uhm...

http://edetools.blogspot.com/2009/10/plone-zope-ancora-problemi-per-siti-it.html 



_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

* martedì 20 ottobre 2009, alle 09:31, Yuri scrive:
 
> http://edetools.blogspot.com/2009/10/plone-zope-ancora-problemi-per-siti-it.html 

Ad una prima vista sembra semplicemente che non abbiano nessun controllo
degli accessi, credo che un semplice captcha sarebbe bastato. Non sembra
affatto una vulnerabilita'.

Ma posso sbagliarmi, ho dato un'occhiata veloce all'articolo.

Ciao.

--
| Francesco Benincasa - http://ciccio2000.altervista.org/
| EcoSCIENZE Societa' Cooperativa - http://www.ecoscienze.org/
| Ingegneria Senza Frontiere Bologna - http://isf.ing.unibo.it/
| Bologna Free Software Forum - http://www.bfsf.it/
****
Durante la Grande Depressione del '22, in Central Park i piccioni
portavano le briciole di pane ai passanti.
                -- Groucho Marx

_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Francesco Benincasa ha scritto:
È così, infatti. Plone di default fa iscrivere chiunque.

_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

* martedì 20 ottobre 2009, alle 09:36, Francesco Benincasa scrive:
> * martedì 20 ottobre 2009, alle 09:31, Yuri scrive:
>  
> > http://edetools.blogspot.com/2009/10/plone-zope-ancora-problemi-per-siti-it.html 
>
> Ad una prima vista sembra semplicemente che non abbiano nessun controllo
> degli accessi, credo che un semplice captcha sarebbe bastato. Non sembra
> affatto una vulnerabilita'.

Intendo dire non controllo degli accessi, scusate (a quest'ora di mattina non
connetto ancora bene), ma delle iscrizioni al portale. Se si lascia
l'iscrizione libera, senza captcha e senza approvazione preventiva di un
manager, queste cose possono succedere, come si puo' facilmente immaginare.
Parlo per esperienza :-)

My2cents.

--
| Francesco Benincasa - http://ciccio2000.altervista.org/
| EcoSCIENZE Societa' Cooperativa - http://www.ecoscienze.org/
| Ingegneria Senza Frontiere Bologna - http://isf.ing.unibo.it/
| Bologna Free Software Forum - http://www.bfsf.it/
****
La violenza e' il rifugio degli incompetenti.
                -- [hidden email] (Leanne Phillips)

_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Si, il sito dice "falsi utenti" , ma secondo me è ambiguo ;
sarebbe più corretto forse
"utenti creati  per scopi non leciti da un agente non autorizzato
dall'amministratore del sistema" -- wow

Sempre che gli utenti segnalati non siano effettivamente utenti validi -- chi può dirlo ?


--
luigi


_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Francesco Benincasa ha scritto:
Diciamo che non esistono molte alternative, non vedo prodotti "con
approvazione preventiva di un manager" :)

_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

* martedì 20 ottobre 2009, alle 09:53, Yuri scrive:
>>
>> Intendo dire non controllo degli accessi, scusate (a quest'ora di mattina non
>> connetto ancora bene), ma delle iscrizioni al portale. Se si lascia
>> l'iscrizione libera, senza captcha e senza approvazione preventiva di un
>> manager, queste cose possono succedere, come si puo' facilmente immaginare.
>> Parlo per esperienza :-)
>
> Diciamo che non esistono molte alternative, non vedo prodotti "con  
> approvazione preventiva di un manager" :)

Non c'e' CMFMember o Membrane (o qualcosa del genere)? Io ho messo su un
workflow di approvazione "fatto a mano" molto tempo fa quindi non ho usato questi
prodotti, ma ne ho sentito parlare.

Ciao ciao.

--
| Francesco Benincasa - http://ciccio2000.altervista.org/
| EcoSCIENZE Societa' Cooperativa - http://www.ecoscienze.org/
| Ingegneria Senza Frontiere Bologna - http://isf.ing.unibo.it/
| Bologna Free Software Forum - http://www.bfsf.it/
****
La giustizia militare sta alla giustizia come la musica militare sta
alla musica.
                -- Groucho Marx

_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

On Tuesday 20 October 2009, Yuri wrote: Se proprio si ha un numero di iscrizioni elevato si possono mettere membrane e
remember (che non sono proprio da tutti) e comunque richiedono un lavoro
aggiuntivo di approvazione. Nei casi più semplici basta disattivare la join,
la creazione della home e sostituire la join con una form che invia una mail
di richiesta al gestore del portale.
--
Riccardo Lemmi                           Email:   [hidden email]
Reflab S.r.l. - Plone Design, Development and Consulting
Phone: +39 349 4620820                         http://www.reflab.it


_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Francesco Benincasa ha scritto:
workflow di approvazione? :-/

CMFMember o Membrane non sono propriamente moduli "base" o che danno una
semplice funzionalità.

> Ciao ciao.
>
>  


_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Riccardo Lemmi ha scritto: E crea l'utente senza "poteri", in modo che possa essere cancellato.
Nella mail ci dovrebbe essere un link diretto alla cancellazione
dell'utente. Stile mailing list, insomma.

 È un peccato che non abbiano mai migliorato questa parte, anche se ho
visto questa PLIP per Plone 4.0:

http://dev.plone.org/plone/ticket/9310

=================

* Merge the used branches:

    * merge https://svn.plone.org/svn/plone/Plone/branches/plip9310-flexible-member-registration/ 
      into https://svn.plone.org/svn/plone/Plone/branches/4.0/
      (r30489)
       
      A merge in two parts, [28069:28274] and [28275:30488], because r28275 was a merge of
      the current 4.0 branch unwise back into the plip-branch. (Unwise, in retrospect.)
       
    * merge https://svn.plone.org/svn/plone/plone.app.users/branches/plip9310-flexible-member-registration 
        into https://svn.plone.org/svn/plone/plone.app.users/trunk/
      (r30468)
       
      Also done:
     
          * use z3c.autoinclude (r30493)
         
          * modify rendering so it looks like other user/group configlets (r30494)
         
          * fix import of PloneMessageFactory (r30492)
       
    * merge https://svn.plone.org/svn/plone/plone.app.controlpanel/branches/plip9310-flexible-member-registration 
        into https://svn.plone.org/svn/plone/plone.app.controlpanel/trunk/
       
      (Merge not needed (trunk has 'utils' module), so not done.)
       
    * merge https://svn.plone.org/svn/plone/plone.app.form/branches/plip9310-flexible-member-registration/ 
        into https://svn.plone.org/svn/plone/plone.app.form/trunk/
      (r30463)
       
      (No real merge, just added '<metal:block define-slot="authenticator">' to pageform.pt.)

* Merge buildout:

    * Added plone.app.users to sources.cfg (r30490)
   
    * Added plone.app.users to Plone 4.0's egg dependencies (r30491)
   
    * Made sure buildout uses trunk version of plone.app.form

* Checkout and run new version of buildout

=====================



* Delete PLIP9310-branches (r30503, r30504, r30505, r30506)



> ------------------------------------------------------------------------
>
> _______________________________________________
> Plone-IT mailing list
> [hidden email]
> http://lists.plone.org/mailman/listinfo/plone-it
> http://www.nabble.com/Plone---Italy-f21728.html



_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Visto che non pensavo di scatenare un interesse simile , avendo probabilmente scambiato per vulnerabilita', una serie di accessi come utente  non autorizzato a due siti plone , e considerato anche che plone non lo uso, e non ne conosco le varie possibilita' e particolarita' di gestione, sarei comunque interessato a conoscere come ci si possa registrare ed attivare una serie di pagine con link a falsi motori di ricerca,come utente ai due siti, dato che in entrami i casi  non mi pare esista un form di registrazione ... .... Quando si scrive di captcha e login vi riferite forse ad un accesso  eseguito inviando qualche comando diretto al server e non da pagina web ??

Per completezza riporto le 2 URL complete incriminate...

sito 1
http://www.comune.cene.bg.it/Members/Insurance/renters-insurance-davis-california/

sito 2
http://intranet.comune.argenta.fe.it/PoloScolastico/Members/Rosetta/rosetta-stone-discovery-site


Saluti

Edgar from Bangkok

Yuri-11 wrote:

Francesco Benincasa ha scritto:
> * martedì 20 ottobre 2009, alle 09:31, Yuri scrive:
>  
>  
>> http://edetools.blogspot.com/2009/10/plone-zope-ancora-problemi-per-siti-it.html 
>>    
>
> Ad una prima vista sembra semplicemente che non abbiano nessun controllo
> degli accessi, credo che un semplice captcha sarebbe bastato. Non sembra
> affatto una vulnerabilita'.
>
> Ma posso sbagliarmi, ho dato un'occhiata veloce all'articolo.
>  

È così, infatti. Plone di default fa iscrivere chiunque.

_______________________________________________
Plone-IT mailing list
Plone-IT@lists.plone.org
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Edgar ha scritto:
> Visto che non pensavo di scatenare un interesse simile ,

 Secondo me hai fatto bene, perché spesso si lascia quell'impostazione
che non va bene.
 Ci si riferisce ad elementi che sono interpretabili solo da un essere
umano e non da bot automatici. È vero che manualmente ci si può ancora
iscrivere.



_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

--
luigi


_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Grazie per la risposta

Ancora una domanda ....

Nei due casi vsiti sopra di cui allego URL  Sito1 e sito 2  non vedo possibilita' di iscrizione ...almeno dalle pagine che ho visionato....

A parte un form che su questi siti non vedo, come avrebbe fatto l'Utente ROSETTA  (sito 2 ) ad iscriversi ???? L'unica possibilita' che vedo e' che abbiano rimosso la pagina di login ?prima presente ?? od esiste un altro sitema che non conosco  per registrarsi ??

Grazie

Edgar

Yuri-11 wrote:

 
 Ci si riferisce ad elementi che sono interpretabili solo da un essere
umano e non da bot automatici. È vero che manualmente ci si può ancora
iscrivere.



_______________________________________________
Plone-IT mailing list
Plone-IT@lists.plone.org
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

Io a domande del genere direi di non rispondere :p
Chi programma sa che non deve tenere attiva la registrazione se non  
necessario.

massi

Il giorno 20/ott/2009, alle ore 17.42, Edgar ha scritto:



_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html

On Tuesday 20 October 2009, Edgar wrote:
> Visto che non pensavo di scatenare un interesse simile , avendo
> probabilmente scambiato per vulnerabilita', una serie di accessi come
> utente  non autorizzato a due siti plone , e considerato anche che plone
> non lo uso, e non ne conosco le varie possibilita' e particolarita' di
> gestione, sarei comunque interessato a conoscere come ci si possa
> registrare ed attivare una serie di pagine con link a falsi motori di
> ricerca,come utente ai due siti, dato che in entrami i casi  non mi pare
> esista un form di registrazione ...

Ciao,
hanno tolto il link a 'join_form' ma non hanno tolto il permesso 'add portal
member' all'utente anonimo, quindi chiamando la form dal browser si può
ancora creare un utente.
Come ulteriore errore di configurazione non hanno disattivato la creazione
della home, unico posto in cui un utente con il solo ruolo Member possa
creare dei contenuti.

Il motivo per cui i contenuti sono visibili è dovuto al fatto che
l'amministratore del sito ha alterato il workflow standard di quella versione
(mi pare la 2.5) o ha dato il permesso 'review portal content' agli utenti
con ruolo Member (o Owner) in modo che possano pubblicarsi i contenuti, per
default in quella versione i contenuti sono visibili ma non ricercabili cioè
per un utente anonimo sapendo la url sono in grado di vederli ma non facendo
una ricerca.

> .... Quando si scrive di captcha e
> login vi riferite forse ad un accesso eseguito inviando qualche comando
> diretto al server e non da pagina web ??

Esiste un prodotto che modifica la join_form aggiungendo un campo captcha (una
immagine con dei numeri o una frase che va copiato nella form) in modo da
evitare che un bot possa crearsi in automatico una serie di account, in ogni
caso deve passare via web.

Nota che zope/plone non sono soggetti ad attacchi di tipo sql injection. Ti
rimando qui per ulteriori info:

 http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zodb
 http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zope-is-secure
--
Riccardo Lemmi                           Email:   [hidden email]
Reflab S.r.l. - Plone Design, Development and Consulting
Phone: +39 349 4620820                         http://www.reflab.it


_______________________________________________
Plone-IT mailing list
[hidden email]
http://lists.plone.org/mailman/listinfo/plone-it
http://www.nabble.com/Plone---Italy-f21728.html