Autore Topic: Problema da 1.0.12 a 1.0.14 (Letto 9369 volte)

fasenderos · « **il:** 22 Feb 2008, 10:39:58 »

Salve,
ho provato in locale ad effettuare l'aggiornamento dalla 1.0.12 alla 1.0.14... ho sovrascritto tutti i file ma ho riscontrato il problema che non fa più effettuare il login...
Allora ho provato a caricarli singolarmente per vedere quale file desse il problema e il file in questione è include/joomla.php...
infatti se carico tutto l'aggionramento 1.0.14 e rimetto il file joomla.php della 1.0.12 tutto funziona correttamente...mentre con quello della 1.0.14 gli utenti non riescono più a loggarsi
Qualcuno sa come risolvere? grazie in anticipo

sali40 · « **Risposta #1 il:** 22 Feb 2008, 12:25:38 »

oh, ecco il secondo in Italia (oltre me) che ha lo stesso problema (login dal front-end, vero? non anche dal back end?).

La questione è stata posta da vari utenti nel forum ufficiale internazionale di joomla. Il post è "under review" del dev team sin dal 25 gennaio. Speriamo presto in un fix

fasenderos · « **Risposta #2 il:** 22 Feb 2008, 12:49:59 »

Citazione

oh, ecco il secondo in Italia (oltre me) che ha lo stesso problema (login dal front-end, vero? non anche dal back end?).

Meno male che non sono il solo...

si solo login del front-end...

Citazione

La questione è stata posta da vari utenti nel forum ufficiale internazionale di joomla. Il post è "under review" del dev team sin dal 25 gennaio. Speriamo presto in un fix

Puoi darmi il link del post così lo tengo anke io sotto controllo e appena fixano vi avviso, grazie sali40

sali40 · « **Risposta #3 il:** 22 Feb 2008, 16:22:22 »

http://forum.joomla.org/viewtopic.php?f=198&p=1211597

biofede · « **Risposta #4 il:** 25 Feb 2008, 09:33:31 »

Anche io ho questo problema e ho individuato almeno un altro joomista o joomlarolo (utente che usa joomla)... possiamo affermare con certezza che siamo almeno in quattro.

biofede · « **Risposta #5 il:** 26 Feb 2008, 00:06:57 »

Ho provato a seguire le indicazione di fasenderos quindi ho sovrascritto il file includes/joomla.php dal pacchetto 13b di joomla e tutto funziona come prima.

Adesso ho delle perplessità, anche perchè il file joomla.php della 13b è molto grande e di difficile interpretazione (soprattutto per me). Ai fini dell'aggiornamento quanto è importante il file joomla.php? A cosa andrò incontro o andremo incontro per il suo utilizzo? Che modifiche sono state apportate sul file joomla.php?

Una cosa è sicura adesso è possibile accedere dal frontend sta di fatto pero' che utilizzo un file non aggiornato e questo non è una cosa buona.

bigham · « **Risposta #6 il:** 26 Feb 2008, 00:30:10 »

Ciao a tutti.
Non mi è chiara una cosa: avete aggiornato direttamente dalla 0.12 alla 0.14? o siete passati prima per la 0.13b?

Il passaggio corretto dovrebbe essere:
da 1.0.12 a 1.0.13b
da 1.0.13b a 1.0.14 (o direttamente alla 1.0.15)
O no?

@biofede
Nel file joomla.php c'è il 80% del codice di Joomla

E questo dovrebbe bastare per capire la sua importanza.

Quanto sarebbe bello aver una visione globale del core di joomla e riuscire a capire "chifacosaedovelofa"

biofede · « **Risposta #7 il:** 26 Feb 2008, 00:33:56 »

Io dalla 1.0.13b alla 1.0.14 e tranquillamente alla 1.0.15

L'avevo detto che era un file grande e importante. Insomma se ci rimetto quello di prima e come se non avessi aggornato nulla. Quindi non so proprio che pesci prendere.

Ce la sto a mettere tutta per capire joomla... piano piano arrivo anche io e solo che ne scappa sempre fuori una. Devo dire che questo è molto bello.

Però il problemino che si è creato in qualche modo lo devo pure risolvere!

biofede · « **Risposta #8 il:** 28 Feb 2008, 15:28:42 »

Mi sono messo a confrontare i due file joomla.php della 1.0.13a rispetto all'ultima versione nella 1.0.14/1.0.15. Questa è l'unica grande variazione fatta:

alla riga 6026 - function josSpoofCheck( $header=NULL, $alt=NULL , $method = 'post') - è stato aggiunto il codice come successivamente mostrato

function josSpoofCheck( $header=NULL, $alt=NULL , $method = 'post')
{
switch(strtolower($method)) {
case "get":
$validate = mosGetParam( $_GET, josSpoofValue($alt), 0 );
break;
case "request":
$validate = mosGetParam( $_REQUEST, josSpoofValue($alt), 0 );
break;
case "post":
default:
$validate = mosGetParam( $_POST, josSpoofValue($alt), 0 );
break;
}

Il resto dei cambianti riguarda qualche parentesi graffa che prima non c'era, qualche spostamento di riga, infine WinMerge segna molte spaziature differenti rispetto alla 1.013a ma penso che questo non sia un problema.

Posto questo perchè facendo l'aggiornamento dalla 1.0.13a alla 1.0.14 e succesivamente alla 1.0.15 non funziona più il login sul fronted, ma reinserendo il vecchio jooma.php (come ha fatto notare FASENDEROS) tutto tornava in ordine. Quindi sto cercando di capire i motivi per cui questa funzione si sia bloccata ma soprattutto se le modifiche fatte a questo file influenzano o posso influenzare altre attività tipiche di joomla.

Da notare la riga commentata immediatamente successiva al codice aggiunto:

// probably a spoofing attack

Allora il codice aggiunto è la modifica di sicurezza fatta o una delle modifiche per la sicurezza fatte?

Federico. Tutto questo non necessità necessariamente di una risposta ma anche solo di un parere!

Un'ultima riflessione: visto che il codice commentato era presente già nel file joomla.php della 1.0.13 e se uno vede da google che cosa è un spoofing attack si potrebbe dire che era una cosa annunciata, già si sapeva che li c'era un probabile buco? Allora chiunque usi joomla e sappia usare il codice .php puo' entrare in quanti siti fatti in joomla vuole, visto che le cose sono già annunciate?
Infine, un provider tosto può ovviare a questa falla visto che è un problema di spoofing attack o la colpa sarebbe tutta a carico di joomla (poverino)?

bigham · « **Risposta #9 il:** 28 Feb 2008, 21:21:21 »

Uno dei difetti addebitati (ingiustamente) all'open source è la scarsa sicurezza.
In realtà questa è solo una sensazione attribuibile al fatto che il codice sorgente è visibile a tutti. Quindi se conosco il codice so anche come attaccare.

Niente di più sbagliato. Certo, quando un prodotto O.S. è agli inizi o quando le comunità che si formano intorno ad esso sono in fase di crescita ci può essere qualche possibilità.
Ma crescendo si diventa più "maturi" e hai voglia a cercare falle se vengono chiuse tutte!

A volte la falla non è in joomla ma in versioni vecchie di php che possiedono vulnerabilità note e sfruttate per abbattere le barriere.

Per quanto riguarda l'impossibilità di accedere da frontend non so che dire. Io ho aggiornato prima in locale e poi in remoto e non ho avuto alcun problema. Fortunato? Forse

Non credo che il problema sia la funzione anti spoofing altrimenti avresti lamentato il visualizzarsi di questo messaggio:
- Spiacenti, non sei autorizzato a visualizzare questa risorsa.
e non mi sembra che sia il tuo caso.

biofede · « **Risposta #10 il:** 29 Feb 2008, 01:09:37 »

Io proprio questo messaggio vedo quando cerco di fare il login... "Spiacenti non sei autorizzato a visualizzare questa risorsa". Mi impegno un altro po'...

C'ho messo un po' a rispondere perchè sono concentrato nella risoluzione, se ti beccavo quando eri in linea, magari tu bigham avevi la soluzione dentro il taschino, visto che sei fortunato

... (un po' di umorismo non guasta! - non ti offenderai mica)

biofede · « **Risposta #11 il:** 29 Feb 2008, 12:15:24 »

Allora il mio problema di accesso era nel mod_virtuemart.php per gli altri accessi dal fronted non c'erano problemi.

Allora bisogna scaricare il mod_virtuemart.php dal pacchetto completo di virtuemart 1.0.14. Dopo di che :

dalla riga 189 fino alla riga 192

189 // used for spoof hardening
190         $validate = vmSpoofValue(1);
191         ?>
192         <input type="hidden" name="<?php echo $validate; ?>" value="1" />

sovrascrivere il codice (da vmitalia.net) "questo è il TOKEN"

// used for spoof hardening
         if( function_exists( 'josspoofvalue' )) {
            $validate = josSpoofValue(1);
         } else {
            $validate = vmSpoofValue(1);
         }
         ?>
         <input type="hidden" name="<?php echo $validate; ?>" value="1" />

Dopo di che non ci saranno più problemi. Grazie a Tutti.

Se altri hanno problemi di accesso da altri LoginForm verificare che nel file principale del modulo o nel LoginForm del Core di Joomla sia presente quel codice.

PS : // used for spoof hardening è un commento, basta inserirlo nella funzione cerca di un progrmma come notepad++ è si trova la sua posizione dopo di che si sovrascrive e aggiunge il restante codice.

Spero di esser stato pertinente e di non essere andato fuori tema.

maxtn · « **Risposta #12 il:** 13 Mar 2008, 14:35:11 »

Sul server ho la 1.0.8 e funziona, in locale sto provando la 1.0.15 ma provando ad accedere dal front-end mi da: "Spiacenti, non sei autorizzato a visualizzare la risorsa", ho letto tutti i post che ho trovato ma senza soluzione...
Qualcuno sa come risolvere?

sali40 · « **Risposta #13 il:** 13 Mar 2008, 20:12:50 »

hai community builder, per caso?

maxtn · « **Risposta #14 il:** 14 Mar 2008, 08:19:14 »

Citazione da: sali40 - 13 Mar 2008, 20:12:50

hai community builder, per caso?

No no

sali40 · « **Risposta #15 il:** 14 Mar 2008, 12:09:26 »

sul server hai la 1.0.8, in locale la 1.0.15. Il database è quello esportato dal remoto?

maxtn · « **Risposta #16 il:** 14 Mar 2008, 12:29:39 »

Ho provato un'installazione pulita della 1.0.15 e una della 1.0.13b, il problema c'è solo sulla 1.0.15! che sia un baco?

sali40 · « **Risposta #17 il:** 14 Mar 2008, 12:42:51 »

Cioè se fai una installazione "ex novo" della versione 1.0.15 facendo creare ex novo il database, caricando o meno i dati di esempio ha poca importanza... non accedi?

maxtn · « **Risposta #18 il:** 14 Mar 2008, 17:38:42 »

Scusate ma ho fatto casino io... avevo copiato la cartella di un modulo che era stato modificato e con la nuova versione di joomla non andava!

sali40 · « **Risposta #19 il:** 14 Mar 2008, 18:18:42 »

fiuuuuu, meno male