio sito ... tutti gli accessi vengono loggati ... tutti gli abusi saranno punibili ... e potrei decidere di rimuovere tutto se mi accorgo della presenza di "furbetti".
2) non appena qualcuno si rende conto che il problema è stato risolto, mi faccia una segnalazione in modo che io possa declassare questo thread
-
Con l'aggiornamento 10.1.10.54 odierno, il problema NON è stato risolto.
-
Se vi "strombazzano" in autostrada segnalandovi che il vostro furgone ha il portellone posteriore semiaperto e state perdendo le mozzarelle di bufala che fate?
Vi fermate ringraziando lo strombazzatore magari anche con qualche mozzarella oppure proseguite senza battere ciglio continuando a seminare mozzarelle per strada?
Scusate se sono andato OT (forse), eventualmente cancellate 'sto post.
-
Ammesso che vogliano e possano correggere l'inconveniente, quale migliore occasione per lanciare una nuova strabiliante versione a 200 euro?
(scusate, ma almeno qui lo posso scrivere).
-
Ammesso che vogliano e possano correggere l'inconveniente, quale migliore occasione per lanciare una nuova strabiliante versione a 200 euro?
(scusate, ma almeno qui lo posso scrivere).
[OffTopic mode ON]
Certo che ... se per avere un salvataggio degli ordini su file, occorre acquistare una versione pro con una differenza di ben 130 euro ... ovvero quasi il triplo ... mi aspetto il lancio di una enterprise a breve.
[OffTopic mode OFF]
-
Certo che ... se per avere un salvataggio degli ordini su file, occorre acquistare una versione pro con una differenza di ben 130 euro ... ovvero quasi il triplo ... mi aspetto il lancio di una enterprise a breve.
[OffTopic mode OFF]
ti posso anticipare la nuova versione..
[attachimg=1]
-
Con l'aggiornamento 10.1.10.54 odierno, il problema NON è stato risolto.
con l'ultimo aggiornamento non sono stati "risolti" molti altri problemi, figuriamoci il bug. C'è da immaginare che ci vorrà parecchio tempo per sistemare una cosa del genere..aspetto di vedere cosa partoriranno...
-
Certo che ... se per avere un salvataggio degli ordini su file, occorre acquistare una versione pro con una differenza di ben 130 euro ... ovvero quasi il triplo ... mi aspetto il lancio di una enterprise a breve.
[OffTopic mode OFF]
ti posso anticipare la nuova versione..
(Attachment Link)
E' assolutamente fuori mercato, soprattutto se paragonata ad altri SW. Avevo quasi pensato di utilizzarlo per quel progettino sulle fatture xml ... ma l'altro prodotto mi sta offrendo una versatilità senza eguali nella creazione dei form e nell'inserimento di codice. Poi c'e' il discorso sulla lentezza nella correzione dei problemi importanti.
Con l'aggiornamento 10.1.10.54 odierno, il problema NON è stato risolto.
con l'ultimo aggiornamento non sono stati "risolti" molti altri problemi, figuriamoci il bug. C'è da immaginare che ci vorrà parecchio tempo per sistemare una cosa del genere..aspetto di vedere cosa partoriranno...
Eppure .... io non vedo grandi ed insormontabili difficoltà implementative di una soluzione, anche solo provvisoria.
-
Eppure .... io non vedo grandi ed insormontabili difficoltà implementative di una soluzione, anche solo provvisoria.
penso che anche solo rinominare il file con estensione .php o .xml.php possa essere una soluzione temporaneamente definitiva.. :))
-
Eppure .... io non vedo grandi ed insormontabili difficoltà implementative di una soluzione, anche solo provvisoria.
penso che anche solo rinominare il file con estensione .php o .xml.php possa essere una soluzione temporaneamente definitiva.. :))
Chiedere di lasciare il db dei file esportati direttamente nella cartella del progetto in locale sarebbe stato molto più intelligente, ma ... una soluzione definitiva poteva anche essere quella di inserire quelle informazioni in un file php. D'altra parte, anche il db degli utenti e lagestione delle pagine riservate usa lo stesso metodo. Non capisco proprio la fissazione che hanno alcuni per i files xml.
-
PS. Dimenticavo
1) ... al link http://www.serzio.it/dev/evo10/rincus è presente lo script utilizzato per testare il proprio sito ... tutti gli accessi vengono loggati ... tutti gli abusi saranno punibili ... e potrei decidere di rimuovere tutto se mi accorgo della presenza di "furbetti".
2) non appena qualcuno si rende conto che il problema è stato risolto, mi faccia una segnalazione in modo che io possa declassare questo thread
Salve, appena giunto su questo forum :) non mi trovo sul similblog di ICM, preferisco un buon vecchio semplice forum. Se ho ben capito (ma ne dubito data la mia niubbaggine) posso usare quella tua pagina per verificare che il sito fatto da me abbia quel problema del file version mettendo il mio sito nel form? La cosa che non capisco pero' e' l'accesso all'area riservata con user/user ... :s
-
PS. Dimenticavo
1) ... al link http://www.serzio.it/dev/evo10/rincus è presente lo script utilizzato per testare il proprio sito ... tutti gli accessi vengono loggati ... tutti gli abusi saranno punibili ... e potrei decidere di rimuovere tutto se mi accorgo della presenza di "furbetti".
2) non appena qualcuno si rende conto che il problema è stato risolto, mi faccia una segnalazione in modo che io possa declassare questo thread
Salve, appena giunto su questo forum :) non mi trovo sul similblog di ICM, preferisco un buon vecchio semplice forum. Se ho ben capito (ma ne dubito data la mia niubbaggine) posso usare quella tua pagina per verificare che il sito fatto da me abbia quel problema del file version mettendo il mio sito nel form? La cosa che non capisco pero' e' l'accesso all'area riservata con user/user ... :s
Il tool da me pubblicato è liberamente utilizzabile accettando implicitamente la clausola sul "tracciamento" di ciò che viene fatto ... ovviamente ... mi serve per scoraggiare gli abusi, mentre i dati di accesso elencati sono utili per la sola visualizzazione della pagina riservata del mio sito di prova per la verifica di di quanto viene "tirato fuori" dal codice che ho inserito, null'altro.
-
Tanti auguri [attachimg=2] ..... a te .... [attachimg=3]
[attachimg=1]
-
inizia pure a preparare quella con i 60 gg..Fine Mese Data Fattura..
-
Mi sarei aspettato una risposta "ufficiale" ed invece ... il post è stato nascosto.
Siamo alle solite con la politica di occultamento dei problemi e di menefreghismo nei confronti dei clienti paganti.
http://answers.websitex5.com/post/97948 (http://answers.websitex5.com/post/97948)
-
Aggiornamento di stato: per la soluzione richiesta, si invita ad attendere.
http://answers.websitex5.com/post/97948 (http://answers.websitex5.com/post/97948)
Per ovvie ragioni di tutela dei diritti di copyright sui contenuti non posso riportare la risposta, ma sicuramente posso riportare quanto scritto da me .... visto che il suddetto topic ha ottime probabilità di essere "privatizzato".
Il problema si può riassumere brevemente nei seguenti punti.
- Non avete pubblicato un avviso ai clienti per notificare di fare attenzione alla pubblicazione di dati riservati in attesa di una soluzione al problema.
- Avete oscurato la mia notifica del bug.
- State ritardando la pubblicazine di una patch idonea alla soluzione del bug mettendo a rischio i vostri stessi clienti che, per definizione, sono inesperti e tendono a cimentarsi in imprese decisamente al di sopra delle loro reali capacità.
- Un mese è decisamente e ragionevolmente troppo per la soluzione di un problema legato alla privacy per il quale esistono pesantisime sanzioni in caso di accertata violazione.
- Essendo consapevole del problema, non posso utilizzare un prodotto acquistato e dimostratosi "fallato" ... ad oltranza
- Capisco che in questo momento le risorse siano impegnate nell'ultimazione della nuova release del software, ma non è possibile "abbandonare" letteralmente i clienti già acquisiti.
Cordialmente saluto.