Re: [ml] PHP iCalendar CSS

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2005 ml@sikurezza.org
Soggetto: Re: [ml] PHP iCalendar CSS
Mittente: Igor Falcomata'
Data: Tue, 15 Nov 2005 17:01:51 +0100 (CET)

On Tue, Oct 25, 2005 at 02:55:49PM +0200, ascii wrote:

> Se siete italiani leggete adv.txt e tra le bestemmie troverete di sicuro
> maggiori informazioni.
> 
> www.ush.it/2005/10/25/php-icalendar-CSS/
> www.ush.it/team/ascii/hack-PHP-iCalendar/adv.txt

[ehm, avevo cominciato a rispondere il 25/10 stesso, dopo essermi
sentito con ascii, che ringrazio, poi ho avuto "un po'" da fare <g>]

mea culpa, avevo ovviamente un allow_url_fopen = Off nella
configurazione, peccato fosse vanificato da una riga con On piu' in giu'
nello stesso file di configurazione, come da default debian (e php in
genere; settaggio di default per altro scandaloso.

Ennesima dimostrazione di quanto sia utile provare "sul campo" i
settaggi dopo averli fatti (bastava un file pippo.php con un
include/require e un test al volo; purtroppo quel calendario e' stato
messo su al volissimo per webb.it senza nessuna revisione del codice),
altra cosa da evitare :)

Il settaggio di cui sopra ad altri, alcuni scoperti da ascii altri no,
possono ridurre un minimo (non eliminare, of course) il "danno" creato
da una marea di applicazioni sviluppate da programmatori php average che
meriterebbero la fucilazione; intervenendo a livello sistemistico (non
possono ovviamente risolvere il problema).

Al riguardo terro' un intervendo (molto simile ad uno che ho gia' tenuto
solo per un evento a pagamento) il 25 a Cesena
(http://sprite.csr.unibo.it/blog/), il 26 a Bologna
(http://erlug.linux.it/main/) e il 27 a Rimini
(http://www.riminilug.it/), se a qualcuno interessasse.

Dopo gli interventi pubblichero' ovviamente le slide e daro' anche una
spiegazione della config utilizzata.

Al momento ho rimosso phpicalendar dal sito (le macrovuln erano gia'
state fixate ovviamente allora, insieme al problema di config php)
poiche' al momento non serve piu' (oltre alle vuln gia' citate ascii me
ne ha segnalate un altro paio ed in generale gia' a suo tempo una scorsa
velocissima al codice non mi aveva lasciato una buona impressione).

Per quanto riguarda le slide webb.it, credo di metterle (finalmente <g>)
online entro la settimana.

bye,
Koba

Data:
- precedente: [ml] SYNFLOOD causa DOS, arcetrax arcetrax
- successivo: [ml] Istant Messaging Sicuro, G.LaForge
- indice

Argomento:
- precedente: RE: [ml] SYNFLOOD causa DOS, Lombardo, Federico
- successivo: [ml] Istant Messaging Sicuro, G.LaForge
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005