Sito bloccato da Hosting causa "pericolosità" 1.5.25

[michael07]

Ciao a tutti,
vi chiedo un parere per una questione importante. Ho realizzato tre anni fa circa un sito per una struttura alberghiera, basato su joomla 1.5 e su pochi componenti aggiuntivi. La prenotazione, infatti, è gestita tramite un sito esterno.


Due giorni fa, il titolare del servizio hosting, mi ha invitato a cambiare aria o aggiornare all'istante la versione 1.5.25 all'ultima release della 2.5. Capirete che, sopratutto a causa del template personalizzato, abbiamo chiesto alcuni giorni per:


1 - portare a compimento il trasferimento
2 - eventualmente restare su quell'hosting aggiornando il sito e il template


Tuttavia nel pomeriggio di ieri è stato completamente sospeso l'account, le mail e tutto il resto, con questa giustificazione: il sito non soddisfa i requisiti di sicurezza e viola le norme contrattuali.


In serata siamo giunti a un compromesso. Rimozione del CMS, scaricato in locale, richiesta di trasferimento e pagina statica che avvisa i clienti del disservizio. Il dominio è un punto com e spero si risolva tutto in pochi giorni.


Volevo chiedervi se è legale una cosa di questo tipo e se è possibile valutare joomla 1.5.25 come piattaforma a rischio, tanto da invalidare un contratto, rinnovato tra l'altro circa 50 giorni fa.


Vi ringrazio in anticipo.

[56francesco]

per farlo certamente si, il contratto che hai firmato lo scrivono loro stessi e le clausole vessarorie pure..
per come sono fatto io cambierei subito perchè un server che potrebbe essere messo fuori uso da una fesseria simile e lo scrive pure non rientra nei miei canoni di sicurezza del server..
e ti hanno pure bloccato? madai..

[michael07]

Si Francesco, tutto bloccato, senza contare grida e parole da censura (al telefono) solo per aver chiesto di attendere i giorni necessari al trasferimento.


La risposta è stata "in cinque giorni rischio troppo", unita a invettive contro i webmaster e gli utilizzatori di CMS...!




Grazie della risposta Francesco, non mi resta che attendere quindi i tempi del trasferimento!

[maicolstaip]

Cambia servizio di hosting.
Ciao!

[mau_develop]

il sito non soddisfa i requisiti di sicurezza e viola le norme contrattuali.
-------------------------------------------------------------------------------------------------
...finalmente hosting seri!

M.

[michael07]

...finalmente hosting seri!

M.

Per definire serio un hosting e il suo titolare direi che urla, parolacce, invettive non debbano far parte della comunicazione aziendale.
In quel caso non si parla di contratto, ma di educazione e rispetto.

[Npaquito]

Hola

Io mi accodo, cambia hosting

[luca7761]

il sito non soddisfa i requisiti di sicurezza e viola le norme contrattuali.
-------------------------------------------------------------------------------------------------
...finalmente hosting seri!

M.

Vorrei approfondire la tua risposta! Tu, dunque, ritieni che la versione 1.5.25 non sia sicura, o mi sbaglio? Al momento la versione 1.5 e' ancora supportata! Anche il sito www.joomla.it utilizza questa versione!

[maicolstaip]

Dai ragazzi, mau era spiritoso.
La prossima volta sarà obbligato a mettere un sacco di faccine
 

[mau_develop]

sarei scemo a ritenere la 1.5.25 non sicura... la uso
la ritengo molto più sicura della 2.5 ma non la ritengo migliore.
Le vulnerabilità incominciano ad uscire sulla 2.5 ma solamente perchè le precedenti versioni non ti lasciavano nemmeno il tempo di installarle che avanzavano
Inoltre conosco l'esploit e pur essendo estremamente critico non era così banale da sfruttare (nemmeno difficilissimo)... e poi se non porta a nulla una sqlinj può solo rendere pubblico un db ma non rovina nulla e se la password è un minimo seria non si riesce nemmeno ad ownare (gli esploit sqlini sono solo in "lettura")....
Credo che alla fine  sia una scelta molto personale se avanzare o no, entrambe hanno pro e contro.

Poi veniamo alla mia risposta, così tolgo tutti dai dubbi... semplicemente non credo che un hoster faccia discorsi del genere a meno che qualcuno chiami hosting il "trafficone" che compra due pc e li mette in cantina...
Non sto nemmeno dando del bugiardo a chi scrive.... il problema è che secondo me vi siete talmente insultati che il problema non è più Joomla.

Anche perchè potevi benissimo linkargli le ultime vulnerablità della 2.5 e l'ultima della 1.5 ...non sono solo su joomla.org ma anche in numerosi siti di sicurezza, si sarebbe reso conto da solo delle caxate che dice... se le dice...

M.

[luca7761]

sarei scemo a ritenere la 1.5.25 non sicura... la uso
la ritengo molto più sicura della 2.5 ma non la ritengo migliore.
Le vulnerabilità incominciano ad uscire sulla 2.5 ma solamente perchè le precedenti versioni non ti lasciavano nemmeno il tempo di installarle che avanzavano
Inoltre conosco l'esploit e pur essendo estremamente critico non era così banale da sfruttare (nemmeno difficilissimo)... e poi se non porta a nulla una sqlinj può solo rendere pubblico un db ma non rovina nulla e se la password è un minimo seria non si riesce nemmeno ad ownare (gli esploit sqlini sono solo in "lettura")....
Credo che alla fine  sia una scelta molto personale se avanzare o no, entrambe hanno pro e contro.

Poi veniamo alla mia risposta, così tolgo tutti dai dubbi... semplicemente non credo che un hoster faccia discorsi del genere a meno che qualcuno chiami hosting il "trafficone" che compra due pc e li mette in cantina...
Non sto nemmeno dando del bugiardo a chi scrive.... il problema è che secondo me vi siete talmente insultati che il problema non è più Joomla.

Anche perchè potevi benissimo linkargli le ultime vulnerablità della 2.5 e l'ultima della 1.5 ...non sono solo su joomla.org ma anche in numerosi siti di sicurezza, si sarebbe reso conto da solo delle caxate che dice... se le dice...

M.

Grazie della risposta! CHIARISSIMO! Grazie di nuovo.....  

[mau_develop]

la ritengo molto più sicura della 2.5 ma non la ritengo migliore.
---------------------------------------------------------------------------------------
mi hai quotato tu ... mi quoto anch'io...

volevo solo specificare che quel "molto più sicura" non deriva da nessuna conoscenza ma da un semplice calcolo probabilistico... e abbastanza ovvio...

se dovessi esprimere un parere più "tecnico" ti direi esattamente l'opposto, o meglio:
allo stato attuale non c'è motivo di dire una + una - poichè per entrambe non vi è nessuna vulnerabilità nota e, 
inoltre per la correttezza del codice, ora c'è veramente un core... prima aveva i le pompette esterne e questo è presupposto di maggior controllo e quindi maggior sicurezza.

... solo che l'errore capita sempre.. la variabile che non ti accorgi di non aver filtrato correttamente, ... perchè è di questo che si è trattato... e poi pensa anche che come per qualsiasi cms quel "filtrato correttamente" non è una regola così identica sempre, se vuoi fartene un idea prova a guardare quanti modi ci sono per evadere filtri xss
http://ha.ckers.org/xss.html
Non è così semplice scrivere codice sicuro e non sei per forza scemo se sbagli, hai semplicemente trovato uno che ha visto una cosa che tu non sei stato capace di vedere...
...la bicicletta ce l'hanno tutti e tutte le biciclette hanno una forcella ... ma solo Duchamp (credo ) l'ha messa su uno sgabello ed è divetata un'opera d'arte... tu, gli altri ed io non siamo stati capaci di vederla così... per questo l'artista è lui
Uno non ci fa caso la usa e basta, l'altro per chissà quale droga ci pensa ma non lo fa, l'altro per i suoi schemi mentali la ritiene assurda, l'alto non la saprebbe fare....

...c'è sempre qualcuno con ..."visioni più ampie" ma no è un male..è un bene!
Il bimbo che si ammala è un bene, è l'anziano che si ammala il problema .. e le genetiche si rinforzano.

Poi pensa alla sfida di joomla ma anche di qualunque opensource... tutto pubblico e visibile... sintomo di forza non di debolezza, se molti socialnetwork rendessero pubblico il codice non starebbero in piedi 2 minuti... devi perdere un sacco di tempo a capire come ragionano da come ti rispondono... immaginare che caxo avrà fatto... e se avrà fatto... ma vuoi vedre che per farlo non ha pensato... quì vedi tutto!

e comunque ancora, e questo vale sia per l'una che per l'altra versione, le patch sono sempre state rese pubbliche prima dell'esploit quindi se la gente non aggiorna... non puoi dire joomla è vulnerabile....
se vuoi fare una scommessa, lascia che i tool si aggiornino con le ultime due o tre poi vedi se non compaiono i post ..."mi hanno bucato il sito cosa devo fare?"
poi vedi un post due tre e uno che idea si fa?
... io ... che ci siano persone che è più facile metterglielo lì che metterglielo là

M.

[luca7761]

Poi pensa alla sfida di joomla ma anche di qualunque opensource... tutto pubblico e visibile... sintomo di forza non di debolezza, se molti socialnetwork rendessero pubblico il codice non starebbero in piedi 2 minuti... devi perdere un sacco di tempo a capire come ragionano da come ti rispondono... immaginare che caxo avrà fatto... e se avrà fatto... ma vuoi vedre che per farlo non ha pensato... quì vedi tutto!

hai pienamente ragione...!

e comunque ancora, e questo vale sia per l'una che per l'altra versione, le patch sono sempre state rese pubbliche prima dell'esploit quindi se la gente non aggiorna... non puoi dire joomla è vulnerabile....
se vuoi fare una scommessa, lascia che i tool si aggiornino con le ultime due o tre poi vedi se non compaiono i post ..."mi hanno bucato il sito cosa devo fare?"
poi vedi un post due tre e uno che idea si fa?
... io ... che ci siano persone che è più facile metterglielo lì che metterglielo là

Non fa una una piega...
Mi è piaciuto molto il tuo ragionamento e non lo dico per compiacerti! Chiaro e diretto...
Buona serata!
Luca

[michael07]

Non sto nemmeno dando del bugiardo a chi scrive.... il problema è che secondo me vi siete talmente insultati che il problema non è più Joomla.

Libero di non credermi, ma ti assicuro che non ho insultato nessuno, anzi sono stato sereno e tranquillo proprio perché dovevo fare gli interessi del cliente e far si che il sito fosse online anche nei giorni del trasferimento. 


Non ti nego che, qualora il sito fosse stato personale, avrei risposto per le rime.


Ho anche precisato che joomla 1.5 è ancora supportato, ma ho ricevuto come risposta urla che raccontavano del "sito ufficiale di joomla aggiornato alla 2.5 proprio perché bucato quando era su 1.5..."

[mau_develop]

"sito ufficiale di joomla aggiornato alla 2.5 proprio perché bucato quando era su 1.5..."
-----------------------------------------------------------------------
qual'è il sito ufficiale di joomla e quando è stato bucato?... mi è sfuggito..

se il sito ufficiale è questo credo sia ancora su 1.5 ..sennò alex mi smentirà...

comunque sia mi posti in privato il nome dell'hosting?

M.

[mau_develop]

Libero di non credermi,
-------------------------------------
No, ora ti credo ....OK, la soluzione è cambiare hosting, senza litigare perchè è un personaggio strano.
fai il prima possibile dei backup di tutto....

Voi non mi vedete...ma è una mezz'oretta che mi do' vergate sulla schiena da solo per quell'"hosting serio"... diciamo che il principio era serio... ma solo quello... il suo problema principale ... è lui stesso
Il signor hoster si lamenta di Joomla quando ha un sito che è un colabrodo, ... e usa anche lui cms... non joomla ovviamente

su 3 dei suoi spazi (a caso perchè ne ha un po') ci sono ben 12 vulnerabilità tra cui almeno 6 note e altre che sono note dalla scuola ....

M.

[michael07]

Fortunatamente è andato tutto liscio. Trasferimento completato, con i disagi relativi ai cinque giorni offline del sito.
Mau grazie per i consigli e per la tua "indagine" tecnica sul sito del tizio... 


In effetti il principio di quella tua frase era giustissimo.