edit [SICUREZZA] Grave falla sistema accesso admin + FIX

[marcus]

edit by hOZONE

il seguente post (vedi sotto), ad opera dell'utente "marcus", è stato giudicato non idoneo dall'amministratore, poichè non è stata data la possibilità alla "controparte" citata (bass, enplim, simona67), di ribattere con la stessa visibilità: infatti questo post era impostato come "annuncio", e "bloccato" alle risposte.

in seguito a quanto esposto sopra, e visto che "L'operato dei moderatori è insindacabile e può essere giudicato solo dall'amministratore del sito" (come da regolamento).
l'amministraore (hOZONE) procede a:
1) declinare il ruolo di moderazione all'utente marcus
2) riaprire il seguente post, così da permettere alle parti interessate di eventualmente chiarire la segnalazione con la stessa visibilità data a questo messaggio

ricordo che (come da regolamento):
"...Da parte dei moderatori e dell'amministrazione del forum vi è sempre piena disponibilità al dialogo, in forma privata (via mail o messaggi privati) per cercare di appianare possibili rimostranze. Cercare il dialogo è in ogni caso la strada preferibile per appianare discordie o, quantomeno, meglio capire il perchè di interventi da parte dei moderatori..."

note:
. prego di scrivere in questo post solo agli utenti interessati
. in rispetto al regolamento chiunque si senta in parere diverso rispetto alla decisione dell'amministratore è pregato di contattarmi via PM
. prego chiunque voglia rispondere in questo post di rispettare il regolamento del forum

l'amministratore:
hOZONE

nota bis:
attualmente sono in cina, sarò in volo domani per la francia e credo riuscirò a tornare in italia per lunedì, quindi non so se potrò di qui a qualche ora essere attivo per le rispote, prego vivamente quindi gli utenti di mantenere toni pacati e seguire le regole del forum.


Segnalo un grave problema di sicurezza già sollevato sul sito ufficiale oscommerce.com ma passato inosservato su i forum italiani.

Si tratta di una falla estremamente grave in quanto consente di acquisire accesso amminstrativo al backoffice di osC.

Ne sono potenzialmente affetti tutti gli shop che usano la contribution HTML WYSIWYG Editor for Product Desc con multi images divenuta (purtroppo) quasi uno standard, e non fanno uso del file .htaccess per la protezione admin.

Molti pacchetti largamente diffusi sono affetti da questo bug:

- Pacchetto osct free di Bass
- Pacchetto osct professional della enplin versione vecchia con editor html area
- Vecchio Totalpack by simona67 e GDI PRO

E' consigliabile per tutti gli utenti di questi pacchetti e di tutti i sistemi che usano htmlarea aggiornare il loro shop.
In allegato il fix da applicare.

Marcus
http://www.oscommercedev.com

[enplin]

Enplin.it
Rassicuriamo tutta la nostra clientela enplin che le nostre VERSIONI OSCT rilasciate dalla ENPLIN.IT ( 1.5 - 1.7 e imminente uscita della 2.0 ) NON PRESENTANO questo bug, in quanto era gia' stato risolto in precedenza.

Infine Ribadiamo che prima di scrivere determinati post (vedi quest sopra di Marcus) è opportuno contattarci onde evitare un inutile allarmismo.

EMAIL: info @ enplin.it

ringrazio HOZONE per averci dato la possibilità di replicare a queste diffamazioni da parte di marcus

Cordiali Saluti
Marco della Enplin

[marcus]

A me risulta che la prima versione 1.5 abbia quel problema

Faccio inoltre notare che esistono MIGLIAIA di installazioni del vecchio pacchetto osct free scaricabile dal vostro sito/forum che sono affette da questo bug.

Francamente ritengo DOVEROSO avvertire la comunità di un bug così grave.


Come mai non avete mai avvisato gli utenti di questo bug nella versione free visto che come scrive ne eravate a conoscenza?

Le conclusioni sulla vostra competenza le lascio trarre a chi legge

Saluti
Marcus

[hsg26]

ho cancellato l'altro argomento...

e riprendo qui:

Mi sembra che marcus sia stato chiaro parlando di html area come editor html. Le vostre versioni recenti hanno tinymce, di conseguenza non sono toccate, mentre la prima no. O sbaglio?
Quindi che male c'è?

[hozone]

edit hOZONE

impostato post come "normale", non più annuncio

[Simona67]

Sono ad assicurare tutta la clientela GDI Hosting che i nostri GDI SHOP sulla versione 5.0 è stato cambiato l'editor già da più di un anno e su tutte le vecchie versione era già stato fixato questo bug.

Infine Ribadisco che prima di scrivere determinati post (vedi quest sopra di Marcus) è opportuno contattarmi onde evitare un inutile allarmismo.

EMAIL: info@gdihosting.eu

ringrazio HOZONE per avermi dato la possibilità di repplicare a queste diffamazioni da parte di marcus.

Cordiali Saluti.
Simona

[hsg26]

diffamazioni? io la chiamo prudenza. Soprattutto pensando che questi e-commerce hanno dietro un'attività aziendale.

Bastava senza inalberarsi troppo, venire qui e dire che dalla versione X.0 era tutto apposto e che le precedenti erano state patchate.

Joomla, Drupal, Magento, Typo, Wordpress e molti altri, quando un baco è portato alla luce ringraziano, avvertono la comunità, spiegano quali versioni sono affette e quali correttivi sono già stati presi e/o pianificati.

Altri parlano di diffamazione...

Poi questa è una mia personalissima opinione.