Blog eName

Am actualizat modulul de instalare Joomla din cPanel la ultima versiune disponibila - 1.5.9. Totodata, cPanel a introdus suportul pentru phpBB3 - ultima versiune, 3.0.4. Pentru a instala sau actualiza aceste aplicatii, dati click in cPanel pe iconita "Site Software" si apoi alegeti aplicatia dorita.

Postat in Software update

Una din metodele folosite de "baietii rai" pentru a sparge conturi se bazeaza pe injectarea de cod JavaScript in paginile atacate (XSS) si culegerea unor date private (cum ar fi identificatorul de sesiune stocat in cookie).

In 2006 Microsoft a inventat httpOnly, un cuvant trimis in header care specifica faptul ca un cookie setat de server nu poate fi accesat din JavaScript sau alte scripturi care ruleaza in browser. Ideea, foarte buna de altfel, a fost implementata in IE6 SP1 si ulterior in FireFox 2.

Totusi a aparut repede o problema: Ajax, la moda in ultima vreme, mai exact XmlHttpRequest, permitea trimiterea unei cereri catre server si prelucrarea headerelor returnate, inclusiv a cookie-urilor, in cazul in care erau setate in mod repetat de server (si se pare ca in PHP ar fi comportamentul implicit). In felul acesta, toata protectia introdusa de httpOnly era compromisa. Rezolvarea a venit in decembrie 2008 pentru Internet Explorer si luna asta pentru Firefox (testat pe versiunea 3.1 beta) Ambele browsere au eliminat posibilitatea de a citi cookie-urile setate cu httpOnly din XmlHttpRequest. Probabil, in cateva luni, multi vor face upgrade la browsere si internetul va deveni un loc mai sigur :) Doar pana cand se vor inmulti atacurile bazate pe Flash (care ofera tot timpul posibilitati nebanuite).

O simpla linie de cod PHP poate proteja aplicatia de atacuri XSS:

ini_set("session.cookie_httponly", 1); 

Referinte:

• https://bugzilla.mozilla.org
• http://ha.ckers.org/blog
• http://www.owasp.org
• http://www.microsoft.com/technet/security/

Postat in Securitate

.. sau ce trebuie facut pentru ca mailurile catre Yahoo sa ajunga la destinatari.

In primul rand, abonatii sa fie "pe bune", nu culesi de pe diverse site-uri sau din diverse baze de date care circula pe la noi. Sa nu fie "imprumutati" de la un prieten. In momentul in care un utilizator se aboneaza la newsletter trebuie sa inteleaga ce fel de mailuri va primi, de la cine si cu ce frecventa.

In al doilea rand, un utilizator va fi considerat abonat doar dupa ce primeste un mail si confirma abonarea. Intr-o prima faza, adresa de mail poate fi verificata ca este formatata corect folosind javascript si/sau php dar ulterior se pot face si alte verificari (de genul: exista server de mail pentru domeniu, exista userul pe domeniu, etc). Scriptul javascrpt poate sa notifice utilizatorii in cazul in care au completat o adresa de email aparent gresita (de ex. cele care incepe cu www sau se termina in yahoo.ro, zahoo.com etc)

Urmatorul pas dupa abonare este trimiterea efectiva a mailului. E recomandat ca mailul sa fie formatat corect, sa nu contina poze incarcate prin scripturi php sau cu nume ciudate care ar putea fi interpretate ca tracking cookie. In niciun caz mailul nu va contine javascript sau flash. In cazul mailurilor html, e recomandat sa existe si o varianta text. Yahoo recomanda ca mesajele sa aiba, pe cat posibil continut diferit - altfel vor fi interpretate ca spam si livrate in folderul respectiv. De asemenea, mailul trebuie sa contina la loc vizibil un link catre dezabonare - e de preferat ca un utilizator sa se dezaboneze de la newsletter in loc sa marcheze mesajul ca spam. Daca se inregistreaza multe plangeri, IP-ul de pe care se trimite mailul va fi temporar blocat iar in loguri va aparea mesajul:

[TS01] Messages from x.x.x.x temporarily deferred due to user complaints -
4.16.55.1; see http://postmaster.yahoo.com/421-ts01.html

Yahoo a avut un program prin care expeditorii newsletterelor puteau fi notificati in momentul in care un abonat marca mesajul ca spam - deocamdata programul este oprit. Update: din ianuarie programul a inceput sa functioneze din nou la adresa http://feedbackloop.yahoo.net E nevoie de mailuri semnate digital si o adresa unde sa se trimita plangerile.

Chiar daca utilizatorii de Yahoo care marcheaza mesajul ca spam nu pot fi dezabonati automat, exista multe alte erori care se intorc (de genul: user inexistent, nu are spatiu suficient), erori care trebuie tratate si, in functie de gravitatea si numarul lor, sa se decida daca se marcheaza un utilizator ca dezabonat.

Ar mai fi in plus doua lucruri care ajuta la livrarea mesajelor catre Yahoo: semnarea digitala a emailurilor (Yahoo foloseste DomainKeys dar alti furnizori de free mail folosesc SPF pentru verificarea serverului de pe care s-a expediat mailul) si adaugarea adresei de mail a expeditorului in adressbook-ul abonatului - functioneaza ca un whitelist.

Referinte:

1. http://postmaster.yahoo.com
2. http://blog.wordtothewise.com
3. http://rohost.com/suport/emailuri_catre_yahoo
4. Ah, era sa uit sfaturile lui Bobby Voicu :)

Postat in How To

Am facut upgrade la ultimele versiuni pentru antivirusul care ruleaza pe servere (ClamAV 0.94.2) precum si pentru Joomla (1.5.8 - versiune care poate fi instalata sau upgradata din cPanel). De asemenea, WordPress a fost actualizat de catre echipa cPanel la ultima versiune, 2.6.5. PHP a lansat acum 3 zile versiunea 5.2.7. Anuntul de pe prima pagina, aparut cu intarziere, a fost intre timp sters iar in pagina de download troneaza un alt mesaj "Due to unfortunate regressions installing 5.2.7 is highly discouraged". Nu e prima data cand echipa de dezvoltatori PHP se grabeste sa lanseze o versiune noua fara sa o testeze suficient. Asteptam PHP 5.2.8 Intre timp a aparut PHP 5.2.8

Postat in Software update

Magento este o aplicatie PHP relativ recent aparuta si care a crescut rapid in popularitate datorita facilitatilor oferite si a faptului ca este publicata sub licenta open-source. Pentru ca utilizatorii sa poata instala mai usor Magento eCommerce, am creat un add-on pentru cPanel. In cateva minute si cu cateva click-uri se poate instala o versiune functionala, practic un magazin virtual la cheie care trebuie doar customizat si populat cu produse. Implicit pentru interfata am ales tema Modern. Din motive de securitate, am setat drept de scriere doar pentru directoarele media si var in care se uploadeaza pozele produselor si respectiv in care se salveaza datele de sesiune si cache-ul. Daca se doreste instalarea unor alte component folosind Magento Connect, este nevoie sa se seteze dreptul de scriere pe toate directoarele. Platforma eCommerce Magento este realizata de firma Varien iar localizarea (partiala) in limba româna de comunitatea de utilizatori. Later: intre timp a aparut si versiunea 1.1.7. Upgrade-ul va fi disponibil in curand este disponibil in interfata cPanel.

Postat in Noutati

Utilizatorii pot instala ultima versiune de Joomla (1.5.7) direct din cPanel, din sectiunea Software/Services -> Site Software. De asemenea, versiunea anterioara, daca a fost instalata tot din cPanel, poate fi upgradata la ultima.

Postat in Software update

cPanel® vine cu o versiune noua pentru panoul de control: 11.24 numita Accelerated. Graficele si screenshot-urile arata bine - o sa vedem saptamana viitoare, dupa ce facem teste si (ulterior) upgrade daca se va simti o imbunatatire a performantei asa cum au promis. Detalii: http://www.cpanel.net/products/cpwhm/cpanel11/new-features.htm

Postat in Noutati

A aparut WordPress 2.6.3 - rezolva o problema de securitate mai putin importanta intr-un programel pe nume Snoopy care are rolul de a descarca si afisa feed-uri in dashboard: http://wordpress.org/development/2008/10/wordpress-263/ Pentru upgrade puteti descarca doar doua fisiere sau patch-ul. Atentie daca il editati - patch-ul contine caractere unicode.

Postat in Software update

La o analiza sumara, cel putin 11 din cele 41 (?) de site-uri inscrise la Gala Premiilor eCommerce 2008 au probleme de securitate care le-ar putea afecta activitatea. Asta inseamna peste 25% .. destul de mult. Tehnic, e vorba despre XSS, aka Cross-Site-Scripting, care inseamna injectarea de cod (de obicei javascript) intr-un site prin intermediul unor variabile nesecurizate (sau in cazul unora din site-uri, insuficient securizate). Din fericire, o astfel de vulnerabilitate e destul de usor de depistat si reparat, dar ar fi mult mai bine daca autorii site-urilor ar evita din start astfel de probleme. Prin XSS se poate de exemplu manipula sesiunea (asta inseamna ca, in anumite conditii, cineva sari peste autentificare). Sau, daca datele sunt salvate in site si accesibile si altor vizitaori (de ex: "ultimele cautari"), li se pot fura datele de acces ale acestora din urma, ii pot infecta cu diversi virusi/etc. Nu-i nevoie decat de putina atentie pentru a evita astfel de probleme.

Postat in Securitate

Am facut un mic ghid pentru cei care vor sa comande online pe ename.ro: Cum comand? si Cum platesc? Bineinteles, daca nu va descurcati sau va e mai comod, puteti sa ne trimiteti comanda pe email sau telefonic.

Postat in How To