Back to top

Autore Topic: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA  (Letto 26134 volte)

Offline gswant

  • Esploratore
  • **
  • Post: 97
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #20 il: 16 Set 2007, 14:07:41 »
ciao zalexo, anch'io mi sono iscritto ottimo funziona perfettamente l'unica cosa lo implementerei dando la possibilità di modificare l'annuncio visto che i tordi come me che sbagliano  :P non mancano mai.

Saluti

Offline rollsappletree

  • Nuovo arrivato
  • *
  • Post: 23
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #21 il: 18 Set 2007, 11:09:01 »
ho segnalato il tutto al creatore del componente, nel forum di supporto ...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...
Sarebbe una grossa perdita per tutti gli utilizzatori di Joomla non poter fidarsi di questo componente, visto e considerato che le uniche alternative sono joomSef (su cui mi sono già espresso con toni poco lusinghieri) o componenti a pagamento...

Offline jospic

  • Appassionato
  • ***
  • Post: 353
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #22 il: 18 Set 2007, 11:22:43 »
ho segnalato il tutto al creatore del componente, nel forum di supporto ...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...
Sarebbe una grossa perdita per tutti gli utilizzatori di Joomla non poter fidarsi di questo componente, visto e considerato che le uniche alternative sono joomSef (su cui mi sono già espresso con toni poco lusinghieri) o componenti a pagamento...

Concordo pienamente...anche perchè le alternative (seppur a pagamento) non permettono tutte le personalizzazioni di SH404Sef.

Ieri ad esempio fo provato SerriBizSEF (penso a questo si riferisse Zalexo, oltre al già citato SEFA.....e)...beh è sicuramente compatto e veloce ma le configurazioni sono veramente inesistenti...

 
"In a world without walls and fences, who needs windows and gates?"
http://www.iperspace.it/download/linux/linuxwetrust.gif

Offline rampa84

  • Nuovo arrivato
  • *
  • Post: 21
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #23 il: 19 Set 2007, 09:10:22 »
ho segnalato il tutto al creatore del componente, nel forum di supporto ...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...

Concordo!

Offline jospic

  • Appassionato
  • ***
  • Post: 353
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #24 il: 20 Set 2007, 11:50:47 »
ho segnalato il tutto al creatore del componente, nel forum di supporto ...
aspetto notizie...

A giudicare dalla risposta di Shumisha (il main developer di Sh404SEF):

Citazione
I have not read a single security report on sh404SEF yet. Again, if you've seen anything like, please point me in the right direction, as this need to be addressed.

non è un problema loro.
Per il resto della discussione: http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html

Mah...chi vivrà vedrà...
"In a world without walls and fences, who needs windows and gates?"
http://www.iperspace.it/download/linux/linuxwetrust.gif

Offline dampyrD

  • Appassionato
  • ***
  • Post: 332
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #25 il: 20 Set 2007, 12:03:06 »
strano però qui http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/

viene categoricamente detto: No Fix Available. Remove completely or use at your own risk.

non vi sono referenze, ma il fatto stesso che non sono arrivate modifiche a quella pagina se il componente è sicuro aggiungedo che il loro sito è stato hackato...
Ubuntu 9.04 - Toshiba A100-149

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #26 il: 20 Set 2007, 12:18:57 »
Shumisha dice che sta aggiungendo qualcosa per rendere un po' più sicuro il suo componente, anche se lui non è esperto in sicurezza. Dice che fra un paio di settimane potrà esserci una nuova release, stay tuned!

Per cui secondo me, nella pagina in joorma.org relativa ai componenti non sicuri aspetteranno almeno ad avere una versione nuova e testata...
Evisole Web agency a Vicenza

Offline jospic

  • Appassionato
  • ***
  • Post: 353
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #27 il: 20 Set 2007, 12:23:55 »
Ma ho il sospetto che il componente riportato su joomla.org non sia SH404SEF, infatti è denominato SEF404x (sembrerebbe un componente ormai morto da tempo).

O sbaglio?

Guardate qui, cosa ho trovato:
http://wiki.dreamhost.com/404SEFx

forse è proprio così è un altro componente!
« Ultima modifica: 20 Set 2007, 12:29:26 da jospic »
"In a world without walls and fences, who needs windows and gates?"
http://www.iperspace.it/download/linux/linuxwetrust.gif

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #28 il: 20 Set 2007, 13:53:59 »
Ma ho il sospetto che il componente riportato su joomla.org non sia SH404SEF, infatti è denominato SEF404x (sembrerebbe un componente ormai morto da tempo).

O sbaglio?

Guardate qui, cosa ho trovato:
http://wiki.dreamhost.com/404SEFx

forse è proprio così è un altro componente!

effettivamente..... mi sa che hai ragione, mi sono sbagliato, ho confuso SH404Sef... con 404SEFx.

In realtà mi era venuto un dubbio quando ho letto che l'aggiornamento (updated) di quella notizia era del 2006....
Evisole Web agency a Vicenza

Offline dampyrD

  • Appassionato
  • ***
  • Post: 332
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #29 il: 20 Set 2007, 14:10:20 »
urca che toppata  :-[ :-*
Ubuntu 9.04 - Toshiba A100-149

Offline rampa84

  • Nuovo arrivato
  • *
  • Post: 21
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #30 il: 20 Set 2007, 14:13:30 »
non ho ben capito, in definitiva il componente si può ritenere sicuro? oppure no? magari quelli che hanno bucato i siti ce l'avevano con il sito in questione...

Offline bobighorus

  • Abituale
  • ****
  • Post: 840
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #31 il: 20 Set 2007, 18:34:28 »
Allora...per ora credo che il componente si possa considerare sicuro; io ce l'ho e non ho avuto nessun problema.
Inoltre lo sviluppatore di sh404sef dichiara che il componente è sicuro:
Citazione
- Joomla, sh404SEF or any other comp for that matter are not involved in this. Not to say that sh404SEF is vulnerability-free, but todate none have been reported to me.
Link esteso:http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html
Tuttavia lo sviluppatore stesso dichiara che nella prossima release di questo componente lavorerà sulla sicurezza.
Non resta che aspettare e chiudere saggiamente i permessi su file e cartelle "nevralgici". ;)

Offline k0nan

  • Appassionato
  • ***
  • Post: 307
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #32 il: 20 Set 2007, 18:46:28 »

confermo che SH404SEF e SEF404 non sono lo stesso componente
« Ultima modifica: 20 Set 2007, 18:53:23 da k0nan »
VM Italia - Supporto italiano a virtuemart - http://www.vmitalia.net

VirtueMart Dev Team Member - User Interface - http://www.virtuemart.net

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #33 il: 20 Set 2007, 18:56:17 »

confermo che SH404SEF e SEF404 non sono lo stesso componente
si, si, leggi sopra, mi sa che abbiam preso na bufala... comunque io personalmente avevo disattivato il componente, adesso aspetto un po' e poi lo riattivo. los viluppatore del comp dice che fra una quindicina di gg. avrà una versione migliorata.
Evisole Web agency a Vicenza

Offline rampa84

  • Nuovo arrivato
  • *
  • Post: 21
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #34 il: 20 Set 2007, 20:38:36 »
bene allora attivo anche il mio e lo configuro...

Offline bergmannn

  • Esploratore
  • **
  • Post: 56
  • Sesso: Maschio
  • Do Joomla!
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #35 il: 25 Set 2007, 11:19:54 »
Citazione

viene categoricamente detto: No Fix Available. Remove completely or use at your own risk.

Ma vi rendete conto che state facendo ? Andate a leggere bene cosa risponde l'autore del componente...

il 404SEF NON E' SH404SEF

Quante volte lo deve ripetere...

Guardando i vostri post anche da parte di alcuni moderatori mi convinco sempre di più di essere in un asilo...

Adesso pero sarebbe il caso di andare sul forum di supporto dove avete lasciato i vostri commenti per chiarire che avete toppato o spaglio...



« Ultima modifica: 25 Set 2007, 11:35:06 da bergmannn »

Offline carlodamo

  • Global Moderator
  • Instancabile
  • ********
  • Post: 3817
  • Sesso: Maschio
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #36 il: 25 Set 2007, 11:46:58 »
calmo calmo, non ti agitare....

ciao
Evisole Web agency a Vicenza

Offline bergmannn

  • Esploratore
  • **
  • Post: 56
  • Sesso: Maschio
  • Do Joomla!
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #37 il: 25 Set 2007, 12:08:58 »
Non mi agito...

E la vostra professionalità che mi fa...

Offline shumisha

  • Nuovo arrivato
  • *
  • Post: 5
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #38 il: 25 Set 2007, 15:49:43 »
Hi,

I am sorry to interrupt in English, but I simply don't speak Italian.

I have been alerted recently on sh404SEF support forum that some people were reporting the sh404SEF was not secure. Some other seem to mistake 404SEF and 404SEFx for my component.

I am very sorry to hear these rumours going on, and sorry that some people spead them here.
To make it short :

1 - sh404SEF is NOT the same component as 404SEFx (an unsecure component listed on joomla.org as vulnerable). The name are not the same and the components are not the same (though 404SEFx is the common ancestor to both sh404SEF and Joomsef)

2 - My site was hacked a few weeks ago. My FTP password was accessed by hackers. For those of you who know a bit, you will realize Joomla and sh404SEF cannot be involved on discovering FTP password, as these are not anywhere on the site.
For those who don't know, here is the transcript of my conversation with live chat support when we were trying to clean up things. This is particularly for rollsappletree who seems to believe that I lied about this to hide vulnerability in sh404SEF :

Dusty [12:23]: Should work for you now.
[12:25]: Is there anything else I can do for you today?
Yannick gaultier [12:26]: OK, it works now. I'll pick another one. I am currently going through the logs to try find how they could get in again. There is something strange. this time I have FTP logs as well as http logs. And I can see they could upload some files on sat 1st:
[12:26]: Sat Sep 01 03:58:07 2007 0 82.128.15.196 389 /home/silianan/public_html/usbank/usbank/submit.php b _ o r silianan ftp 1 * c
Sat Sep 01 03:58:35 2007 1 82.128.15.196 392 /home/silianan/public_html/usbank/usbank/submit.php b _ i r silianan ftp 1 * c
Dusty [12:27]: ok
Yannick gaultier [12:27]: Global password was changed on aug. 30. How could they get access to my ftp password ? it is not available anywhere in my db or on the site itself ???
[12:30]: Actually, how could they get access to my ftp password at any time ? even before I changed it ?
Dusty [12:31]: The only way someone could get your password is if you gave it to them or you didn't use Secure FTP to upload
[12:31]: If you use plain FTP it does send the password in clear text
[12:31]: If someone used a packet sniffer they may view your password.
Yannick gaultier [12:32]: I am the only person using this account. Password is not written anywhere. So what you are saying is that they could sniff somehow my password because I did not use Secure ftp to upload ? I did not even know I could use secure FTP
Dusty [12:33]: Yes you can; however, you have to enable SSH in order to do this, but it is much more secure than FTP.
Yannick gaultier [12:35]: SSH is already enabled. But where would they have to listen to to be able to "sniff" what I am sending ? I mean where should they hook up to be able to intercept FTP data ?
Dusty [12:36]: They could use a packet sniffer like wireshark
Yannick gaultier [12:38]: So they simply listen to the internet, and when they see a ftp session init packet, they get the domain name, password and so they can connect later on ?
Dusty [12:39]: It is possible to do this. Yes
Yannick gaultier [12:42]: So how do I secure FTP ? is there a doc somewhere ? I am using filezilla
Dusty [12:45]: If you have SSH enabled all you have to do is click on File->Site Manager change the port to 22 and then in the drop down box check SFTP using SSH2
[12:47]: Is there anything else I can do for you today?
Yannick gaultier [12:49]: OK, I'll work on that and try using SFTP from now on. As we were talking, I successfuly change my master password to something else. So do you think the fact that I found FTP access from these people shows this was the initial breach ? I really don't know where to look other than that : joomla, its extensions, and mediawiki are upto date
Dusty [12:50]: Yes that probably was the initial breach
Yannick gaultier [12:51]: OK. So now I'll start cleaning up. Thanks a bunch. I'll contact live chat again when I think the site is clean, for re-opening! Thanks again

3 - I have tried to understand Zalexo other post where there is more details about the intrusion, but again I don't speak Italian. It seems he has the same problem as I had, with some people getting access to his FPT password. For some reason, he thinks this has something to do with sh404SEF. JOOMLA AND sh404SEF cannot be involved in giving FTP password because FTP password is not available on the site. If a hackers get your FTP password, it can only be through your host or through "sniffing" packets while your are connecting.

4 - No vulnerability has been reported for sh404SEF todate. None. Zero. If anyone has any information on any vulnerability, please report it to me at shumisha at gmail dot com, it will be fixed as soon as possible.

Until this happens, I would like to ask people to please stop spreading false rumors on the component. It is not about money, I am not a commercial developper, but this is very hard to take when you are putting many (hundreds) of hours of work to develop some software and support the people using it to see that happening.

Lastly, I hope someone can translate this message or part of this message in Italian, so that people can read it, and I also would like to thank the people who tried to explain 404SEFx and sh404SEF are not the same.

Best regards to all
Yannick Gaultier (shumisha)

Offline bergmannn

  • Esploratore
  • **
  • Post: 56
  • Sesso: Maschio
  • Do Joomla!
    • Mostra profilo
Re: ATTENZIONE A SH404SEF PROBLEMA DI SICUREZZA
« Risposta #39 il: 25 Set 2007, 16:43:19 »
I Think that someone has to write an answer here to excuse for this...

 

 



Web Design Bolzano Kreatif