
Docs e sicurezza
Documentazione e sicurezza
Di seguito c'è la lista degli articoli pubblicati per questo argomento.
Attenzione a chi gestisce sistemi Moodle: c'è un malworm chiamato c99MadShell . Colpisce anche Xoops (come si legge da questo post) e Joomla!.
Sintomi: su Moodle non si riesce più a modificare/visualizzare corsi nascosti: da pagina bianca. Su Xoops/Joomla appare solo spam sulla home. Se subite l'hack, esso coinvolge tutti gli altri sistemi installati nella stessa web root, anche MDPro se avete il file config/md_config.php scrivibile.
Come verificare, come risolvere, come prevenire... clicca su leggi tutto.
Troppe volte i web master ignorano quali siano le leggi che regolano l'e-commerce e soprattutto quali siano i passi da seguire per aprire un sito di commercio elettronico.
Voglio citare direttamente la fonte (www.weblegalconsulting.com) da dove ho tratto le informazioni:
Webconsulting.com --------------------------------------------------------------
Ci sono aspetti legali e problematiche che molti operatori del web potrebbero incontrare o che hanno già incontrato, sottovalutandoli. Questo comporta che la maggioranza siti web online sono da considerarsi non conformi alla normativa e soggetti di conseguenza a sanzioni che potrebbero arrivare tranquillamente a 50 mila euro (e alcuni casi portano conseguenze penali). In questo allegato è presente un elaborato che indica le norme da seguire per poter pubblicare siti e-commerce (ma anche siti che svolgono attività di sola promozione) evitando di incorrere a sanzioni e salvaguardando il cliente da beghe legali.
NOTA: verificare sempre la normativa attuale e eventuali modifiche ad esse.
Contenuto allegato:
1)Aspetti Legali per la pubblicazione di siti e-commerce
2)Formulario di reclamo europeo
3)Modulo Com 1
4)Contratto Open Source per vendita siti web
5)Guida operativa per redigere il DPS (25 pagine)
------------------------------------------------------------------------------------
Sono disgustato, veramente disgustato e se non mi venisse chiesto da altri componenti dello staff la voglia sarebbe proprio quella di chiudere tutta la baracca, trovo veramente disgustosto ricevere email con ricatti ad una comunità che lavora nell'open source, solo per informarci di un bug in MDPro.
Trovo disgustoso richiederci soldi per farci conoscere dove è il problema con la minaccia in alternativa di informare qualche gruppo di hackers.
Trovo disgustoso trovare stamattia i siti di maxdev.com, maxdevitalia e persino quello della nostra associazione no profit gpldev, defaced, con vari dati cambiati e ribaltati, aggiunta scritte qui e la, veramente disgustato.
Come vogliamo chiamarle queste persone, persone ? hackers ? o cos'altro ?
E' stata rilasciata una fix di sicurezza per MDPro 1.076, tutti gli admins sono invitati ad aggiornare i propri siti al più presto.
La fix la potete trovare qui dovete semplicemente sovrascrivere i files nella rispettiva directory.
Stiamo lavorando alla stesura di nuova documentazione per MDPro, moduli, nuovi e non, sia per scrivere manuali, guide all'uso e tutorials.
Abbiamo bisogno di traduttori da e verso l'inglese, se qualcuno ha voglia/tempo di collaborare potete contattare direttamente Franco al seguente indirizzo franco at maxdev.com, il vostro aiuto potrà ovviamente permetterci di migliorare tutta la nostra documentazione a vantaggio di tutta la comunità
TiMax
Lo staff di MAXdev.com è stato informato di alcune vulnerabilità nel file error.php di MDPro 1.076 che potrebbe permettere di eseguire in alcune situazioni file locali tramite la variabile di sessione PNSVlang che è inclusa in error.php
Come al solito lo staff di MAXdev ha preparato immediatamente la fix di sicurezza ed è disponibile nella nostra sezione download,
RACCOMANDIAMO A TUTTI GLI ADMIN DI APPLICARE LA FIX IMMEDIATAMENTE!!
Ringraziamo inoltre Larsneo per la collaborazione
TiMaxProject Manager
Lo staff di MAXdev è satto informato di un problema di sicurezza con il modulo Lost Password potete leggere riguardo questo problema qui
Un altro bug è stato riscontrato nell'iserzione di oggetti, flash, video ecc, questo non è un problema di sicurezza ma abbiamo preso comunque l'occasione per rilasciare anche questa fixx.
Raccomandiamo sempre di mantenere l' AntiCracker attivo.
La fix è disponibile qui., per applicare questa fix semplicemente sovrascrivere i files.
Vogliate notare che MDStaff lavora sempre per mantenere MDPro stabile e sicuro, ed ancora una volta siamo riusciti a rilasciare la fix in meno di 24 ore dalla conoscenza del problema.
Raccomandiamo FORTEMENTE a tutti gli utenti di applicare questa fix al più presto, tutti i pacchetti di MDPro 1.0.76 sono stati aggiornati al 30/10/2006
TiMax
Lo staff di MAXdev è stato informato da http://www.jpcert.or.jp su alcuni problemi riscontrati sulla funzione pnVarCleanFromInput che avrebbero potuto permettere attacchi XSS ijection
Un altro piccolo bug è stato riscontrato nell'AntiCracker che poteva causare inefficenze, Per motivi di sicurezza raccomandiamo di utilizzare l'AntiCracker attivo, che poteva già bloccare la maggior parte di questi attacchi anche prima della fix.
La fix è disponibile nella nostra sezione download
Per gli MDBoosters, la MDLite è solo marginalmente afflitta, comunque le fix anche per la MDLite sono già sul nostro CVS e verrà rilascate con il prossimo rilascio di MDLite
Mille grazie a Masaki Kubo di JPCERT/CC per la loro assistenza nel portare alla nostra attenzione questi problemi e per i test delle fix's prima del loro rilascio.
Raccomandiamo tutti gli admin di installare questa fix sui propri siti al più presto, tutti i pacchetti di MDPro 1.0.76 sono stati aggiornati con queta fix dal 18/09/2006
PeteBest
E' disponibile nei nostri Downloads il manuale di amministrazione avanzata di MDPro in versione stampabile PDF: oltre 110 pagine che analizzano le varie gestioni di sistema secondo un criterio funzionale: la gestione delle sezioni amministrative, l'uso di AutoTheme con l'esempio della creazione da zero di un tema, la gestione dei Contenuti, la gestione di blocchi e moduli, la gestione della comunicazione con esempi pratici di come installare un forum, un calendario e come integrare un sistema di e-learning e la gestione degli utenti e delle autorizzazioni.
Lo staff di MAXdev è stato avvisato da Andreas Krapohl [larsneo] della presenza di un problema di sicurezza scoperto da secunia.com riguardante una vulnerabilità nella libreria Adodb utilizzata da molti applicativi tra cui MD-Pro.
VULNERABILTA'
Esecuzione di codice SQL via adodb (quando l'username è 'root' senza password)
Ecco la prima stesura del manuale di amministrazione di Md-Pro.
Speciale il capitolo 2:
Costruire il layout del sito con AutoTheme, una guida passo passo per principianti per creare un tema col noto motore grafico da zero, usando comandi avanzati e gli AutoBlocks.
Adesso abbiamo finalmente la documentazione per ogni modulo di MD-Pro 1.071. Questo non significa che ogni caratteristica dei moduli sia stata adeguatamente descritta (né sarebbe vero).
Anche così l'avere documentato ogni modulo è già un significativo progresso. Questo infatti renderà più semplice che mai il lavoro degli admin di MDP che intendano imparare meglio questo CMS e rendere quindi la Guida il punto di partenza da cui ottenere ogni informazione.
La guida continuerà ad essere accresciuta man mano si imparerà di più sulle operazioni e le caratteristiche che i vari moduli consentono, ricavandole anche dai vari forum attivi.
La struttura della Guida è tale che ogni informazione riguardante un modulo è contenuta su una singola pagina.
La struttura rende inoltre semplice qualsiasi aggiornamento, ivi compreso quello relativo all'eventuale rilascio del già annunciato MD-Pro 1.1.
Naturalmente sto provvedendo a preparare la traduzione in italiano di questa stessa guida e spero di riuscire a terminarla a breve
La Guida all'uso di MD-Pro va molto oltre i dettagli su come usare le caratteristiche di MDP. Essa non parte dal presupposto che si sappia cosa sia un CMS, né perché uno dovrebbe usarne uno e che cosa ci potrebbe fare. Questa guida parte proprio da questo punto di non conoscenza.
Alcuni dei documenti sono stati scritti in stile narrativo e sono disposti secondo un ordine logico sequenziale per rendere facile a coloro che sono alle prime armi la comprensione delle cose sin dall'inzio senza essere subito invischiati in aspetti tecnici. Fornisce informazioni semplici e costruisce le varie competenze passo passo a partire da queste piuttosto che sovracaricare uno sin dall'inizio. Vengono forniti esempi specifici basati sulla mia personale esperienza di apprendimento che spero sia utile agli altri anche se la loro area di interesse è diversa dalla mia.
Poiché questa è una guida che si prende cura per prima cosa degli utenti, vi sono anche citazioni e suggerimenti per risorse di parti terze per aumentare la funzionalità di MDP oltre ai perfezionamenti che potete fare da voi. Sono inclusi anche metodi più facile e/o migliori per fare le stesse cose, anche se non sono conformi al metodo ufficiale.
Iniziamo col Progetto Intranet/Extranet scolastico dell'IPSSCS Sraffa di Brescia, presentato così al Collegio Docenti, ancora in fase di attuazione. Attualmente le registrazioni sono ancora chiuse: il progetto è biennale e sono in corso delle lezioni per mostrare alle componenti coinvolte (docenti, segreterie, alunni, ATA) l'utilizzo degli strumenti di Md-Pro. Lo scopo è proprio quello di coinvolgere tutte le figure della scuola nell'utilizzo del sistema.
Progetto quì: http://www.maxdevitalia.com/index.php?module=subjects&func=printpage&pageid=86&scope=all
Presentazione PowerPoint quì: http://www.sraffa.org/docs/portale.pps
Versione PDF quì: http://www.sraffa.org/docs/progettointra.pdf
Grazie a Luca “jimmivanpage” pubblichiamo il suo contributo Guida sul passaggio da Arena a PnphpBB2 sicuramente utile ad evitare grattacapi a tanti....
Lo trovate quì: http://www.maxdevitalia.com/mod-subjects-viewpage-pageid-93.html
Vi troverete anche il tema esempio usanto nel tutorial per farvi comprendere meglio il funzionamento.
A tutti gli utenti che hanno Aruba Windows, finalmente si possono uploadare immagini e contenuti.
http://www.maxdevitalia.com/index.php?module=subjects&func=viewpage&pageid=77
Vi ricordiamo che il lavoro di traduzione e documentazione è sempre attivo vi invitiamo pertanto a visitare la sezione documentazione
http://www.maxdevitalia.com/Cnl_Docs.html
Naturalmente poi tutti voi potete seguire l'esempio di Arpyone ad esempio qui e inviarci i vostri contributi
Pronto il Manuale di installazione di Md-Pro in 66 pagine con screenshots, che potete
- consultare on line quì oppure
- scaricare dai nostri Downloads quì in formato PDF stampabile.
Contiene:
- teoria e caratteristiche Md-Pro
- installazione in locale e remoto su Win e Linux
- upgrade da eNvolution e Postnuke
- impostazioni di base
Cerchiamo traduttori in inglese del manuale (eh si, ormai bisogna tradurre il nostro materiale nelle altre lingue...) e un aiuto per completare il Manuale di Amministrazione avanzata di Md-Pro.
Contattare A. Gagliani : capra@maxdev.com.
Come ogni utente che si avvicina per la prima volta a un CMS o comunque a un sistema per la gestione automatizzata dei contenuti, mi è capitato di trovarmi enormemente in difficoltà al primo approccio, soprattutto nel momento in cui ho deciso di modificare l'aspetto grafico del mio portale per ottenere un prodotto personalizzato.
La guida è inserita nella Guida all'installazione di Md-Pro , ormai quasi terminata.
E' in preparazione per la comunità di Md-Pro il "Manuale di amministrazione avanzata di Md-Pro" con descrizione di tutti i blocchi e i moduli di Md-Pro.
Per chiunque volesse contribuire come autore, correttore, idee e traduzioni, contatti capra@maxdev.com .
