Monitoraggio e tracking

[giovi]

Se hai un po di pazienza pubblico la versione 1.4 e controlliamo se il problema è stato risolto
Grazie per la segnalazione

[Giuseppe72]

Ok grazie, Aspetto con ansia...il tuo è un componente unico , in rete non c'è niente di simile.
Spero risolvi il prima possibile.
Grazie e a presto per la 1.4 

[giovi]

Se fai l'aggiornamento automatico è già presente sul server la versione 1.4
Non mi risulta il problema sulla precedente versione ma probabilmente qualche configurazione sbagliata del tuo server ti da problemi. Se non dovessi comunque risolvere con l'aggiornamento spero che mi offrirai la possibilità di analizzare più da vicino il tuo caso.


A breve pubblicherò su joomla.it anche la versione per l'installazione da zero e le novità della release 1.4.

Attenzione: ci tengo a precisare (per rispetto a tutti gli altri volontari) che il nome del componente non è stato ancora approvato dal team di sviluppo di Joomla, il quale deve dare il consenso ad usare riferimenti al nome del CMS nel titolo di qualunque componente... diciamo quindi che per ora è un nome provvisorio perché potrebbe cambiare da un momento all'altro! 

[giovi]

Puoi fare qualche test qui
http://comingweb.ilbello.com/index.php


I codici di ricerca inseriti sono solo 2:
- 123456
- 987654


Qualche accorgimento:
Tutti gli altri codici numerici ti dovrebbero fino a prova contraria restituire errore.
Tutti i caratteri testuali vengono ignorati per ridurre il rischio di attacchi al sito
I codici vengono riconosciuti come numeri interi, quindi non possono cominciare con cifre non significative come lo 0 (es. 000123456 = 123456).
Codici simili ma di diversa lunghezza vengono riconosciuti come codici different: 123456 != 12345 != 123 != 1234567

[Giuseppe72]

Ciao, fatto aggiornamento, allora...


Se metto i codici 1234567,1234568,12345 ecc... tutto ok .


Il problema è che ho già dei codici che sono stati assegnati ai mie clienti e non posso cambiarli.
Il problema si presenta quando inserisco un carattere alfa , esempio : se metto 2345t567 poi ne faccio un altro 1234e567 , entrambi i codici compaiono nella ricerca e via via...
In più se metto 2345g456 anche se non l'ho inserito nel database si visualizzano tutti i codici tranne quello che non c'è , il: 2345g456.


Il tuo modulo funziona , ma solo con i numeri ...ti è difficile inserire anche i caratteri alfa?
Forse chiedo troppo    però sarebbe perfetto , che ne dici?

[giovi]

inizialmente il componente funzionava per tutti i tipi di codici ed è stata la cosa più semplice ed immediata da fare, ma allo stesso tempo mi ha fatto giustamente notare mau_develop il codice che un utente inserisce e che va a finire direttamente nel database potrebbe essere anche uno script maligno che va a modificare lo stato del database quindi può avere effetti catastrofici.


Capisco la tua esigenza e posso anche spiegarti come è possibile modificare il codice all'occorrenza ma avresti comunque il problema che un utente più esperto di me, conoscendo questa debolezza, potrebbe rigirare il tuo sito a modo suo!


Bisognerebbe inserire un controllo sul codice prima ancora di avviare la ricerca ma qui ci vuole veramente qualche esperto che sappia come fare!


Potrei depurare il codice che l'utente inserisce eliminando tutti gli spazi in esso contenuti, ma sarà veramente sufficiente? Aspettiamo il parere di qualche guru ed in caso affermativo sicuramente farò la modifica che proponi, anche io la trovo molto utile.

[mau_develop]

beh... le vie di mezzo ci sono, devi affinare il filtro imparando le regex

la sringa può essere filtrata come:
tutti i caratteri maiuscoli e minuscoli e tutti i numeri e trattini, per un max di {n} ripetizioni

http://www.addedbytes.com/cheat-sheets/regular-expressions-cheat-sheet/

poi usi preg_match, guarda gli esempi con i pattern:
http://php.net/manual/en/function.preg-match.php

la vulnerabilità avviene quando uno riesce a fare ciò che vuole, ... più è filtrato e meno può fare ciò che vuole.

le regex possono anche essere multiple e le classi sono belle proprio perchè le puoi arricchire di strumenti/metodi, implementa un metodo
 checkcodice($codice){
se passa la regex return $codice, sennò false, poi lo usi ovunque vuoi ... puoi implementare un helper ed infilarci questo metodo che vedo bene come statico.. così ce l'hai ovunque nel componente senza bisogno di chiamare model... lo usi quando ricevi la var , quando la scrivi, ... quando fai il sugo...la grigliata... sempre buono viene l'helper.

M.

[Giuseppe72]

Filtri , sicurezza ecc... sinceramente non ci ho pensato nemmeno , però se dite che ci possono essere delle falle , allora è buono che il componente sia sicuro e rivisto alla meglio.
Io non sono un esperto di codici e sicurezza, l'unica disposizione che posso darvi è quella della cavia
Quindi fate del vostro meglio , il componente come ho detto in precedenza è unico, e non dovrebbe essere abbandonato , ma con l'aiuto di tutti va perfezionato...questo è joomla! Questo è l'open source.
Buon lavoro.

[giovi]

Ed allora regular expressions siano!
Ho fatto la modifica al codice di controllo (che persisterà nella view fino ad una nuova riorganizzazione del codice - forse a breve) per cui è in funzione una regola del tipo

Codice: [Seleziona]

/^[a-z0-9]{4,9}$/iSolo lettere maiuscole e minuscole e numeri, per un minimo di 4 ed un massimo di 9 caratteri: guai ad inserire simboli e virgolette che il programma si arrabbia!


Prima di pubblicare la versione 1.4.1 (il x.x.1 indica la modifica di cui sopra) aggiungerò la possibilità di personalizzare i messaggi di errore via backend, senza dover operare con overrides del componente!


Ancora qualche minuto di pazienza e poi pronti con i commenti!

[mau_develop]

ohlà... cominciamo ad esserci azz... credevo ci avresti messo una vita... manco 24 ore

M.

PS: ..non sarà il tuo caso... ma visto che ci siamo...mi è venuta l'ispirazione da qs:
----------------------------------------------------------------------------------------
guai ad inserire simboli e virgolette che il programma si arrabbia!
-----------------------------------------------------------------------------------------

quando si scrivo applicazioni web c'è sempre il problema della gestione degli errori... cosa è meglio?
Semplice, è meglio usare il cervello.
Devi far andare d'accordo due cose in contrasto: tu non sai a chi stai dando questa informazione di errore quindi se sarà un user è meglio che sia più esaustiva possibile fino a guidarlo ad una soluzione, se è un malintenzionato rischi di dargli info preziose.
L'esempio topico è la gestione degli errori di mysql che se non è correttamente gestita dallo sviluppatore fa macelli.
Si chiamano blind sql injection, ovvero "cieche" ... non sai ma la fai e la correggi proprio grazie alle risposte del db.
Grazie ad una vulnerabilità o cattivo filtro della variabile io posso appendera alla query la mia che sarà qualcosa del tipo: ... 'e anche il tal valore dalla colonna 3'....
lui mi risponderà che non esiste la colonna 3 nella tabella pippo.
Lo sviluppatore ha un'info precisa e molto utile... l'hacker sa che nel db esiste una tabella pippo, che quella query lavora su una tabella pippo, e che quella tabella non ha 3 colonne (in mysql nn è necessario chiamarle per nome ma anche per posizione).

Così per assurdo può essere nella tua estensione, se io inserisco un trattino e tu mi dici che non posso inserire un trattino mi stai dando poche info ma cmq preziose:
- c'è un filtro, ed è quello che dovrò evadere e per farlo dovrò scoprire come è fatto.
- è quasi sicuramente una regex poichè hai fatto un riconoscimento abbastanza preciso
- è una regex che filtra i trattini

se insisto riesco a scoprire cosa mi è vietato... il resto mi è permesso. Poi voglio capire se il trattino - viene riconosciuto o anche le sue varie codifiche... ascii to hex diventa 2d ... oi oi... lettere e numeri... e in base 64 è LQ==, se per caso quel testo viene eseguito prima del db... potrebbe essere un xss

... è un esempio un po' tirato per i capelli ma volevo più che altro farti capire come vengono viste "dall'altra parte" le tue buone intenzioni

In questo caso sarebbe meglio "valutare" il tipo di errore e restituire la risposta appropriata che potrebbe spaziare da "nulla", semplice redirect alla pagina principale del componente, a "la stringa contiene caratteri non validi, se l'errore persiste avvisare pippo@topolinodotnet"

[giovi]

Aggiornamento caricato ed in attesa di moderazione!

miseriaccia! Mau, il mondo della programmazione sta diventando un bronx!

PS: L'aggiornamento automatico alla 1.4.1 tramite il componente nativo di joomla è già attivo

[mau_develop]

no, lo è sempre stato, anzi ora con oop e i framework esiste un minimo garantito quindi magari per fortuna incoscente ne esci ugualmente....

Ma è anche uno dei motivi delle annose discussioni sui costi/prezzi di un sito/estensione.

Se guardi sotto il cofano e sai leggere, capisci anche il perchè uno costa meno e l'altro di più... solo che se ricorri a qualcun'altro per sviluppare qualcosa difficilmente puoi fare questa valutazione così vieni via soddisfatto con una 500 convinto di aver acquistato una ferrari al przzo di una 500 e dando dell'approfittatore a quello che te la vendeva a prezzo della ferrari che volevi.... o almeno penso che nessuno risponderebbe ad un preventivo: 1000 euro sicuro, 200 euro vulnerabile... però alla fine è quello che ottieni....e non per puro commercio ma perchè se devo metterci 3 ore per fare una cosa dove trovi il tempo per tutti qs ragionamenti?

... anche quì prego di tenere la considerazione nei limiti del discorso che si sta facendo, altrimenti viene fuori una diatriba ingestibile

M.

[luca7761]

Ciao Giovi, volevo chiederti se puoi aggiornare il link per il download del componente che è nel primo post...!
Complimenti Mau per le informazioni utili a tutti!

p.s. a quanto pare ho suggerito con successo il componente a Giuseppe 72...

ciao a tutti!

[giovi]

luca7761 il link è in attesa di riattivazione da parte di un amministratore

[luca7761]

Ok! Grazie Giovi! così  scarico l'ultima versione!

[giovi]

Il link è attivo! Per le prossime volte è possibile sfruttare l'aggiornamento automatico

[Giuseppe72]

Ok Giovi , comincio a testare...poi ti faccio sapere.
Grazie.

[Giuseppe72]

Ottimo lavoro ! Adesso funziona benissimo , ho fatto le prove alfanumeriche , risultato eccellente.
Ho anche apprezzato l'inserimento dell'immagine .
Unica piccolissima cosa...quando metto la data per creare il codice , compare prima l'anno , il mese e poi il giorno, ogni volta mi confondo, poichè abituato sempre a mettere prima i giorni e poi il resto, ma ripeto...è una piccolissima cosa , può andare anche cosi', basta abituarsi.
Spero che a livello di sicurezza il tuo componente regge .
Intanto ti lascio il mio voto :
10+

[giovi]

grazie per il commento giuseppe, per qualunque altro problema ti prego di segnalarlo in modo da rendere il componente sempre più efficiente.
Il problema della data ho pensato che potesse essere raggirato utilizzando l'icona del calendario li a fianco ma se trovo una soluzione più pratica non mancherò di apportare la modifica!
Ricorda però di mantenere sempre il componente aggiornato (come tutte le altre estensioni) che se si trova qualche bug e non si aggiorna non si sa mai cosa può succedere!

[mau_develop]

il calendarietto ha un parametro di formattazione che può essere %d-%m-%Y basta che poi prima di inserirla nel db la giri,

$data=explode('-', $ladatachearriva);
$nuova_data = $data[2'].-'.$data[1].'-'.$data[0];

oppure usi JDate

M.