- Messages : 6984
- Remerciements reçus 967
Chat in tempo reale di Waterwind
- ita4012
- Auteur du sujet
- Hors Ligne
- Modérateur
Avremmo la possibilità di inserire foto e video facilmente, e notifiche per mail a tutti gli interessati (che hanno sottoscritto la categoria di discussione) quando viene postato un nuovo messaggio. Inoltre, si avrebbe l'utilizzo di una estensione e di uno script in meno (sito più veloce).
Metterei un modulo con solo questa categoria di discussione nella pagina messenger, con un look, tutto sommato, abbastanza simile a quello dell'attuale chat.
Ciao. Fabio
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Connexion ou Créer un compte pour participer à la conversation.
- Daniele
- Visiteur
ita4012 écrit:
Daniele écrit: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose
Azz, ne sai molto più di me. Che vuol dire?
Lavoro sui db ...
In soldoni i software non aggiornati e che non hanno alle spalle una buona comunità, sono più soggetti a delle vulnerabilità (non risolte). Persino la miglior crew di programmatori può scrivere codice bucabile (per disattenzione, per sottovalutazione, per non aver fatto dei test units approfonditi e per molte altre innumerevoli ragioni).
In pratica un exploit è, per farla semplice, spesso una stringa alfanumerica, altre volte un codice più strutturato, in grado di fare danni lato server come ad esempio una SQL Injection cioè un attacco che può resettare, eliminare, variare i dati contenuti nel database. Il problema è che gli exploits girano liberamente sul web e un bimbominchia smanettone può iniettarla nel tuo sistema con un copia incolla. Di qui l'importanza di tenere il software aggiornato e utilizzare solo lo stretto necessario di software di terze parti (estensioni e componenti) che garantisca un aggiornamento costante nel tempo. Spesso gli hosting aggirano il problema di alcune vulnerabilità (però non sempre è possibile) con degli stratagemmi che sono tipo la riparazione casalinga che io potrei fare alla mia tavola da windsurf.
Esempio basico: joomla gira in PHP (ma il linguaggio è relativo, solo che il PHP si presta a più vulnerabilità perchè più diffuso e molti sono i programmatori della domenica che fanno cose a c****) e gli indirizzi, in particolare quelli con querystring come questo:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam&searchdate=all&childforums=1
si prestano ad essere iniettati, con più facilità (per i bimbominchia), con degli exploits (codice malevole) da copiare e incollare. Per esempio al posto di pradelafam potrei scrivere:
www.waterwind.it/new/it/forum-it/cerca.html?query=pradelafam' UNION SELECT 1, username, password FROM users WHERE 'x'='x&searchdate=all&childforums=1
L'esempio appena fatto non crea nessun problema in quanto è un attacco diretto a Joomla il quale di per se è ben protetto, ma supponi che l'attacco invece che al core di Joomla (il quale può avere delle vulnerabilità, tanto è vero che ad ogni aggiornamento non si introducono solo migliorie ma anche la risoluzione a eventuali vulnerabilità) venga fatto ad un componente (non aggiornato e bucabile)?
Quello che succede è che si potrebbe distruggere o alterare il database (di solito si punta ad alterare i records inserendo degli script javascript (nelle varie pagine, cioè in più records) che possano creare problemi ai visitatori (con sistemi e browser non aggiornati, non sono pochi) sfruttando le potenzialità del browser persino per fini di cryptominer o per rubare sessioni e credenziali eccetera eccetera
Ecco perchè ti ho detto: visto che quel componente non è aggiornato e potrebbe essere vulnerabile, se lo usi cerca di metterlo su un database separato (intendo fisicamente anche come macchina, ma va bene anche su macchina virtuale differente) da quello del sito, di modo che il sito non venga compromesso.
In conclusione: è meglio sempre affidarsi a soluzioni aggiornate con continuità, magari non sfavillanti, piuttosto che quelle sfavillanti e non aggiornate. Io ritengo che al giorno d'oggi un software debba essere aggiornato con una certa frequenza.
Esempio ti fidi di più di un produttore che ha una storia nella costruzione di tavole da windsurf e che ogni anno rilascia nuovi modelli o ti fidi di più della nuovissima startup che fa delle tavole con un design fuor di testa, con una grafica mai vista e che è solo da un anno che fa tavole da windsurf il cui corebusiness precedente erano le tavole e le sedie da salotto?
PS: ci sono tantissimi modi per bucare un sito, non solo passando dal database, ma anche per esempio caricando una foto (ma che una foto magari non è) eccetera eccetera
Connexion ou Créer un compte pour participer à la conversation.
- ita4012
- Auteur du sujet
- Hors Ligne
- Modérateur
- Messages : 6984
- Remerciements reçus 967
Daniele écrit: Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste cose
Azz, ne sai molto più di me. Che vuol dire?
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Connexion ou Créer un compte pour participer à la conversation.
- Daniele
- Visiteur
www.waterwind.it/new/it/forum/waterwind-....html#jjshoutboxform
Connexion ou Créer un compte pour participer à la conversation.
- Daniele
- Visiteur
ita4012 écrit: Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.
Si potresti sintetizzarlo e potresti ribadire il divieto nella textbox sostituendo il placeholder da così:
"please enter a message"
a in italiano (visto che la usano in prevalenza gli italiani) un qualcosa del tipo:
"inserisci solo informazioni vento/onde/meteo del tuo spot"[/post]
Vedo nei sorgenti che è vecchia di due anni, spero non ci siano in giro degli exploits ... nel dubbio sposterei le tabelle dello script in un db a se stante su macchina diversa o virtuale, se puoi ... io sono un po' paranoico su queste coseita4012 écrit: Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat
Connexion ou Créer un compte pour participer à la conversation.
- ita4012
- Auteur du sujet
- Hors Ligne
- Modérateur
- Messages : 6984
- Remerciements reçus 967
Daniele écrit:
1) si certo, è ugualmente salvabile, intendevo dire che senza il disclaimer da l'idea, parlo di percezione, di una SPA (single page application)
2) si il disagio è contenuto, inoltre ho notato anch'io, nonostante il disclaimer, che chiedono consigli ...
3) shoutbox anche se tecnicamente molto inferiore a Disqus, per il fatto che 1) non richiede registrazione o account social 2) vedo non ha contenuti traccianti come Disqus 3) shoutbox se è onsite (credo di si ma non lo so) non soffrirebbe di eventuali down o latenza di servizi esterni nonostante asincroni
Ciao!
Per il disclaimer, posso valutare di sintetizzarlo ulteriormente, ma non lo toglierei completamente.
Le considerazioni di cui al punto 3) sono molto utili, ed unite anche a quelle di Alessandro, mi convincono a non utilizzare Disqus. Avrei trovato questa estensione alternativa, che potete testare anche voi sul loro sito demo: thekrotek.com/chat
Ciao. Fabio
Sostenete Waterwind: diventate Supporter! Sustain Waterwind: become Supporters!
Share your passion!
Connexion ou Créer un compte pour participer à la conversation.