Inserite le caratteristiche da voi desiderate

Cosa vorresti aggiungere? Puoi contribuire a migliorare Tiche?
Rispondi
Avatar utente
tiche_admin
Messaggi: 522
Iscritto il: venerdì 4 gennaio 2008, 13:50
Località: Genova, Italia
Contatta:

Inserite le caratteristiche da voi desiderate

Messaggio da tiche_admin »

Inserite qui le caratteristiche da voi desiderate, oppure provate voi stessi a migliorare il codice ;)

Buon lavoro :)
Prof. Daniele Passalacqua
Genova, Italia
Avatar utente
forlano
Messaggi: 67
Iscritto il: mercoledì 18 novembre 2009, 7:53

Re: Inserite le caratteristiche da voi desiderate

Messaggio da forlano »

Caro Dante,

si tratta di modifiche di un certo spessore non immediate da apportare.
Al momento non sono in grado in metterci mano. Bisogna aspettare qualche altro volenteroso farlo.

Luigi
Dante
Messaggi: 0
Iscritto il: sabato 23 gennaio 2010, 10:13

Re: Inserite le caratteristiche da voi desiderate

Messaggio da Dante »

Capisco, ma girando per internet ho trovato che altri colleghi sono riusciti nell'intento. E' un peccato che si prelevi il software GNU e poi non si condividino le modifiche con altri.
Per esempio ho scoperto una grave falla per quanto riguarda la sicurezza, ma perché condividerla con gli altri. Sarei tentato ad andare a cambiare i voti nei vari registri.
Avatar utente
tiche_admin
Messaggi: 522
Iscritto il: venerdì 4 gennaio 2008, 13:50
Località: Genova, Italia
Contatta:

Re: Inserite le caratteristiche da voi desiderate

Messaggio da tiche_admin »

Dante ha scritto:Capisco, ma girando per internet ho trovato che altri colleghi sono riusciti nell'intento. E' un peccato che si prelevi il software GNU e poi non si condividino le modifiche con altri.
Per esempio ho scoperto una grave falla per quanto riguarda la sicurezza, ma perché condividerla con gli altri. Sarei tentato ad andare a cambiare i voti nei vari registri.
Caro Dante, se ci dici chi sono questi colleghi che sono riusciti nell'intento potremmo contattarli per cercare di coinvolgerli.
Le falle che hai scoperto sono in quali versioni? Prima di cambiare i voti magari prova a metterli sull'avviso, magari si rendono conto
che è meglio collaborare :-)
Grazie, ciao.
Daniele
Prof. Daniele Passalacqua
Genova, Italia
fbgvn
Messaggi: 0
Iscritto il: mercoledì 17 febbraio 2010, 4:34

Re: Inserite le caratteristiche da voi desiderate

Messaggio da fbgvn »

Visto che si parla di falle: ai tempi della versione 3.1 avevo provato Hermes e verificato che era abbastanza semplice forzare l'autenticazione riscrivendo manualmente alcuni cookies, cosa piuttosto agevole con diversi browser. Avevo segnalato la cosa all'irre della Puglia ma non avevo avuto risposta.
Nella versione attuale pensate che il problema sia risolto? (Non ho ancora trovato il tempo di installarla per fare delle prove).
Posso inviare i dettagli della procedura utilizzata però forse non è il caso di divulgarli in uno spazio pubblico, visto che probabilmente qualcuno usa ancora quella versione.
Fabio
Avatar utente
tiche_admin
Messaggi: 522
Iscritto il: venerdì 4 gennaio 2008, 13:50
Località: Genova, Italia
Contatta:

Re: Inserite le caratteristiche da voi desiderate

Messaggio da tiche_admin »

fbgvn ha scritto:Visto che si parla di falle: ai tempi della versione 3.1 avevo provato Hermes e verificato che era abbastanza semplice forzare l'autenticazione riscrivendo manualmente alcuni cookies, cosa piuttosto agevole con diversi browser. Avevo segnalato la cosa all'irre della Puglia ma non avevo avuto risposta.
Nella versione attuale pensate che il problema sia risolto? (Non ho ancora trovato il tempo di installarla per fare delle prove).
Posso inviare i dettagli della procedura utilizzata però forse non è il caso di divulgarli in uno spazio pubblico, visto che probabilmente qualcuno usa ancora quella versione.
Fabio
Ciao Fabio, appena ho un momento metto in linea una demo usabile dell'ultima versione così puoi provare a "forzarla".
La sicurezza è sicuramente una priorità per rendere efficiente Hermes.
Grazie, Daniele
Prof. Daniele Passalacqua
Genova, Italia
fbgvn
Messaggi: 0
Iscritto il: mercoledì 17 febbraio 2010, 4:34

Re: Inserite le caratteristiche da voi desiderate

Messaggio da fbgvn »

Ho appena installato la versione 4.1.2 su di un server aruba, con php 5.2.12 + mysql 5.0.82
La vulnerabilità c'è ancora e permette di accedere come amministratore senza inserire nome utente e password.
Posso fornire la procedura seguita e l'output di phpinfo per esaminare la configurazione del server.
fabio
Avatar utente
tiche_admin
Messaggi: 522
Iscritto il: venerdì 4 gennaio 2008, 13:50
Località: Genova, Italia
Contatta:

Re: Inserite le caratteristiche da voi desiderate

Messaggio da tiche_admin »

fbgvn ha scritto:Ho appena installato la versione 4.1.2 su di un server aruba, con php 5.2.12 + mysql 5.0.82
La vulnerabilità c'è ancora e permette di accedere come amministratore senza inserire nome utente e password.
Posso fornire la procedura seguita e l'output di phpinfo per esaminare la configurazione del server.
fabio
Grazie Fabio per la segnalazione, forse è meglio non allegare qui lo script per forzare. Se vuoi inviamelo in un msg privato:
info at sinapsi dot org
Così lo giro anche a Luigi.
Ciao, Daniele
Prof. Daniele Passalacqua
Genova, Italia
Avatar utente
forlano
Messaggi: 67
Iscritto il: mercoledì 18 novembre 2009, 7:53

Re: Inserite le caratteristiche da voi desiderate

Messaggio da forlano »

Dante ha scritto:Capisco, ma girando per internet ho trovato che altri colleghi sono riusciti nell'intento. E' un peccato che si prelevi il software GNU e poi non si condividino le modifiche con altri.
Per esempio ho scoperto una grave falla per quanto riguarda la sicurezza, ma perché condividerla con gli altri. Sarei tentato ad andare a cambiare i voti nei vari registri.
Ciao Dante,

la licenza GNU consente ciò, ovvero di modificare il codice e di non distribuirlo. Appena lo si distribuisce, poichè lo si deve rilasciare con la stesa licenza, allora chiunque può distribuirlo e rivenderselo.
Probabilmente chi lo ha modificato ha sostenuto dei costi e vuole vederseli ripagati. In ogni caso non ci vedo niente di male. Il programma è qui a disposizione di tutti e non può essere occultato.

Luigi
Avatar utente
forlano
Messaggi: 67
Iscritto il: mercoledì 18 novembre 2009, 7:53

Re: Inserite le caratteristiche da voi desiderate

Messaggio da forlano »

admin ha scritto:
fbgvn ha scritto:Ho appena installato la versione 4.1.2 su di un server aruba, con php 5.2.12 + mysql 5.0.82
La vulnerabilità c'è ancora e permette di accedere come amministratore senza inserire nome utente e password.
Posso fornire la procedura seguita e l'output di phpinfo per esaminare la configurazione del server.
fabio
Grazie Fabio per la segnalazione, forse è meglio non allegare qui lo script per forzare. Se vuoi inviamelo in un msg privato:
info at sinapsi dot org
Così lo giro anche a Luigi.
Ciao, Daniele
Procedura ricevuta. Non verificata ma a "mente" credo che debba funzionare. Occorre cambiare tutto il codice di autenticazione. Come dire cambiare tutti gli infissi esterni dell'appartamento... una bella spesata.
Se fosse capitato alla Toyota avrebbe richiamato tutte le macchine dal mercato :lol:
Sarei curioso di sapere se le versioni modificate presenti online resistono a questo tentativo di intrusione.

Luigi
Rispondi