Προς το περιεχόμενο

Προτεινόμενες αναρτήσεις

Δημοσ.

Το Ninja Forms, είχε μία σοβαρή ευπάθεια που θα μπορούσε να επιτρέψει σε hackers να εισάγουν κακόβουλο κώδικα Javascript.

Οι προγραμματιστές του δημοφιλούς plug-in του Wordpress Ninja Forms, επιδιόρθωσαν την ευπάθεια με την τελευταία ενημέρωση. Μία ενημέρωση που πρέπει όλοι να εγκαταστήσουν, αφού η ευπάθεια θα μπορούσε να επιτρέψει σε hackers να εισάγουν κακόβουλο κώδικα για να πάρουν τον έλεγχο του website.

Η ευπάθεια Cross-Site Request Forgery (CSRF) επηρεάζει όλες τις εκδόσεις του Ninja Forms έως και την προτελευταία 3.4.24.1 και μπορεί να χρησιμοποιηθεί για επιθέσεις τύπου Stored Cross-Site Scripting (Stored XSS) σε websites που χρησιμοποιούν την πλατφόρμα Wordpress. Ένας hacker θα μπορούσε να εκμεταλλευτεί την ευπάθεια, παραπλανώντας ουσιαστικά τον διαχειριστή της σελίδας να κάνει κλικ σε ειδικά κατασκευασμένους συνδέσμους στις φόρμες του plug-in, που εισάγουν κακόβουλο κώδικα Javascript.

Το Ninja Forms είναι εγκατεστημένο σε περισσότερα από 1 εκατομμύρια Wordpress websites, αφού το plug-in επιτρέπει την εύκολη και γρήγορη προσθήκη οποιασδήποτε φόρμας, για συλλογή στοιχείων και δεδομένων από τους χρήστες.

Την ευπάθεια CSRF βρήκε το Wordfence, όπου και ανέφερε στους προγραμματιστές του Ninja Forms στις 27 Απριλίου. Οι προγραμματιστές κυκλοφόρησαν γρήγορα μία ενημέρωση για την επιδιόρθωση του ζητήματος. Μία ενημέρωση που ήρθε σε λιγότερο από μία ημέρα.

Σε ανάρτηση blog, ο ειδικός ασφαλείας του Wordfence, Ram Gall, έδωσε περισσότερες πληροφορίες σχετικά με το πώς ένας hacker θα μπορούσε να αξιοποιήσει την ευπάθεια, εάν οι διαχειριστές δεν ενημερώσουν έγκαιρα το plug-in.

Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτή την ευπάθεια για να αντικαταστήσει ένα tag μέσα στην HTML, όπως το <head>, με κακόβουλο κώδικα Javascript. Αυτό θα προκαλούσε την εκτέλεση του κακόβουλου κώδικα σε σχεδόν κάθε σελίδα του site, καθώς η πλειοψηφία των σελίδων ξεκινούν με ένα tag όπως το <head>. Ο κακόβουλος κώδικας θα μπορούσε να χρησιμοποιηθεί για την προσθήκη ενός νέου λογαριασμού admin, την κλοπή cookies ή την ανακατεύθυνση των χρηστών σε άλλα sites. Αυτό θα είχε ως αποτέλεσμα, να μολυνθούν και οι επισκέπτες, εκτός από το ίδιο το site.

Αν και οι προγραμματιστές έχουν ήδη επιδιορθώσει την ευπάθεια, μόλις 170.000 χρήστες από τους συνολικά 1.000.000 που το χρησιμοποιούν, έχουν εγκαταστήσει τη σχετική ενημέρωση. Συνίσταται λοιπόν, να προβεί άμεσα ο οποιοσδήποτε έχει το Ninja Forms, στο Wordpress site του, σε εγκατάσταση της ενημέρωσης ώστε να μην πέσει θύμα της ευπάθειας CSRF.

Tech Radar


Διαβάστε ολόκληρο το άρθρο

Δημοσ.
1 ώρα πριν, forty είπε

Δεν υπάρχει κώδικας που να μην σπάει... CMS Stability = JOOMLA, έχω στήσει τα πάντα!!!

 

μη λες μεγάλες κουβέντες...

  • Like 1
Δημοσ.

Ναι έχει διαφορα σιγουρα αλλά υπαρχουν ευπαθειες σχεδον παντου. Ανοικτός κωδικας ειναι θα έχει ευπαθειες. Στα υπόλοιπα πρέπει να βρεις την ευπαθεια... σπας τι κωδικα κατα καποιο τροπο.

Μιλάω για Cms ανοικτού κωδικα και stability. Ολα εχουν τα πλυν και συν αλλά περισσοτερο ο developer μετραει σε οτι και να στησει. Μπορει να το ασφαλισει καλα. Ακομα και ευπαθειες να υπαρχουν μπορεις να μπλοκαρεις τρυπες...

Δημοσ.

Ω όχι, και τι θα κάνουν οι μισές εταιρείες στο γελλαδιστάν που προσφέρουν...υπηρεσίες; Ω όχι, πως θα βγάλουμε χρήματα από το open source community που απαιτούμε να συντηρεί τα plugins μας 😓

  • Like 2
  • Sad 1
Δημοσ.

Το security-safety μιας πλατφόρμας αναφέρεται πάντα στην default μαμίσια εγκατάστασή του και μόνο. Όταν χρησιμοποιείς 3rd party plugins για να κάνεις την δουλειά σου, σε οποιοδήποτε CMS, τότε μπορεί να ανοίγεις κερκόπορτες που δεν γνωρίζεις.

  • Like 2
Δημοσ. (επεξεργασμένο)

Ετσι ειναι σε μια μπακαλιστικη χωρα οπως η Ελλαδα ο καθενας με ενα template η theme στηνει σελιδα νομιζει οτι ειναι developer και περιμενει να βγει 1ος στις μηχανες αναζητησης με 50 ευρω...

Επεξ/σία από forty
  • Thanks 1
  • Confused 1
Δημοσ.
6 ώρες πριν, valkon είπε

Ω όχι, και τι θα κάνουν οι μισές εταιρείες στο γελλαδιστάν που προσφέρουν...υπηρεσίες; Ω όχι, πως θα βγάλουμε χρήματα από το open source community που απαιτούμε να συντηρεί τα plugins μας 😓

 

Ωραία η templated "καζούρα" σου, αλλά σε thread για τα ninja forms που δεν είναι δωρεάν, είναι εκτός θέματος

Δημοσ.
9 ώρες πριν, forty είπε

Δεν υπάρχει κώδικας που να μην σπάει... CMS Stability = JOOMLA, έχω στήσει τα πάντα!!!

 

Μπορείς να μας εξηγήσεις με απλά λόγια γιατί το Joomla είναι πιο σταθερό από τα υπόλοιπα γνωστά CMS?

Δημοσ.
6 ώρες πριν, forty είπε

Ετσι ειναι σε μια μπακαλιστικη χωρα οπως η Ελλαδα ο καθενας με ενα template η theme στηνει σελιδα νομιζει οτι ειναι developer και περιμενει να βγει 1ος στις μηχανες αναζητησης με 50 ευρω...

 

Για να βγαινεις ψηλά στα αποτελέσματα θέλει καλό SEO και να δημοσιεύεις συχνά και πρωτότυπα άρθρα (και καλό θα είναι να εχεις μια εμφανιση σε πολλά social). Το κόστος αφορά καθαρά τις επιδόσεις και το μέγεθος του site και των μεμονωμενων προς ανέβασμα αρχειων. Από την άλλη, το insomnia πολλές φορές παιρνει 5+ δευτερόλεπτα για να φορτώσει αλλά δε νομίζω πως επιρρεαζεται πλέον ιδιαίτερα στις αναζητήσεις.

Με τόσα CMS δε νομίζω πως υπαρχουν πολλα site που να στήνονται με τη βοήθεια των web developers, το ψωμι για αυτους ειναι ακριβως αυτα τα template και τα plugins. Και το να ξέρεις να διαχειρίζεσαι άψογα ένα CMS (όχι σε ότι φαίνεται στο UI αλλά και στον τεχνικό τομέα) είναι και αυτό μια δυνατή γνώση.

9 ώρες πριν, forty είπε

Δεν υπάρχει κώδικας που να μην σπάει... CMS Stability = JOOMLA, έχω στήσει τα πάντα!!!

 

Κάποτε ημουν υπέρ του Joomla αλλά πλέον το Wordpress έχει ξεφύγει σε δυνατότητες.

  • Like 1
Δημοσ. (επεξεργασμένο)
16 ώρες πριν, valkon είπε

Ω όχι, και τι θα κάνουν οι μισές εταιρείες στο γελλαδιστάν που προσφέρουν...υπηρεσίες; Ω όχι, πως θα βγάλουμε χρήματα από το open source community που απαιτούμε να συντηρεί τα plugins μας 😓

Μπορείς να το αναπτύξεις λίγο περισσότερο αυτό?

Θεωρώ είναι η αρχή μιας ωραίας κουβέντας, αν και offtopic μιας και το Ninjaforms (δυστυχώς για εσένα και την undercover ειρωνεία που εκφράζεις) είναι πληρωτέο plugin, συνεπώς αν ο χρήστης (ή πελάτης) έχει επιλέξει να πληρώνει το ετήσιο support που ζητάνε, ΣΑΦΩΣ και έχει απαίτηση να συντηρείται το plugin του..

14 ώρες πριν, forty είπε

Ετσι ειναι σε μια μπακαλιστικη χωρα οπως η Ελλαδα ο καθενας με ενα template η theme στηνει σελιδα νομιζει οτι ειναι developer και περιμενει να βγει 1ος στις μηχανες αναζητησης με 50 ευρω...

Μπερδεμένη άποψη.. Συνήθως αυτός που θέλει να βγει πρώτος στην αναζήτηση με 50€ είναι ο πελάτης. Το κακό του ΑΣΟΒΑΡΟΥ επαγγελματία (πραγματικού developer ή μη) είναι ότι δεν επικοινωνεί ΣΩΣΤΑ και ΞΕΚΑΘΑΡΑ απ'την αρχή το τί απαιτήσεις μπορεί να έχει ο πελάτης με αυτά τα 50 ή 500€ που παίρνει. 

Η αλήθεια βέβαια είναι ότι ο χώρος (όπως και ο κάθε χώρος) είναι γεμάτος "τα κάνω όλα και συμφέρω με 50€" άτομα τα οποία με την παντοφλίτσα και την πιτζαμούλα στο σπίτι των γονιών του χαλάει την αγορά. Απ'την άλλη προσωπικά πριν 5 μέρες έφερα ηλεκτρολόγο να μου τσεκάρει τον ηλιακό θερμοσίφωνα, με την ευκαιρία του έδειξα ότι το μπουτόν απ'το καζανάκι δεν πατιέται εύκολα αλλά και στάζει νερό, και με την ευκαιρία όχι μόνο μου καθάρισε και τα 2 aircondition, αλλά έκανε και λίγο χαζομερεμέτι να στοκάρει την τρύπα της σωλήνας του aircondition στον τοίχο που το χειμώνα έμπαζε κρύο και με ενοχλούσε γιατί ήταν πάνω απ'το κρεβάτι.

True story! Κόστος επίσκεψης? 50€

Όποιος θέλει δίνω και τηλέφωνο.. Εγώ πάντως "τη δουλειά μου την έκανα". Και το χειρότερο ξέρετε ποιό είναι? Ότι όταν το είπα στον αδερφό μου, μου είπε "α και δε με ρώταγες ρε πρώτα? ο Γιώργος ο συμμαθητής μου απ'το σχολείο θα στο έκανε με λιγότερα, να έπαιρνες και μια δεύτερη γνώμη, απ'το να τα δώσεις στον άγνωστο"...

Βλέπετε κάποια ομοιότητα?

17 ώρες πριν, forty είπε

Δεν υπάρχει κώδικας που να μην σπάει... CMS Stability = JOOMLA, έχω στήσει τα πάντα!!!

Το καλύτερο εργαλείο είναι αυτό που εσύ ξέρεις πώς να χειρίζεσαι καλύτερα και αυτό έρχεται με την εμπειρία. 

Πλέον πάντως ελάχιστος κόσμος ξεκινάει κάτι καινούριο σε Joomla, και εμπειρικά όσο πιο γρήγορα αγκαλιάσει κάποιος επαγγελματίας την καινούρια τεχνολογία που έχει τις βάσεις να γίνει mainstream τόσο το καλύτερο (εμπορικά) στην πορεία. Ίσως θα άξιζε να κοιτάξεις προς Wordpress ή [αν θες να διαφέρεις] προς Drupal μεριά ως εναλλακτική λύση όταν/αν αρχίσεις να βλέπεις εμπόδια από πλευράς πελάτη προς το Joomla. 

Having said that, η αλήθεια είναι ότι δεν έτυχε να ασχοληθώ ποτέ ούτε επαγγελματικά ούτε ερασιτεχνικά με Joomla, έτυχε (στην κυριολεξία όμως) όταν σιγά σιγά φεύγαμε από τα custom λόγω αδυναμίας πελατών να τα πληρώσουν στην εποχή της αρχής της κρίσης (.aspx ή coldfusion αρχικά, και μετά php) να κάνουμε 3-4 εγκαταστάσεις Wordpress για δοκιμή όταν ακόμα το Joomla ήταν σαφώς δυνατότερο από default kai ουσιαστικά να αφοσιωθούμε σε αυτό για τους μικρούς/μεσαίους πελάτες. 

Επεξ/σία από polaki
  • Like 2
Δημοσ.
4 ώρες πριν, polaki είπε

Μπορείς να το αναπτύξεις λίγο περισσότερο αυτό?

Θεωρώ είναι η αρχή μιας ωραίας κουβέντας, αν και offtopic μιας και το Ninjaforms (δυστυχώς για εσένα και την undercover ειρωνεία που εκφράζεις) είναι πληρωτέο plugin, συνεπώς αν ο χρήστης (ή πελάτης) έχει επιλέξει να πληρώνει το ετήσιο support που ζητάνε, ΣΑΦΩΣ και έχει απαίτηση να συντηρείται το plugin του..

Μπερδεμένη άποψη.. Συνήθως αυτός που θέλει να βγει πρώτος στην αναζήτηση με 50€ είναι ο πελάτης. Το κακό του ΑΣΟΒΑΡΟΥ επαγγελματία (πραγματικού developer ή μη) είναι ότι δεν επικοινωνεί ΣΩΣΤΑ και ΞΕΚΑΘΑΡΑ απ'την αρχή το τί απαιτήσεις μπορεί να έχει ο πελάτης με αυτά τα 50 ή 500€ που παίρνει. 

Η αλήθεια βέβαια είναι ότι ο χώρος (όπως και ο κάθε χώρος) είναι γεμάτος "τα κάνω όλα και συμφέρω με 50€" άτομα τα οποία με την παντοφλίτσα και την πιτζαμούλα στο σπίτι των γονιών του χαλάει την αγορά. Απ'την άλλη προσωπικά πριν 5 μέρες έφερα ηλεκτρολόγο να μου τσεκάρει τον ηλιακό θερμοσίφωνα, με την ευκαιρία του έδειξα ότι το μπουτόν απ'το καζανάκι δεν πατιέται εύκολα αλλά και στάζει νερό, και με την ευκαιρία όχι μόνο μου καθάρισε και τα 2 aircondition, αλλά έκανε και λίγο χαζομερεμέτι να στοκάρει την τρύπα της σωλήνας του aircondition στον τοίχο που το χειμώνα έμπαζε κρύο και με ενοχλούσε γιατί ήταν πάνω απ'το κρεβάτι.

True story! Κόστος επίσκεψης? 50€

Όποιος θέλει δίνω και τηλέφωνο.. Εγώ πάντως "τη δουλειά μου την έκανα". Και το χειρότερο ξέρετε ποιό είναι? Ότι όταν το είπα στον αδερφό μου, μου είπε "α και δε με ρώταγες ρε πρώτα? ο Γιώργος ο συμμαθητής μου απ'το σχολείο θα στο έκανε με λιγότερα, να έπαιρνες και μια δεύτερη γνώμη, απ'το να τα δώσεις στον άγνωστο"...

Βλέπετε κάποια ομοιότητα?

Το καλύτερο εργαλείο είναι αυτό που εσύ ξέρεις πώς να χειρίζεσαι καλύτερα και αυτό έρχεται με την εμπειρία. 

Πλέον πάντως ελάχιστος κόσμος ξεκινάει κάτι καινούριο σε Joomla, και εμπειρικά όσο πιο γρήγορα αγκαλιάσει κάποιος επαγγελματίας την καινούρια τεχνολογία που έχει τις βάσεις να γίνει mainstream τόσο το καλύτερο (εμπορικά) στην πορεία. Ίσως θα άξιζε να κοιτάξεις προς Wordpress ή [αν θες να διαφέρεις] προς Drupal μεριά ως εναλλακτική λύση όταν/αν αρχίσεις να βλέπεις εμπόδια από πλευράς πελάτη προς το Joomla. 

Having said that, η αλήθεια είναι ότι δεν έτυχε να ασχοληθώ ποτέ ούτε επαγγελματικά ούτε ερασιτεχνικά με Joomla, έτυχε (στην κυριολεξία όμως) όταν σιγά σιγά φεύγαμε από τα custom λόγω αδυναμίας πελατών να τα πληρώσουν στην εποχή της αρχής της κρίσης (.aspx ή coldfusion αρχικά, και μετά php) να κάνουμε 3-4 εγκαταστάσεις Wordpress για δοκιμή όταν ακόμα το Joomla ήταν σαφώς δυνατότερο από default kai ουσιαστικά να αφοσιωθούμε σε αυτό για τους μικρούς/μεσαίους πελάτες. 

Συμφωνώ φίλε σε όλα, σίγουρα το καλύτερο είναι αυτό που δουλευει ο καθένας και ημουν συγκεκριμένος. Stability, όσοι έχουν στήσει custom, joomla, drupal, wordpress, prestashop, opencart κλπ μπορούν να καταλάβουν τι λέω. Δεν λέω ποιο είναι καλύτερο... Όταν όμως μιλάμε για CMS θα πρέπει να το κρίνουμε με βάση τι προσφέρει μόνο του και όχι με τα plugin που στο μέλλον βγαζουν προβλήματα!!

Δημοσ.
49 λεπτά πριν, forty είπε

Stability, όσοι έχουν στήσει custom, joomla, drupal, wordpress, prestashop, opencart κλπ μπορούν να καταλάβουν τι λέω

Έχω στήσει αρκετά περισσότερα από αυτά που αναφέρεις και αδυνατώ να καταλάβω τι εννοείς. Θες να το εξηγήσεις λίγο;

Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε

Πρέπει να είστε μέλος για να αφήσετε σχόλιο

Δημιουργία λογαριασμού

Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!

Δημιουργία νέου λογαριασμού

Σύνδεση

Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.

Συνδεθείτε τώρα
  • Δημιουργία νέου...