Che annuncio shock....... Io per precauzione ho deciso di aumentare la frequenza dei backup... Fortunatamente dati sensibili/segreti nel mio sito non ne tengo Male che vada rimetterò in piedi il sito dai backups e azzererò tutte le password (dopo aver installato la patch).
faber Il giorno 02 febbraio 2011 14:00, Luca Fabbri <l...@keul.it> ha scritto: > 2011/2/2 Yuri <y...@alfa.it>: > >>> non ho ancora visto passare questo in lista: > >>> http://plone.org/products/plone/security/advisories/cve-2011-0720 > >>> aime', non capita molto spesso che si venga allarmati in anticipo di > una > >>> patch > >>> di sicurezza per Plone, e penso sia bene essere tutti avvisati. > >>> di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema > >>> che in anni di onorato servizio ha fatto veramente pochissimi di questi > >>> scherzi :) > >>> (si tende a darlo per scontato, ma plone e' un servizio web, piuttosto > >>> esposto a questo > >>> tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo) > >>> saluti > >>> > >> > >> Tra parentesi, uno dei due possibili workaround proposti secondo me > >> non vale molto in tantissimi casi. Mettere il database in read-only > >> non significa che un utente non possa andare a vedere contenuti > >> privati e riservati. > >> > >> > > > > però potrebbe non far funzionare l'exploit, che probabilmente ha bisogno > di > > scrivere. cookie -> scrivo -> utilizzo quello che ho scritto per accedere > al > > pannello di controllo e altri due punti. > > Ho chiesto nella chat di Plone e mi hanno confermato che basta uno dei > due metodi proposti come workaround. Il read-only mode non permetterà > agli utenti di maligni di vedere contenuti riservati, come invece > temevo. > > L'aria che tira però è fondamentalmente questa: quasi tutti dicono che > faranno prima ad intervenire direttamente sui loro siti non appena il > fix viene rilasciato. > > -- > -- luca > _______________________________________________ > Plone-IT mailing list > Plone-IT@lists.plone.org > https://lists.plone.org/mailman/listinfo/plone-it > http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html > -- Fabrizio -------------------- "Life is what happens to you while you're busy making other plans" - J. Lennon “If you think education is expensive, try ignorance” - D. Bok
_______________________________________________ Plone-IT mailing list Plone-IT@lists.plone.org https://lists.plone.org/mailman/listinfo/plone-it http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
