-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Marco González Luengo escribió:
> ¿Y de cazuela les reportaste eso a los de Joomla?
El error es bastante serio; es posible que algunas clases dependan de
esta mala escritura, ergo no es llegar y corregir.
> Una cosa es ver las pifias de algo, gritar y correr; y otra cosa es
> ver la pifia, avisar y proponer solución. :)
Claro, pero ver si se reescriben 10 Mb por solucionar aquello... no es
muy lindo y ya una vez lo plantee y no me pescaron ni en bajada.
Saludos,
- --
Rodrigo Fuentealba
Concepción, Región del Bío-Bío, Chile
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkgv0OsACgkQoqmdUrqLMt3guQCfQTjzSOuunl8Ay5U2E/ky6cAq
ZqwAoIIDAi87Mpu6UnWcbjY/DU5w31ig
=Nhkp
-----END PGP SIGNATURE-----
From [EMAIL PROTECTED] Sun May 18 02:59:57 2008
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Sun May 18 03:00:16 2008
Subject: CMS - Sistemas de =?iso-8859-1?q?gesti=F3n_de_contenidos?=
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL
PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL
PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Baronti escribió:
> No estoy seguro que lo que plantea nuestro amigo es en realidad un problema.
Lo es.
Si quieres, preguntale a Cristian Rodriguez, de esta misma lista acerca
de cual es el comportamiento de PHP cuando se usa var; es una mala
tecnica de programacion.
Ahora si sabes ingles (y te atreves), ask Steffan Esser, quien ve una
capa de seguridad bastante importante en PHP.
Por ultimo, si quieres y tienes tiempo, dictare una charla el 28 de mayo
en DUOC Plaza Oeste sobre Symfony, en la cual explicare algo sobre
buenas y malas tecnicas de programacion (aunque no necesariamente citare
a Joomla, porque no esta en mi scope).
Saludos,
- --
Rodrigo Fuentealba
Concepción, Región del Bío-Bío, Chile
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkgv0+0ACgkQoqmdUrqLMt0LWQCdErRbFJu3ntOplVJ1H8wrO26o
Sx8AmwfOH1+ylpASGwDBj9dbwPjRHAVb
=NCgZ
-----END PGP SIGNATURE-----
From [EMAIL PROTECTED] Sun May 18 03:24:50 2008
From: [EMAIL PROTECTED] (Rodrigo Fuentealba)
Date: Sun May 18 03:25:06 2008
Subject: CMS - Sistemas de =?utf-8?q?gesti=C3=B3n_de_contenidos?=
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL
PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> <[EMAIL
PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Marco González Luengo escribió:
> Puede que hayan muchos caminos para llegar a Roma, pero en materia de
> seguridad, una de las cosas importantes que debes llevar para ese
> camino es dar seguridad.
Eso es cierto.
> En este caso, las variables planteadas son
> fácilmente manipulables, y hasta visibles, por lo que se puede manejar
> la base de datos fácilmente. Es como dejar la caja fuerte cerrada, y
> pegarle en la puerta un post-it con la combinación. :O
El planteamiento es que no es realmente un GRAVE problema de seguridad,
sino una GRAVE falla de concepto. Ergo, prefiero usar otro CMS a usar
Joomla. Dios sabe de esto, y por eso es que mata un gatito blanco cada
vez que usas Joomla.
Si bien concretamente no estoy seguro de que esta falla sea explotable
instalando Joomla "as is", el hecho de que instales un módulo de
terceros que no puedes verificar porque no conoces bien cómo funciona
Joomla internamente puede dejar la crema; y eso es darle una navaja a un
mono...
Joomla no se hace responsable de tus problemas de seguridad si instalas
modulos de terceras personas, y ningun proyecto, de hecho, lo hará. Sin
embargo, cosas como Symfony, Drupal y flyspray se preocupan de que si
viene un módulo pifiado, es ideal que éste no intervenga en las
funciones internas del CMS.
> Ahora, el ejemplo planteado por nuestro amigo tiene la particularidad
> de estar presente en una versión final de un software, lo que si bien
> es un "pequeño bug", es un bug que puede joder miles de cosas...
Claro, arreglar eso probablemente quebrará muchas cosas dentro de Joomla.
> incluyendo datos privados y la sensación de suciedad que te deja el
> saber que has sido hackeado.
Yep. Me contaron que ser violado es horrible; en terminos informaticos,
claro esta.
> Me imagino que por lo menos lanzaron un
> parche, porque si ese hoyo sigue ahí... pues "ouch".
Ouch... eso viene desde hace mil.
> Así, con esto se descarta completamente que esto sea un "pequeño bug".
;-)
- --
Rodrigo Fuentealba
Concepción, Región del Bío-Bío, Chile
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
iEYEARECAAYFAkgv2cIACgkQoqmdUrqLMt0NqwCePvlRHkfc5OAVNePqrV6vCHBm
5+cAoKK42clPhUYdhmmJ/DcTQHo49Ow9
=yV46
-----END PGP SIGNATURE-----
From [EMAIL PROTECTED] Sun May 18 16:35:42 2008
From: [EMAIL PROTECTED] (Carlos Albornoz)
Date: Sun May 18 16:43:15 2008
Subject: problemas al desinstalar gkrellmd
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
Carlos Albornoz escribió:
> hola lista
>
> estoy tratarndo de desinstalar gkrellm, el asunto es ke cuando lo
> instalo tambien instalo gkrellmd, pero al desinstalar ese pakete sale el
> siguiente error
>
> E: gkrellmd: el subproceso pre-removal script devolvió el código de
> salida de error 1
>
> mate el proceso y ejecutar nuevamente la desinstalacion pero me da el
> mismo problema, los demas paketes de gkrellm se desintalaron sin ningun
> problema
>
> el problema ocurre tanto por apt-get remove --purge gkrellmd
> como con synaptic
>
>
> por sierto el proceso tiene como usuario gkrellmd ke no existe en mi
> lista de usuario ni de grupo (a modo de dato rossa)
> alguna sugerencia???
>
> saludos
>
>
hola...
gracias por las respuestas...
bueno les cuento, ya resolvi el asunto.
lo actualizar el paquete a unstable no me funciono me daba el mismo
error, el link ke me vio alvaro salia ke habia ke hacer
dpkg --force-all --purge gkrellmd
pero era lo mismo
como el problema era ke el proceso no crea el archivo .pid
correspondiente, simplemente lo cree a mano con el pid ke me aparecia en
el comando ps -ef y con eso al hacer apt-get remove --purge gkrellmd
lo desinstalo XD
nuevamente gracias por la ayuda
saludos
--
Carlos Albornoz C.
Linux User #360502
http://caralbornozc.blogspot.com
fono: 97864420
From [EMAIL PROTECTED] Sun May 18 14:18:32 2008
From: [EMAIL PROTECTED] (Horst H. von Brand)
Date: Sun May 18 18:12:36 2008
Subject: =?iso-8859-1?q?Re=3A_CMS_-_Sistemas_de_gesti=F3n_de_contenido?=
=?iso-8859-1?q?s?=
In-Reply-To: <[EMAIL PROTECTED]>
References: <[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
<[EMAIL PROTECTED]>
Message-ID: <[EMAIL PROTECTED]>
[Reordenado para eliminar top-posting, tal vez asi algo se entienda...]
Baronti <[EMAIL PROTECTED]> wrote:
> El dÃa 17 de mayo de 2008 20:12, Marco González Luengo
> <[EMAIL PROTECTED]> escribió:
> > El 17/05/08, Rodrigo Fuentealba <[EMAIL PROTECTED]> escribió:
> >> Baronti escribió:
> >>> El dÃa 17 de mayo de 2008 16:57, Rodrigo Fuentealba
> >>> <[EMAIL PROTECTED]> escribió:
> >>
> >>>> Dios mata a un gatito blanco cada vez que usas Joomla. El codigo es
> >>>> horrible.
> >>>
> >>> A ver, señor de los códigos
> >>> podria UD. decir, a qué código se refiere?
> >>
> >>> Joomla Versión 1.0.15, ?
> >>
> >> Yep.
> >>
> >>> Joomla Versión 1.5.x ?
> >>
> >> También.
> >>
> >>> ¿Y cuál es el fundamento de la apreciación?
> >>
> >> De muestra un boton:
> >> Joomla 1.5 fue escrito para PHP 5; sin embargo en el fichero
> >> libraries/joomla/database/database.php me encuentro con una clase que
> >> declara sus atributos como var $atributo.
> >>
> >> ¿Que clase de programador deja a merced del lenguaje el tratamiento de
> >> los atributos de sus clases? Cualquier estudiante de informatica chileno
> >> sabe que las clases importantes, tales como las que se usan en
> >> conexiones a bases de datos deben usar funciones para poblar sus atributos.
> >> <?php
> >>
> >> class imbecil
> >> {
> >> var $user;
> >> var $pass;
> >> var $host;
> >> var $base;
> >> }
> >>
> >> ?>
> >>
> >> es especialmente estupida; cualquier persona puede extender la clase y
> >> usarla en un modulo para sus propios usos. quien la controla?
> >>
> >> <?php
> >>
> >> private $user;
> >> private $pass;
> >> private $host;
> >> private $base;
> >>
> >> function setUser($user) { validacion de $user; asignacion }
> >> function setPass($pass) { validacion de $pass; asignacion }
> >> function setHost($host) { validacion de $host; asignacion }
> >> function setBase($base) { validacion de $base; asignacion }
> >>
> >> ?>
> >>
> >> Esta clase es mucho menos vulnerable a estupideces del tipo "uy, puse un
> >> modulo que me extendio la clase y me hackearon".
> >>
> >> Los tipos de Joomla no tienen idea de PHP.
> No estoy seguro que lo que plantea nuestro amigo es en realidad un problema.
De lo poco que entiendo de PHP, es /muy/ mala practica programar asi.
[...]
> No creo que Joomla este MAS expuesto a la inseguridad que otros
Por esto, tal vez directamenrte no. Pero si algo me ha ensen~ado la
experiencia (tengo canas para demostrarlo!) es que si una parte del codigo
es fea, desordenada, poco cuidadosa, lo mas probable es que el resto sea
igual... y los "problemas de seguridad" al fin del dia son *errores* que
cometio el programador. Por descuido, por desconocimiento, ... da lo
mismo. Y codigo feo o mal hecho es desagradable de trabajar, asi que
tamopoco atrae particularmente a gente que pueda aportar (lo que implica
revisar el codigo para "data mining" o ver donde/como introducir
modificaciones), asi que seran pocos quienes lo analicen criticamente... y
los problemas (de seguridad y otros) permaneceran.
--
Dr. Horst H. von Brand User #22616 counter.li.org
Departamento de Informatica Fono: +56 32 2654431
Universidad Tecnica Federico Santa Maria +56 32 2654239
Casilla 110-V, Valparaiso, Chile Fax: +56 32 2797513
