http://www.e107works.org/ 2010-09-06T07:56:46+02:00 e107 http://e107.org/ e107 e107 http://www.e107works.org/e107_images/button.png Admin - info@nospam.com Team di supporto italiano per il CMS e107 temi e risorse gratuite http://www.e107works.org/news.php?item.102.1 2010-08-27T15:40:34+02:00 Alf alf@nospam.com

Probabilmente non mi esprimo correttamente in Italiano ed allora rispondo a tutti qui:IL SITO NON E' CHIUSOIO NON ABBANDONO NESSUNOL'ASSISTENZA NON E' SOSPESAHo solo detto che vista la situazione di e107 NON ME LA SENTO DI SVILUPPARE altro materiale.Questa è una affermazione che deve essere presa nell'ottica di chi VEDE IL CODICE, le sue evoluzioni e dice: "mmmh ... aspettiamo a fare altre customizzazioni".Così è chiaro?Le mie considerazioni su e107 sono MIE e pertanto devono essere prese come OPINIONI e non DETTAMI da usare a proprio uso e consumo, distorcendo la realtà , sfottendo ed insultando!Se le volete considerare come le opinioni di un esperto, bene.Se le volete considerare come le opinioni di un cialtrone, va bene!Consideratele come vi pare, io lavoro su e107 da più di 4 anni e sono ad un punto in cui ho deciso che, per il momento, non è utile sviluppare altro materiale.Credo sia una scelta di pura onestà nei confronti di tutti.In considerazione poi che siamo arrivati al punto che d'ora in avanti le release saranno tutte RC prima della versione Ufficiale, la mia decisione assume ancor più carattere definitivo.Si, certo, fantastico: ogni release sarà testata da tutta la community internazionale: ma i neofiti? E 107 sarà un CMS per soli esperti o smanettoni?... staremo a vedere...[Inviata da Alf]

2010-08-27T15:40:34+02:00 http://www.e107works.org/news.php?item.101.1 2010-08-22T20:26:13+02:00 Alf alf@nospam.com

Inutile proseguire con news ed annunci di cui, probabilmente, molti non hanno ancora "afferrato il senso".Lo affermo chiaramente, allora : da troppo tempo ormai ritengo e107 in una situazione troppo caotica da cui non si intravede un futuro ben delineato.L'ultimo aggiornamento, con tutti i problemi che in poche ore ha creato, il fatto stesso che i problemi siano creati da codice sperimentale (come mostrato in una new di ieri) , dà una sensazione di "rabberciato" ... scusate l'espressione ma cerco di essere chiaro a tutti.Questa situazione si trascina da gennaio 2010 ed è talmente rilevante da aver portato prima alla compromissione del sito ufficiale di e107 e, successivamente, ad una versione aggiornata (la 7.17) che copriva una range tale di bugs, da portare uno degli sviluppatori ad offrirsi per la soluzione di ogni singolo caso PERSONALMENTE. Queste le parole dello sviluppatore (dal sito ufficiale):If anyone sees anything odd with their sites or with e107.org, or just has specific question, please do not hesitate to contact me personally. Please be patient, I will attempt to answer anything I receive.Grande esempio di dedizione ed onestà, non c'è che dire, ma quello sviluppatore è proprio il McFly che all'inizio di agosto ha abbandonato lo sviluppo di e107 . Ogni commento è superfluo, direi.Da allora la situazione non è migliorata, molto s'è speculato, certamente, ma quest'ultimo aggiornamento ed il mostruoso ritardo dell'uscita della versione 0.8 , con ammissione da parte del team di sviluppo di errori nel core, non fanno intravedere un futuro "roseo".Appena il caso di dirlo: ma nessuno ha testato la 7.23 prima di renderla disponibile? Nessuno del team di sviluppo ha rilevato i problemi che da?Ammesso anche che non siano cose gravi, ma l'utenza media che ne sa? Come può intervenire quando vede i suoi siti inaccessibili (Access denied) od i Meta Tag sostituiti con SANITIZED?Così, giusto per accennare ad un paio di problemini... solo un paio...Dico queste cose con grande dispiacere, perchè ad e107 ho dedicato più di 4 anni della mia vita, ricevendo grandi soddisfazioni e, perchè no, anche fregature tremende (ma l'uomo è uomo... così grande e così piccolo...). E' però mia precisa responsabilità non illudere l'Utenza di e107wORks E QUINDI PARTE DELL'UTENZA DI E107 !Da due mesi temporeggio su tutte le richeste che mi vengono formulate e questo solo allo scopo di non dare illusioni. Io non ho un castello (o una catapecchia!) da mantenere in piedi a costo di nascondere l'evidenza, tradendo la fiducia di chi mi si rivolge: gli Utenti devono sapere che i loro siti potrebbero avere dei problemi e , molti, già ne hanno.Posso io accettare delle richieste al solo scopo di far crescere la mia utenza, omettendo di dire :"guarda che il tuo sito potrebbe avere dei problemi"?NO, NON POSSO!Questo detto in soldoni, perchè ci sarebbe molto da aggiungere sia dal punto di vista tecnico che dell'inadeguatezza del supporto, ma è per questi motivi che da due mesi a questa parte (ed anche più in qualche caso) non ho "preso lavori" di alcun genere, non ho prodotto materiale e non ho più proposto nulla di nuovo.Sarebbe stato facile illudere, ma non è nel mio stile e , men che meno, nell'ottica Open Source!Ecco quindi la decisione: L'ATTIVITA' DEL PORTALE E' SOSPESA .Se in un futuro, spero immediato, dovessi intravedere nuovamente i presupposti che inizialmente mi avevano fatto scegliere e107, sarò allora ben felice di continuare la mia attività.Chiedo cortesemente di non continuare a domandarmi in privato cose che riguardano "altri siti che si occupano di e107" : io non scendo al livello del pettegolezzo, non critico e sono sempre stato una persona che risolve le questioni "face to face". Quello che dovete sapere su e107 ve lo sto dicendo qui, pubblicamente, senza nascondervi nulla: a voi la scelta.Un affettuoso saluto a tutti ed un ringraziamento a tutti coloro che mi hanno seguito con fiducia ed affetto.

2010-08-22T20:26:13+02:00 http://www.e107works.org/news.php?item.100.1 2010-08-22T04:28:05+02:00 Alf alf@nospam.com

In attesa che "gli esperimenti finiscano" vi propongo una soluzione tampone scaricabile da qui LinkPer la modifica è sufficiente sostituire il file comment_class.php nella cartella e107_handlers con quello che vi propongo in download.

2010-08-22T04:28:05+02:00 http://www.e107works.org/news.php?item.99.1 2010-08-22T03:10:46+02:00 Alf alf@nospam.com

Se ne parla anche sul forum Ufficiale... appena uscita la 7.23 ed effettato l'upgrade, su qualche sito viene impedito il login, su altri l'inserimento di commenti, in altri ancora l'accesso nella pagina di amministrazione... robetta da poco insomma Dato che sul forum ufficiale sembra che vadano a rane... aspettiamo!!! aggiornamento:Il problema è legato ad una delle "novità che dovrebbero rendere il CMS più sicuro". Una nuova costante "e_TOKEN" viene definita nel class2 ed utilizzata, passandola come "input hidden"... ma andando a spulciare il codice si legge , nei commenti degli sviluppatori:// Experimental Code Below.// e-Token STARTBene! facciamo gli esperimenti su server in produzione?Rubo la battuta ad Aldo Giovanni e Giacomo... : "già che ci siamo ci puciamo dentro un savoiardo!"meglio buttarla sul ridere....[Inviata da Alf]

2010-08-22T03:10:46+02:00 http://www.e107works.org/news.php?item.98.1 2010-08-16T14:49:04+02:00 Alf alf@nospam.com

risposta a tutte le richieste pervenute dagli Utenti

2010-08-16T14:49:04+02:00 http://www.e107works.org/news.php?item.97.1 2010-07-06T16:57:36+02:00 Alf alf@nospam.com

Dal forum (istruzioni per il recupero) Link :Aruba ha bloccato parecchi siti di e107 con versioni non aggironate perche' ci stavano dei bug che inviano milioni di richeiste al server stesso!!!giusto per info....Umili considerazioni dell'Amministratore:Ne sono a conoscienza e, sia pure dispiaciuto, non si può non fare a meno che dare ragione all'hoster.Anche se c'è chi pensa che l'hoster debba essere al tuo servizio esclusivo, in realtà esso affitta una parte del suo server al cliente. Questi è tenuto a rispettare determinate regole di sicurezza, perchè se così non fosse, tutti i server di questo mondo sarebbero dei colabrodo.Ora nel caso specifico di ballu non voglio certo infierire, anzi, tutta la mia simpatia, ma è da sempre che ripetiamo di mantenere aggiornate le versioni del CMS, come per tutti i CMS come per qualsiasi sistema operativo.Un qualsiasi padrone di casa che ci affitta un appartamento, se viene a conoscenza che operiamo illecitamente o, peggio, se un danno è dovuto da nostra incuria od inadempienza, con ogni ragione si rivale nei nostri confronti: perchè un Hoster non dovrebbe farlo?Ho letto molte lamentele in giro per diversi siti, ed alcuni ritengono addirittuta "vergognoso" questo atteggiamento: credo si sbaglino e di grosso.Al contrario, se il CMS viene aggiornato, non vedo il motivo per cui il servizio non debba essere ripristinato. In questo caso allora si che all'hoster si può imputare una incorretta conduzione del servizio perchè si basa eclusivamente su dati discriminatori che non hanno fondamento alcuno. Men che meno se l'hoster consiglia l'uso di altro CMS.Certo è che altri CMS , godendo di un supporto affidabile e certamente collaborativo fra i vari portali che se ne curano, possono fare la "voce grossa"; noi continuiamo a tirarci le palline di carta.Questo avevo il dovere di dirlo! [Inviata da Alf]

2010-07-06T16:57:36+02:00 http://www.e107works.org/news.php?item.96.1 2010-06-29T13:59:21+02:00 Admin info@nospam.com

L'attività del Portale, per le prossime settimane, sarà ridotta al minimo per il lungo protrarsi delle ferie dell'Amministratore Il Portale resterà comunque attivo e monitorato da postazioni mobili; gli Utenti che hanno un filo diretto con l'Admin , in caso di necessità, non esitino ad usare i numeri di contatto in loro possesso. [Inviata da Admin]

2010-06-29T13:59:21+02:00 http://www.e107works.org/news.php?item.95.1 2010-06-15T14:35:06+02:00 Alf alf@nospam.com

Upgrade del Custom user Template. Il template visualizza ora anche gli avatar Utente remoti (non caricati sul server ma inseriti come link nella scheda Utente) e degli avatar "precaricati" dall'Admin.Download con istruzioni per aggiornamento o prima installazione, disponibile qui Link [Inviata da Alf]

2010-06-15T14:35:06+02:00 http://www.e107works.org/news.php?item.94.1 2010-06-08T00:56:03+02:00 Alf alf@nospam.com

La comunicazione ufficiale (attesa) è arrivata ed è stata pubblicata sul sito ufficiale di e107 con l'assicurazione che l'ultima release di e107 (7.22) ha retto bene l'attacco.Dai contatti avuti con Eastitaly su cui hostiamo diversi siti TUTTI AGGIORNATI ALLA 7.22 , nonchè dal monitoraggio effettuato attacco durante, emerge chiaramente come sia l'ultima versione del CMS che le impostazioni del Server di Eastitaly hanno egregiamente retto l'attacco.Altrettanto non si può affermare per i siti NON AGGIORNATI che sono stati, in qualche caso, violati.Si ribadisce quindi, ancora una volta, l'estrema importanza di effettuare ogni aggiornamento e, se possibile, non appena esso viene reso disponibile. [Inviata da Alf]

2010-06-08T00:56:03+02:00 http://www.e107works.org/news.php?item.93.1 2010-06-07T13:57:08+02:00 Alf alf@nospam.com

Quanto indicato nella new precedente e specificato da Kreos in questo post Link , trova conferma anche nelle indagini den nostro Hoster EastitalyIN PARTICOLARE SOTTOLINEO LE PAROLE DEL SISTEMISTA DELL' AZIENDA CUI SOPRA:Senza dilungarmi ulteriormente, a mio parere ogni installazione di e107 di versione uguale o inferiore alla 0.7.20 va considerata con il massimo sospetto e l'applicazione di una patch o la rimozione del punto di ingresso dell'exploit (il file contact.php) inevitabile, per quanto rimanga comunque pressante l'esigenza (ma francesco potrebbe correttamente ritenerlo un obbligo) di aggiornare la piattaforma ad una versione più recente.Il problema, come correttamente e tempestivamente puntualizzato da Alf, verte attorno ad una vulnerabilità del file contact.phpIn pratica, é possibile far eseguire codice arbitario attraverso una richiesta opportunamente formata al file in questione.La vulnerabilità é stata pubblicata in data 24/05/2010 ed é quindi abbastanza recente, anche se non si tratta esattamente di una vulnerabilità cosiddetta "0-day"L'exploit, per quanto risulta, sembrerebbe essere stato identificato da un membro dello staff di sviluppo di e107 (o perlomeno da qualcuno che si spaccia per tale)Le installazioni di e107 che ne verrebbero affette sono tutte le versioni fino alla 0.7.20 compresaCuriosamente, nel testo dell'exploit, il redattore ha inserito un cortese segno di disappunto nei confronti del team stesso:Citazione# These scrubs still haven't released an update!# Here is a little bit of motivation for them to# patch one of the most popular, and insecure of# the PHP web apps available today.Il codice originale per sfruttare l'expoit é stato scritto in perl, ma nulla vieta di trascriverlo in qualche altro linguaggio di alto livello.Nell'attacco svolto, l'exploit é stato utilizzato per eseguire remotamente codice (http://
www.yucatekisimo.com/
language/shell.txt), poi a sua volta usato per scaricare/eseguire altro codice (http://pastie.org/
pastes/972323 o Link), poi a sua volta utilizzato per scaricare ed eseguire altro codice (http://hades.own.cz/
Private/e107.pl)Quest'
ultimo é un cortesissimo "e107 mass scanner/shell uploader", come viene definito all'interno del codice stesso.Senza dilungarmi ulteriormente, a mio parere ogni installazione di e107 di versione uguale o inferiore alla 0.7.20 va considerata con il massimo sospetto e l'applicazione di una patch o la rimozione del punto di ingresso dell'exploit (il file contact.php) inevitabile, per quanto rimanga comunque pressante l'esigenza (ma francesco potrebbe correttamente ritenerlo un obbligo) di aggiornare la piattaforma ad una versione più recente.EDIT: peraltro, considerata anche la presenza di importanti bug di RFI (Remote File Inclusion) e XSS (Cross-Site Scripting) rilevati nella versione 0.7.21, le considerazioni di cui sopra si rendono ancora più pressanti.EDIT: in ogni caso, qualunque installazione che abbia risentito ovvero avrebbe potuto risentire del/dei problema/i suddetti, andrà obbligatoriamente e accuratamente esaminata alla ricerca di file estranei al set di installazione del cms che potrebbero racchiudere altri spiacevoli "regali" (shell php, mass mailers, ecc.) che potrebbero essere stati caricati attraverso le vulnerabilità di cui sopra ed accuratamente ripulita dagli stessi prima di essere rimessa on-line.Tutti i dettagli a questo LINK[Inviata da Alf]

2010-06-07T13:57:08+02:00