Post

1

Sezione dedicata ai Server / Re:la 2.5 ignora l'uso dell'FTP layer?

« il: 20 Lug 2012, 19:18:52 »

ma in pratica cosa è che non va attivando l'ftp layer sulla 2.5? ... non puoi uppare per i permessi?

Alcuni esempi:
Joomla "base:"

• la gestione delle configurazioni dei template
• il famigerato motivo vero per fare l'aggiornamento alla 5: l'aggiornamento automatico del CMS e dei componenti aggiuntivi
• in pratica quasi qualunque cosa che scriva files invece di lavorare sul database

se poi entriamo nei componenti c'e' da piangere
ad oggi ho visto avere dei problemi:

• K2
• RokGallery
• Ozio Gallery
• Allvideos reloaded
• JoomlaXplorer
• ho dei dubbi su VirtueMart
• Jupgrade

cosi' giusto per iniziare...

Posso uppare i permessi?
CERTO. se metto tutto a 777 funziona tutto alla perfezione.
Ho dovuto farlo per fare gli upgrade con JUpgrade se no banalmente NON VA.
ti sembra pero' che sia una soluzione?

Non ho mai utilizzato ftp layer e non penso che ne avro mai bisogno.
Questo è solo un ulteriore possibilità che joomla ti da per tutti quei casi (molto pochi) per trasferire file non avendo le credenziali ftp

anche qui, sicuramente... pero' poi come la vedi a fare un sito di community come quelli basati su K2 dove sono gli utenti esterni che creano il 90% o piu' dei contenuti?
le immagini te le fai mandare e le uppi tu via FTP?

Signori, e' INNEGABILE che c'e' SEMPRE la soluzione di compromesso.
basta o rinunciare all'interattività con gli utenti finali o alla sicurezza.
per me sono irrinunciabili entrambi.
che faccio, passo a wordpress e ci migro sopra 200 siti? resto alla 1.5 che visto che era una Long term release era supportata fino ad APRILE SCORSO? WOW che Long Term...
va bene tutto, ma stavolta ci si sono messi di impegno direi.
Poi e' ovvio che tutti possiamo sempre dire che viviamo nel migliore dei mondi possibili...

2

Sezione dedicata ai Server / Re:la 2.5 ignora l'uso dell'FTP layer?

« il: 20 Lug 2012, 15:12:40 »

io non ho nessun problema, non uso l'ftp layer.
Credo tu abbia problemi sul server più che con joomla,.. magari hanno cambiato qualche versione sw o configurazione...

il server lo gestisco io, e NON e' cambiata nessuna configurazione...
e' proprio il modello di sicurezza che VOLUTAMENTE chiede di passare via FTP, anche e soprattutto per fare in modo che un qualunque script-vuln-skifezz varia non possa tramite apache mettere le mani sui files.
Personalmente trovo/trovavo questa una delle cose che più differenziavano Joomla da Wordpress, e continuo a pensare che sia un incremento notevole della sicurezza... per esempio perche' rende quantomeno molto difficile a qualcuno uploadare via web il suo script per poi eseguirlo.
e infatti Joomla finora mi risultava molto piu' impervio agli attacker di WP.

Scusate, ma che un sito "funzioni" non mi basta: vorrei anche che retasse in piedi senza compromettere l'intero server per esempio....

possibile che siate tutti dell'idea che avere l'utente che fa girare apache come owner dei files del sito sia cosa buona e giusta?
-------------------------------------------------------------
no, dipende da come configuri il server e da che tipo di server è

qui la discussione diventerebbe lunga 
diciamo un linux debian con Plesk, va' 

3

Sezione dedicata ai Server / Re:safe mode on e directory

« il: 20 Lug 2012, 13:29:40 »

l'unica cosa che puoi fare e' vedere se il tuo provider ti da la possibilità di cambiarlo, ma magari e' "nascosta" altrove dove non ti aspetteresti.
ricordati che il PHP_SAFE_MODE e' controllato da una variabile di ambiente PHP, quindi se il tuo provider ti permette di mettere le mani sul PHP.INI potresti disabilitarlo da li', e ci sono pannelli (ad es. plesk) che permettono di gestire queste impostazioni dall'interfaccia del pannello.
Controlla PRIMA pero' col tuo provider, perche' potrebbe avere deciso che per contratto devi lasciarlo attivato, e magari ti chiude l'hosting, che non e' bello...

se può venire utile le direttive del php.ini che lavorano con saf mode sono:
safe_mode = Off open_basedir = safe_mode_exec_dir = safe_mode_allowed_env_vars = PHP_ safe_mode_protected_env_vars = LD_LIBRARY_PATH disable_functions =

4

Sezione dedicata ai Server / la 2.5 ignora l'uso dell'FTP layer?

« il: 20 Lug 2012, 13:11:12 »

Ciao a tutti,
premetto alcune cose:
1) sto scapocciando su questo problema ormai dall'uscita della 2.5 e ammetto che sono semplicemente furioso, ma non ho voglia di iniziare nesuna trollata. se alcune delle cose che scrivo fanno arrabbiare / offendono qualcuno, chiedo scusa in anticipo
2) HO GIA' letto il forum e che ho sentito risposte sull'uso dell'FTP Layer su cui sono TOTALMENTE in disaccordo, in quanto per me avere un utente che gestisce i files differente da quello che li esegue e' un upgrade di sicurezza indicibile, molto ma MOLTO maggiore del rischio che posso avere mettendo la password FTP insieme a quella del database, della mail ecc ecc...
3) ho sempre considerato uno dei piu' importanti punti di forza del sw opensource il fatto di permettere di scegliere che strada prendere in libertà, quindi considero abbastanza fondamentale per continuare a usare Joomla come ho fatto per anni che mi venga ancora lasciata la scelta

Il fatto e' che comunque fino a "ieri" Joomla! permetteva di essere di un'idea o dell'altra senza problemi, mentre "oggi" sembra che non sia più così , e nel caso vorrei avere da voi se possibile due dritte in merito.

Fino alla release 1.5 di Joomla infatti utilizzando l'FTP Layer non avevo problemi di permessi, potevo permettermi un sano 755 sulle cartelle e 644 sui files e avere il mio owner dei files differente da quello che esegue apache , il tutto con 0 problemi.

Oggi sto facendo invece le prove di upgrade alla 2.5 e continuo a tirare capocciate sul fatto che a un certo punto questa o quella funzione mi risponde che non ha i permessi e quindi non va.
l'ultima in ordine di tempo e' stata quella della gestione dei template, che quando ho chiesto di entrare dentro la configurazione del mio template mi ha risposto con un bell'errore 500-non hai i permessi.... sia chiaro, il tutto dopo che ho caricato componenti plugin ecc senza nessun problema!

dopo infiniti digrignar di denti e frustrazione sempre piu' crescente, googlando trovo solo dei post che mi dicono di risolvere agevolmente... dando 767 alle directory e 646 ai files!!!! già che c'erano tanto valeva che mi dicessero di fare un bel chmod 777 * e al diavolo la sicurezza!!!

scusate, ma dopo mesi che do la caccia a una soluzione, come ho detto sono frustrato e incavolato nero....

insomma, arriviamo al domandone, che ' poi quello del titolo del thread:
per lavorare con la 2.5 devo mettermi l'animo in pace e rinunciare al layer ftp o c'e' un qualche modo per convincere la nuova versione a lavorare correttamente via FTP?
è una questione di "gioventu'" o devo iniziare a pensare che joomla! abbia rinunciato a questo modello di protezione, peraltro insito in tutti i server plesk di questa terra (non certo  2 o 3) ?
Va bene che ho io il controllo del server, e quindi potrei sempre "risolvere" mettendo l'utente www-data nello stesso gruppo di quello FTP o impostando permessi assurdi, ma questa non e' una soluzione, e' un modo per bypassare una sensata procedura di sicurezza violentando il server, senza considerare i problemi che questo creerà col tempo avendo sempre piu' files di www-data nel momento in cui voglio fare qualunque cosa via FTP!

Insomma, voi come fate a gestire i siti della 2.5?
possibile che siate tutti dell'idea che avere l'utente che fa girare apache come owner dei files del sito sia cosa buona e giusta?