Joomla.it Forum
Componenti per Joomla! => SEO => : zalexo 10 Sep 2007, 12:40:53
-
Attenzione ragazzi, stanotte sono partiti alcuni fra i più popolari siti che usano sh404sef:
- www.zalexo.it che ora grazie allo staff di joomlahost ho sistemato.
- http://extensions.siliana.net/ adirittura pure il loro ufficiale.
Quindi attenzione ragazzi, tenete joomla sempre aggiornato alla ultima reliese (i miei siti che avevano la 1.0.13 non sono stati forati).
Aspettiamo notizie ufficiali quando il sito sarà di nuovo online.
Per non rischiare disattivate sh per qualche giorno.
Ciao
-
Allora, alcuni siti con la 1.0.12 che avevano sh non sono stati toccati.
Quindi probabilmente hanno toccato solo siti che parlavano e pubblicizzano sh404sef.
Infatti se cercate su google:
http://www.google.com/search?source=ig&hl=it&q=sh404sef&lr=
sono fra i primi.....
cmq probabilmente qualcuno si è accanito su di loro.
Aspettiamo notizie.
-
nessuna notizia?!?!?
-
RIPETO ATTENZIONE ATTUALMENTE IL COMPONENTE IL NON E' SICURO.
WWW.ZALEXO.IT è stato attualmente stato forato passando attraverso questo componente.
Anche gli stessi sviluppatori hanno avuto lo stesso problema:
http://extensions.siliana.net/en/2007090865/General/Support-site-unavailable-returns.html
Quindi attenzione
-
Anche gli stessi sviluppatori hanno avuto lo stesso problema:
http://extensions.siliana.net/en/2007090865/General/Support-site-unavailable-returns.html
Si, ma lui, probabilmente per non perdere credibilità, inputa ciò al fatto che si collegava al sito via FTP e gli avrebbero sniffato la user e la password...
Da qui la sua idea di iniziare ad usare secureFTP!!!
non accenna proprio al fatto che è colpa del suo componente...
-
eppure è nella "blacklist" dei link sulla sicurezza
SEF404x (com_sef) Version:All No Fix Available. Remove completely or use at your own risk. No references
-
io ho la versione 1.0.13
che faccio disattivo ?
-
io ho la versione 1.0.13
che faccio disattivo ?
eppure è nella "blacklist" dei link sulla sicurezza
SEF404x (com_sef) Version:All No Fix Available. Remove completely or use at your own risk. No references
traduzione
SEF404 tutte le versioni - nessuna patch disponibile. Rimuovi completamente o usa a tuo rischio. nessun riferimento....
guarda qua sotto.
http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/
-
ok l'ho disinstallato ... ma le url sono rimaste invariate ...
-
zizou non confondiamo la versione di joomla con quella dei componenti ;)
-
ok l'ho disinstallato ... ma le url sono rimaste invariate ...
è solo questione di tempo, in pochi minuti si aggiornano. ciao
-
zizou non confondiamo la versione di joomla con quella dei componenti ;)
scusa ma non capisco ...
-
scusa errore mio, pensavo ti riferissi alla versione di joomla 1.0.13 e non a quella del componente bucato... ;)
-
Si ragazzi è un disastro, io ne ho pagate le conseguenze:
http://forum.joomla.it/index.php?topic=27962.0
Attenzione a quella lista che hanno postato poco più su, io conoscevo solo quella italiana dove sh404sef non era elencato e questa cosa mi ha fregato.
Ora però il sio è sicuro anche se, mi dice la ragazza che mi segue la sicurezza, provano a forarlo ogni ora.
ciao
-
ciao zalexo,
con quale componente suggerisci di cambiare sh404sef anche se a pagamento non mi interessa basta che sia sicuro e funzionale.
saluti
-
bravo gswant... anch'io a sto punto vorrei conoscere un componente a pagamento che faccia il lavoro di SH404sef... chiaramente, please, se vuoi mandami le info in privato.. comunque fra 15 gg visto che non sei disponibile...
-
bravo gswant... anch'io a sto punto vorrei conoscere un componente a pagamento che faccia il lavoro di SH404sef... chiaramente, please, se vuoi mandami le info in privato.. comunque fra 15 gg visto che non sei disponibile...
Vi ho letto al volo.
Allora, i componenti non sono tantissimi.
Io ora sto "provando" (tra virgolette perchè li conoscevo già) due componenti a pagamento.
Non posso fare i nomi perchè questo board non lo permette ma posso cmq farmi vedere come funzionano.
Su zalexo.it ora uso un classico, il migliore per ora a pagamento perchè non usa il database e permette anche una gestione dei meta. E' rilasciato da uno sviluppatore ufficile del core di joomla e fino a ora è sempre stato il più stabile e il più veloce.
Su comunicati-stampa.zalexo.it uso invece una "novità" (tra virgolette perchè lo conoscevo già) che gli sviluppatori mi hanno regalato per testarlo, ma che in teoria è a pagamento, sui 20 € se ricordo. Questo permette una gestione avanzata dei meta e di tutte le url che morlamente il componente non riscrive. Però supporta circa un centinaio di componenti. Ha solo alcuni difetti che spero di risolvere con il team di sviluppo.
Adesso vi chiedo se fate un giro fra i siti e vi fate un'idea delle componenti lato utente, poi quando ritorno, con calma, aggiorno la guida e troverete le recensioni (cmq le pubblicherò prima anche su zalexo.it).
per ora vi saluto.
p.s. off topic - Su comunicati-stampa.zalexo.it ho messo online un sistema di promozione libero per tutti, per promuovere gratuitamente il vostro sito web con una spece di blog aperto a tutti. Se volete postare un articolo registratevi e fate un paio di prove. p.s una volta inserite non sono editabili, quindi seguite le regole.... Poi magari mi date un'upinione per l'usabilità del sistema. Grazie
-
ok zalexo stasera pro e ti faccio sapere
ciao
-
p.s. off topic - Su comunicati-stampa.zalexo.it ho messo online un sistema di promozione libero per tutti, per promuovere gratuitamente il vostro sito web con una spece di blog aperto a tutti. Se volete postare un articolo registratevi e fate un paio di prove. p.s una volta inserite non sono editabili, quindi seguite le regole.... Poi magari mi date un'upinione per l'usabilità del sistema. Grazie
Ciao Zalexo!Mi sono iscritto e ho presentato il sito!Mi sembra una buona idea ed un buon sistema!Ho un paio di domande da farti a questo proposito ma te le faccio in un'altra occasione,altrimenti andiamo in OT! :D
-
ok l'ho disinstallato ... ma le url sono rimaste invariate ...
tutto invariato ...
boh
-
ciao zalexo, anch'io mi sono iscritto ottimo funziona perfettamente l'unica cosa lo implementerei dando la possibilità di modificare l'annuncio visto che i tordi come me che sbagliano :P non mancano mai.
Saluti
-
ho segnalato il tutto al creatore del componente, nel forum di supporto (http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html)...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...
Sarebbe una grossa perdita per tutti gli utilizzatori di Joomla non poter fidarsi di questo componente, visto e considerato che le uniche alternative sono joomSef (su cui mi sono già espresso con toni poco lusinghieri) o componenti a pagamento...
-
ho segnalato il tutto al creatore del componente, nel forum di supporto (http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html)...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...
Sarebbe una grossa perdita per tutti gli utilizzatori di Joomla non poter fidarsi di questo componente, visto e considerato che le uniche alternative sono joomSef (su cui mi sono già espresso con toni poco lusinghieri) o componenti a pagamento...
Concordo pienamente...anche perchè le alternative (seppur a pagamento) non permettono tutte le personalizzazioni di SH404Sef.
Ieri ad esempio fo provato SerriBizSEF (penso a questo si riferisse Zalexo, oltre al già citato SEFA.....e)...beh è sicuramente compatto e veloce ma le configurazioni sono veramente inesistenti...
-
ho segnalato il tutto al creatore del componente, nel forum di supporto (http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html)...
aspetto notizie...
fatevi sentire anche voi, così lo spingiamo a sistemare sto componente, che per il resto (sicurezza esclusa) è veramente fantastico...
Concordo!
-
ho segnalato il tutto al creatore del componente, nel forum di supporto (http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html)...
aspetto notizie...
A giudicare dalla risposta di Shumisha (il main developer di Sh404SEF):
I have not read a single security report on sh404SEF yet. Again, if you've seen anything like, please point me in the right direction, as this need to be addressed.
non è un problema loro.
Per il resto della discussione: http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html
Mah...chi vivrà vedrà...
-
strano però qui http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/ (http://help.joomla.org/component/option,com_easyfaq/task,view/id,186/Itemid,268/)
viene categoricamente detto: No Fix Available. Remove completely or use at your own risk.
non vi sono referenze, ma il fatto stesso che non sono arrivate modifiche a quella pagina se il componente è sicuro aggiungedo che il loro sito è stato hackato...
-
Shumisha dice che sta aggiungendo qualcosa per rendere un po' più sicuro il suo componente, anche se lui non è esperto in sicurezza. Dice che fra un paio di settimane potrà esserci una nuova release, stay tuned!
Per cui secondo me, nella pagina in joorma.org relativa ai componenti non sicuri aspetteranno almeno ad avere una versione nuova e testata...
-
Ma ho il sospetto che il componente riportato su joomla.org non sia SH404SEF, infatti è denominato SEF404x (sembrerebbe un componente ormai morto da tempo).
O sbaglio?
Guardate qui, cosa ho trovato:
http://wiki.dreamhost.com/404SEFx
forse è proprio così è un altro componente!
-
Ma ho il sospetto che il componente riportato su joomla.org non sia SH404SEF, infatti è denominato SEF404x (sembrerebbe un componente ormai morto da tempo).
O sbaglio?
Guardate qui, cosa ho trovato:
http://wiki.dreamhost.com/404SEFx
forse è proprio così è un altro componente!
effettivamente..... mi sa che hai ragione, mi sono sbagliato, ho confuso SH404Sef... con 404SEFx.
In realtà mi era venuto un dubbio quando ho letto che l'aggiornamento (updated) di quella notizia era del 2006....
-
urca che toppata :-[ :-*
-
non ho ben capito, in definitiva il componente si può ritenere sicuro? oppure no? magari quelli che hanno bucato i siti ce l'avevano con il sito in questione...
-
Allora...per ora credo che il componente si possa considerare sicuro; io ce l'ho e non ho avuto nessun problema.
Inoltre lo sviluppatore di sh404sef dichiara che il componente è sicuro:
- Joomla, sh404SEF or any other comp for that matter are not involved in this. Not to say that sh404SEF is vulnerability-free, but todate none have been reported to me.
Link esteso:http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html (http://extensions.siliana.net/forum/sh404SEF-support/3186-but...-it-s-true-aka-security-issues.html)
Tuttavia lo sviluppatore stesso dichiara che nella prossima release di questo componente lavorerà sulla sicurezza.
Non resta che aspettare e chiudere saggiamente i permessi su file e cartelle "nevralgici". ;)
-
confermo che SH404SEF e SEF404 non sono lo stesso componente
-
confermo che SH404SEF e SEF404 non sono lo stesso componente
si, si, leggi sopra, mi sa che abbiam preso na bufala... comunque io personalmente avevo disattivato il componente, adesso aspetto un po' e poi lo riattivo. los viluppatore del comp dice che fra una quindicina di gg. avrà una versione migliorata.
-
bene allora attivo anche il mio e lo configuro...
-
viene categoricamente detto: No Fix Available. Remove completely or use at your own risk.
Ma vi rendete conto che state facendo ? Andate a leggere bene cosa risponde l'autore del componente...
il 404SEF NON E' SH404SEF
Quante volte lo deve ripetere...
Guardando i vostri post anche da parte di alcuni moderatori mi convinco sempre di più di essere in un asilo...
Adesso pero sarebbe il caso di andare sul forum di supporto dove avete lasciato i vostri commenti per chiarire che avete toppato o spaglio...
-
calmo calmo, non ti agitare....
ciao
-
Non mi agito...
E la vostra professionalità che mi fa...
-
Hi,
I am sorry to interrupt in English, but I simply don't speak Italian.
I have been alerted recently on sh404SEF support forum that some people were reporting the sh404SEF was not secure. Some other seem to mistake 404SEF and 404SEFx for my component.
I am very sorry to hear these rumours going on, and sorry that some people spead them here.
To make it short :
1 - sh404SEF is NOT the same component as 404SEFx (an unsecure component listed on joomla.org as vulnerable). The name are not the same and the components are not the same (though 404SEFx is the common ancestor to both sh404SEF and Joomsef)
2 - My site was hacked a few weeks ago. My FTP password was accessed by hackers. For those of you who know a bit, you will realize Joomla and sh404SEF cannot be involved on discovering FTP password, as these are not anywhere on the site.
For those who don't know, here is the transcript of my conversation with live chat support when we were trying to clean up things. This is particularly for rollsappletree who seems to believe that I lied about this to hide vulnerability in sh404SEF :
Dusty [12:23]: Should work for you now.
[12:25]: Is there anything else I can do for you today?
Yannick gaultier [12:26]: OK, it works now. I'll pick another one. I am currently going through the logs to try find how they could get in again. There is something strange. this time I have FTP logs as well as http logs. And I can see they could upload some files on sat 1st:
[12:26]: Sat Sep 01 03:58:07 2007 0 82.128.15.196 389 /home/silianan/public_html/usbank/usbank/submit.php b _ o r silianan ftp 1 * c
Sat Sep 01 03:58:35 2007 1 82.128.15.196 392 /home/silianan/public_html/usbank/usbank/submit.php b _ i r silianan ftp 1 * c
Dusty [12:27]: ok
Yannick gaultier [12:27]: Global password was changed on aug. 30. How could they get access to my ftp password ? it is not available anywhere in my db or on the site itself ???
[12:30]: Actually, how could they get access to my ftp password at any time ? even before I changed it ?
Dusty [12:31]: The only way someone could get your password is if you gave it to them or you didn't use Secure FTP to upload
[12:31]: If you use plain FTP it does send the password in clear text
[12:31]: If someone used a packet sniffer they may view your password.
Yannick gaultier [12:32]: I am the only person using this account. Password is not written anywhere. So what you are saying is that they could sniff somehow my password because I did not use Secure ftp to upload ? I did not even know I could use secure FTP
Dusty [12:33]: Yes you can; however, you have to enable SSH in order to do this, but it is much more secure than FTP.
Yannick gaultier [12:35]: SSH is already enabled. But where would they have to listen to to be able to "sniff" what I am sending ? I mean where should they hook up to be able to intercept FTP data ?
Dusty [12:36]: They could use a packet sniffer like wireshark
Yannick gaultier [12:38]: So they simply listen to the internet, and when they see a ftp session init packet, they get the domain name, password and so they can connect later on ?
Dusty [12:39]: It is possible to do this. Yes
Yannick gaultier [12:42]: So how do I secure FTP ? is there a doc somewhere ? I am using filezilla
Dusty [12:45]: If you have SSH enabled all you have to do is click on File->Site Manager change the port to 22 and then in the drop down box check SFTP using SSH2
[12:47]: Is there anything else I can do for you today?
Yannick gaultier [12:49]: OK, I'll work on that and try using SFTP from now on. As we were talking, I successfuly change my master password to something else. So do you think the fact that I found FTP access from these people shows this was the initial breach ? I really don't know where to look other than that : joomla, its extensions, and mediawiki are upto date
Dusty [12:50]: Yes that probably was the initial breach
Yannick gaultier [12:51]: OK. So now I'll start cleaning up. Thanks a bunch. I'll contact live chat again when I think the site is clean, for re-opening! Thanks again
3 - I have tried to understand Zalexo other post where there is more details about the intrusion, but again I don't speak Italian. It seems he has the same problem as I had, with some people getting access to his FPT password. For some reason, he thinks this has something to do with sh404SEF. JOOMLA AND sh404SEF cannot be involved in giving FTP password because FTP password is not available on the site. If a hackers get your FTP password, it can only be through your host or through "sniffing" packets while your are connecting.
4 - No vulnerability has been reported for sh404SEF todate. None. Zero. If anyone has any information on any vulnerability, please report it to me at shumisha at gmail dot com, it will be fixed as soon as possible.
Until this happens, I would like to ask people to please stop spreading false rumors on the component. It is not about money, I am not a commercial developper, but this is very hard to take when you are putting many (hundreds) of hours of work to develop some software and support the people using it to see that happening.
Lastly, I hope someone can translate this message or part of this message in Italian, so that people can read it, and I also would like to thank the people who tried to explain 404SEFx and sh404SEF are not the same.
Best regards to all
Yannick Gaultier (shumisha)
-
I Think that someone has to write an answer here to excuse for this...
-
il dubbio che si fosse confuso per via del nome molto simile il componente era già emerso nella prima pagina di discussione, a me spiace per lo sviluppatore e per la confusione generata.
-
CIAO A TUTTI, VI TRADUCO DI SEGUITO IL MESSAGGIO DI SHUMISHA, PER CHI NON CAPISSE BENE L'INGLESE, VISTO CHE LUI STESSO MI HA CHIESTO IL FAVORE.
********************************************************************
Ciao, mi dispiace di scrivere in inglese ma non parlo italiano.
Sono stato recentemente allertato sul forum di supporto sh404SEF riguardo al fatto che alcune persone stavano riferendo che sh404SEF non era sicuro.
Sembra che alcuni altri abbiano scambiato il componente 404SEF con il mio componente sh404SEF.
Mi dispiace molto sentire queste voci andare avanti, e mi dispiace che diverse persone ne parlino su questo forum.
Per farla breve:
1- sh404SEF NON E' LO STESSO COMPONENTE DI 404SEFx (un componente non sicuro segnalato su joomla.org come "vulnerabile"). I nomi ed i componenti non sono gli stessi (anche se 404sefx è l'antenato comune sia di sh404sef che di joomsef).
2 - il mio sito è stato hackerato diverse settimane fa. Gli hackers hanno avuto accesso alla mia pass FTP. Per coloro che ne capiscono un po', capirete che Joomla e sh404sef non possono essere coinvolti nel fatto che le pass FTP siano state scoperte, visto che non si trovano da nessuna parte sul sito.
Per quelli che non lo sanno, qui sotto c'è una trascrizione della mia conversazione con il mio supporto server, dove cercavamo di mettere a posto le cose. Questa trascrizione è dedicata particolarmente agli "rollsappletree" (nota: penso che sia tipo "quaqquaraqquà", ma non ne sono certa), che sembrano credere che io abbia mentito riguardo tutta questa storia per nascondere delle vulnerabilità su sh404SEF:
Dusty [12:23]: Dovrebbe funzionare adesso, per te.
[12:25]: c'è qualcos'altro che posso fare per te oggi?
Yannick gaultier [12:26]: OK, ora funziona. Ne prenderò un altro. Attualmente sto guardando tra i logs per cercare di trovare come sono entrati di nuovo. C'è qualcosa di strano. Questa volta ho i logs FTP così come i logs http. E posso vedere che hanno potuto fare degli upload di files sabato 1 settembre:
[12:26]: Sat Sep 01 03:58:07 2007 0 82.128.15.196 389 /home/silianan/public_html/usbank/usbank/submit.php b _ o r silianan ftp 1 * c
Sat Sep 01 03:58:35 2007 1 82.128.15.196 392 /home/silianan/public_html/usbank/usbank/submit.php b _ i r silianan ftp 1 * c
Dusty [12:27]: ok
Yannick gaultier [12:27]: La password globale è stata cambiata il 30 agosto. Come hanno potuto avere accesso alla mia pass FTP ? non è disponibile da nessuna parte sul mio database o sul sito, Huh
[12:30]: In effetti, come possono avere accesso alla mia pass FTP in qualsiasi momento? anche prima che io la cambiassi?
Dusty [12:31]: L'unica maniera in cui qualcuno può prenderti la password è che tu l'abbia data a loro o che tu non abbia usato Secure FTP per fare l'upload
[12:31]: Se usi il normale protocollo FTP, lui manda la password come testo in chiaro.
[12:31]: Se qualcuno ha usato un packet sniffer, possono aver usato la tua password.
Yannick gaultier [12:32]: Sono l'unica persona che usa questo account. La password non è scritta da nessuna parte. quindi, ciò che stai dicendo è che hanno potuto "sniffare" (nota: prendere) in qualche maniera la mia password perché non ho usato Secure ftp per fare l'upload ? Non sapevo nemmeno che avrei potuto usare secure FTP
Dusty [12:33]: Si, puoi; ad ogni modo, per farlo devi abilitare SSH, ma è molto più sicuro di FTP.
Yannick gaultier [12:35]: SSH è già abilitato. Ma dove sarebbero andati a cercare per essere in grado di "sniffare" ciò che sto inviando ? Cioé, dove si sarebbero agganciati per essere in grado di intercettare i dati FTP?
Dusty [12:36]: Possono aver usato un packet sniffer come wireshark
Yannick gaultier [12:38]: Quindi hanno semplicemente "ascoltato" internet, e quando hanno visto un ftp session init packet, hanno preso il nome del dominio, la password, e si sono potuti connettere in seguito?
Dusty [12:39]: E' possibile farlo. Sì.
Yannick gaultier [12:42]: Quindi come faccio ad usare secure FTP ? c'è un documento da qualche parte che lo spiega? Sto usando filezilla
Dusty [12:45]: Se tu hai abilitato SSH tutto ciò che devi fare è cliccare su File->Site Manager, cambiare la porta a 22 e poi nel drop down box seleziona "SFTP utilizzando SSH2"
[12:47]: C'è qualcos'altro che posso fare per te oggi?
Yannick gaultier [12:49]: OK, Ci lavorerò sù e cercherò di usare SFTP d'ora in avanti. Come stavamo dicendo, ho cambiato con successo la mia master password con qualcos'altro.
Quindi tu pensi che il fatto che io abbia trovato degli accessi FTP da parte di queste persone dimostri che questo era il "buco" iniziale? Non so veramente dove andare a cercare altrimenti: joomla, le sue extensions, e mediawiki sono aggiornati.
Dusty [12:50]: Sì, probabilmetne quello è stato il "buco" iniziale.
Yannick gaultier [12:51]: OK. Adesso comincerò a rimettere a posto tutto. Grazie tantissimo. Ricontatterò di nuovo il supporto on-line quando penserò che il sito sia pulito, per la riapertura! Grazie ancora
3 - Ho cercato di capire l'altro post di Zalexo dove ci sono più dettagli riguardo l'intrusione ma, di nuovo, non parlo italiano. Sembra che abbia lo stesso problema che ho avuto io, con delle persone che hanno avuto accesso alla password FPT. Per qualche ragione, lui pensa che questo abbia in qualche modo a che fare con sh404SEF. JOOMLA E sh404SEF non possono essere coinvolti nel dare password FTP perché le password FTP non sono disponibili sul sito. Se un hacker prende la tua pass FTP, può essere soltanto attraverso il tuo host o attraverso pacchetti di "sniffing" mentre sei connesso.
4 - non sono state riferite vulnerabilità per sh404SEF per l'aggiornamento. Nessuna. Zero. Se qualcuno dovesse avere informazioni su qualsiasi vulnerabilità, vi prego di comunicarmelo a shumisha at gmail dot com. Sarà riparato al più presto possibile.
Fino a quando non succederà, vorrei chiedere alle persone di, perfavore, smetterla di spargere false voci sul componente. Non riguarda i soldi, ionon sono uno sviluppatore commerciale, ma è triste vedere ciò che succede, quando metti tante (centinaia) ore di lavoro per sviluppare del software e supportare le persone che lo usano.
Infine, spero che qualcuno possa tradurre questo messaggio o parte di questo messaggio in italiano, così che la gente possa leggerlo, e vorrei anceh ringraziare le persone che hanno cercato di spiegare che 404SEFx e sh404SEF non sono la stessa cosa.
Saluti a tutti
Yannick Gaultier (shumisha)
**************************************************************
Saluti a tutti!
-
Hello,
I have discovered today a vulnerability in sh404SEF. Please read the full announcement at http://forum.joomla.org/index.php/topic,226147.0.html (http://forum.joomla.org/index.php/topic,226147.0.html)
I apologize for any problem this may have caused. I am posting here, as we have been discussing about sh404SEF security. I have provided fixed files for the versions at risk. The risk isnot very high, as it requires a combination of server settings, but it exists.
Best regards
shumisha
-
Shumisha
I have posted the vulnerability with explanation in italian language in another thread.
Thanks for your help.
-
Hi Carlo,
Thanks for your help!
Regards
-
Shumisha
I have posted the vulnerability with explanation in italian language in another thread.
Thanks for your help.
http://forum.joomla.it/index.php/topic,30656.0.html
-
A parte il problema di "scambio nome" effettivamente dei problemi c'erano.
Ora cmq dovrebbe essere tutto "patchato".
Bisognerebbe fare delle prove...
Ciao