Joomla.it Forum
Forum traduzioni italiano => Le traduzioni e le informazioni della community => Articoli della community => : alexred 18 Aug 2014, 17:50:54
-
La nuova estensione JSocialFeed sviluppata da Garda Informatica permette di integrare nel sito i post provenienti dalle pagine o profili di Google+ oppure da Twitter e da sorgenti Feed RSS/Atom.
Ricca di caratteristiche interessanti, il suo modulo è responsive e con molti parametri che permetto una ampia personalizzazione.
Link all'articolo: http://www.joomla.it/e-ancora/articoli-community-3x/7560-jsocialfeed-per-mostrare-a-rotazione-le-notizie-da-google.html
-
Ciao.
Interessante, forse lo userò nel prossimo sito che ho da aggiornare.
Ottimo il fatto della cache.
Grazie! :)
-
Grazie ad AlexRed per la bella recensione :D
Per ventus85, se ti capiterà di usare l'estensione facci sapere cosa ne pensi o se hai suggerimenti.
In generale i suggerimenti sono sempre ben accetti!
-
Per ventus85, se ti capiterà di usare l'estensione facci sapere cosa ne pensi o se hai suggerimenti.
Sicuramente non prima di metà settembre :-\
-
Perfetto, non c'è alcuna fretta.
-
chi ghé un quaicos' ch'el va' nò... se volete venire a Milano per il JDay almeno imparate la lingua
/components/com_jsocialfeed/views/smartloader/view.html.php
... index nn serve, la view viene chiamata in causa se costruisci l'url diretto, passando i parametri che richiede... l'owner.
l'owner non può essere qualunque cosa perchè la cosa più banale che può diventare, senza fare magie/offuscamenti/etc.., è default ... anche default è un metodo di una classe... secondo me looppa fino a consumare risorse... ma nn saprei bene, l'ho provato solo in locale ... stessa cosa per type, solo che nn ho voglia di inventarmi nulla :)
accedi troppo facilmente ai metodi di una classe devi forzare inizializzando un array(metodo_chiamabile,....) e fare il casting di $owner if $owner is in array...
..tutto imo...
-
anche secondo me non è un approccio sicuro, si possono chiamare tutti i metodi della classe JViewLegacy (e ovviamente di JObject) più tutti i __magics di php. Un domani nella classe, o in php, potrebbero esserci metodi per il dump dello stato/variabili/stack e ciò sarebbe decisamente male.
sui dos possibili attualmente, o information disclosure che siano, non mi pronuncio, dato che comunque è l'approccio a lasciarmi perplesso... :-\
ciao,
marco
-
Quì qualcuno latita... dopo l'indubbio beneficio di un backlink su joomla it e sulla jed, dove sta la responsabilità? dove la professionalità?
...e se qualcuno nel frattempo lo avesse scaricato e installato?
-
@Rollando T
Grazie, i rischi che hai evidenziato sono solo teorici. Comunque lo sviluppatore di JSocialFeed ha milgiorato i controlli per evitare problemi futuri.
@ohmygod
Nessuna latitanza, lo sviluppatore di JSocialFeed era semplicemente in ferie.
Visto che JSocialFeed è stato sviluppato con il pieno supporto all'auto aggiornamento di Joomla, chi l'ha già scaricato e installato lo vedrà tra gli aggiornamenti.
@Tutti
Anche se in questo caso la minaccia era di fatto inesistente, magari per la prossima volta prima di rendere pubblica una possibile vulnerabilità è buona cosa contattare privatamente lo sviluppatore. Grazie.
-
i rischi che hai evidenziato sono solo teorici.
--------------------------------------------------------------------
i rischi che ha confusamente evidenziato non sono per nulla teorici ma l'importante è che ora sia a posto.
...per essere a posto e sviluppata secondo i canoni joomla devono essere presenti anche tutti i files index.html nelle varie cartelle per evitare disclosures... sai c'è anche chi ci tiene a queste cose e chi le considera non vulnerabilità ;)
-
...un'altra cosuccia, sempre che vi interessi...
non ho guardato bene come vengono fatte le request alle api ma ricordatevi che quando usate oAuth (e opendid) dovete forzare l'url di risposta altrimenti finite in una vulnerabilità più che nota (e più che nascosta) che si chiama Covert Redirect.
solo con l'url di risposta presente, il server delle api verificherà l'uguaglianza degli url provenienti dalla request (forgiabile) (*) con quello presente nel campo redirect_url, dando errore se non coincide.
byeeee ;)
(*) sono un cane ad esprimermi ma se guardi come viene fatta la richiesta si capisce
PS: se date un'occhiata alla classe JTwitter presente nella libreria, ha degli ottimi spunti per rendere più elegante la patch dei primi post
[EDIT]
...poi ho trovato uno che ha più propietà di linguaggio di me a spiegare le cose:
http://blog.caffeinalab.com/covert-redirect-cose-e-come-evitare-rischi-di-oauth-2-0-e-openid