[Plone-IT] uhm...

Riccardo Lemmi riccardo a reflab.it
Mar 20 Ott 2009 15:50:46 UTC 

On Tuesday 20 October 2009, Edgar wrote:
> Visto che non pensavo di scatenare un interesse simile , avendo
> probabilmente scambiato per vulnerabilita', una serie di accessi come
> utente  non autorizzato a due siti plone , e considerato anche che plone
> non lo uso, e non ne conosco le varie possibilita' e particolarita' di
> gestione, sarei comunque interessato a conoscere come ci si possa
> registrare ed attivare una serie di pagine con link a falsi motori di
> ricerca,come utente ai due siti, dato che in entrami i casi  non mi pare
> esista un form di registrazione ... 

Ciao,
hanno tolto il link a 'join_form' ma non hanno tolto il permesso 'add portal 
member' all'utente anonimo, quindi chiamando la form dal browser si può 
ancora creare un utente.
Come ulteriore errore di configurazione non hanno disattivato la creazione 
della home, unico posto in cui un utente con il solo ruolo Member possa 
creare dei contenuti.

Il motivo per cui i contenuti sono visibili è dovuto al fatto che 
l'amministratore del sito ha alterato il workflow standard di quella versione 
(mi pare la 2.5) o ha dato il permesso 'review portal content' agli utenti 
con ruolo Member (o Owner) in modo che possano pubblicarsi i contenuti, per 
default in quella versione i contenuti sono visibili ma non ricercabili cioè 
per un utente anonimo sapendo la url sono in grado di vederli ma non facendo 
una ricerca.

> .... Quando si scrive di captcha e 
> login vi riferite forse ad un accesso eseguito inviando qualche comando
> diretto al server e non da pagina web ??

Esiste un prodotto che modifica la join_form aggiungendo un campo captcha (una 
immagine con dei numeri o una frase che va copiato nella form) in modo da 
evitare che un bot possa crearsi in automatico una serie di account, in ogni 
caso deve passare via web. 

Nota che zope/plone non sono soggetti ad attacchi di tipo sql injection. Ti 
rimando qui per ulteriori info:

 http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zodb
 http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zope-is-secure

> Per completezza riporto le 2 URL complete incriminate...
>
> sito 1
> http://www.comune.cene.bg.it/Members/Insurance/renters-insurance-davis-cali
>fornia/
>
> sito 2
> http://intranet.comune.argenta.fe.it/PoloScolastico/Members/Rosetta/rosetta
>-stone-discovery-site
>
>
> Saluti
>
> Edgar from Bangkok

-- 
Riccardo Lemmi                           Email:   riccardo a reflab.it
Reflab S.r.l. - Plone Design, Development and Consulting
Phone: +39 349 4620820                         http://www.reflab.it
-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  189 bytes
Descrizione: This is a digitally signed message part.
URL:         <http://lists.plone.org/pipermail/plone-plone-it/attachments/20091020/4579c50c/attachment.asc>

Maggiori informazioni sulla lista Plone-IT