0
Apr 18 2014

Heartbleed

OpenSSL è una delle librerie più diffuse per la crittografia, è usata da tantissimi software, inclusi Apache, OpenSSH, OpenVPN etc…

Recentemente si è scoperto che le release degli ultimi due anni soffrivano di un bug nell’heartbeat, chiamato Heartbleed.

Questo bug, in pratica, permette di ottenere i dati rimasti in memoria, tra i quali anche la chiave privata di un sito, rilasciata normalmente da autorità di certificazione dopo aver controllato documenti su documenti che verifichino l’identità del richiedente.

È un durissimo colpo, il 66% dei siti web era vulnerabile: Google (con tutti i suoi prodotti, inclusi Android 4.1 e 4.1.1), Facebook, Wikipedia e persino Microsoft, sebbene sia software libero, ne erano affetti!12

Lo è sia per tutte le tecnologie che usavano versioni infette della libreria, che, penso, per il progetto OpenSSL in sé.

Molti siti e software importanti hanno già rilasciato le patch, Debian ha addirittura rilasciato la patch il giorno stesso e il giorno dopo una serie di ISO di Wheezy corrette, aggiornando addirittura il numero di versione.

Come al solito la mia “filosofia” vince ancora: mai fidarti dei mezzi che vanno su una rete pubblica, anche se ben… [Leggi il resto...]

0
Nov 03 2013

Torno a GDM

Da molto tempo in alcuni computer sto utilizzando LightDM anziché GDM.

Entrambi sono due gestori di display, ovvero permettono il login grafico e controllano il server X. Il primo è nato con lo scopo di essere leggero, permette una personalizzazione in HTML ed è diventato la scelta predefinita di Ubuntu già da alcune versioni, il secondo è quello ufficiale di GNOME.

Su Debian GDM3 è ancora il DM predefinito per chi ha GNOME, però mi sembrava lento all’avvio, perciò avevo deciso di cambiarlo.

Da tempo, però, pensavo di tornare a GDM perché non mi sembrava più così male come tempi d’avvio, inoltre non era stato rimosso dall’avvio e ad ogni boot veniva fuori il messaggio che era disabilitato.

Una cosa che poi mi seccava parecchio, riguardo LightDM, era che ad ogni aggiornamento dovevo ripristinare l’opzione di visualizzare la lista degli utenti anziché mettere lo username ogni volta, anche se magari esisteva un modo per fare file di configurazione separati dal resto.

Negli ultimi tempi ho avuto qualche problema con GNOME: non si montavano le unità di massa automaticamente e come ultimo bug non funzionavano più l’arresto del sistema o lo standby da parte dell’utente.

[Leggi il resto...]

2
Giu 18 2012

Singleton in PHP + annesso bug

È da un po’ di tempo che sto programmando in C++ ma oggi sono tornato a programmare un po’ in PHP.

Devo dire che ormai mi sembra strano non dover dichiarare più variabili, non aver più gli header e poter implementare i metodi fuori dalla classe stessa.

Però mi ha fatto bene questa pausa di PHP perché ho imparato una tecnica molto interessante, quella delle “singleton”.

In pratica le singleton sono classi che possono avere una sola istanza.

Il loro metodo si riduce praticamente ai metodi statici, però sono più eleganti, secondo me.

Ci sono due principali metodi in C++ per fare i singleton: impostare il costruttore private, in modo da impedire la chiamata al di fuori della classe e dopo chiamarlo o da un metodo statico oppure tramite l’overriding dell’operatore new.

Implementare il primo metodo in PHP è facilissimo, mentre implementare il secondo dovrebbe essere fattibile tramite il metodo magico __call. Però non funziona, ma per farvi vedere come sarebbe lo metto lo stesso nel codice, che è il seguente:

[Leggi il resto...]
4
Apr 19 2011

PNG su Firefox: come risolvere il problema dei colori

Su Iceweasel (come Debian chiama firefox) può capitare che si vedano le png di colori diversi, per esempio avevo una PNG con il colore #333333 mentre se facevo lo screenshot e andavo a vedere che colore rendeva Firefox con GIMP mi dava #363636. Invece su Chromium era tutto ok.

Così cercando su Google, ho trovato un bug su bugzilla.

Vi riassumo qui come risolvere il problema.

  1. Aprite about:config
  2. Premete “Farò attenzione, prometto” se vi viene fuori quel bottone
  3. Nella barra di ricerca inserite gfx.color_management.mode
  4. Dovrebbe apparirvi una sola voce, che nel mio caso era impostata a 2
  5. Fate doppio click e inserite 0
  6. Ora riavviate Firefox e dovreste non aver più il problema.

La soluzione è degli utenti, ovviamente.

Io la riporto qui solamente traducendola.

6
Apr 02 2011

Gravissimo bug su Flatpress

English Users: read on Flatpress Forums.

Hey utenti di Flatpress, leggete qui perché è importante…

È facilissimo prendere il controllo del vostro blog.

A causa di un bug il controllo del login non fnziona.

Per farlo funzionare dovete modificare il file fp-includes/core/core.users.php, da linea 77 alla 98, la funzione user_loggedin() che deve diventare:

function user_loggedin(){
		global $loggedin, $fp_user;
		if ($loggedin)
			return $fp_user;
		if ( empty($_COOKIE[USER_COOKIE]) || empty($_COOKIE[PASS_COOKIE]) ) {
			$fp_user = null;
			return $loggedin = false;
		}

		$fp_user = user_get($_COOKIE[USER_COOKIE]);
		if (!$fp_user) {
			return false;
		}
		if($_COOKIE[PASS_COOKIE] == $fp_user['password']) {
			$loggedin = true;
			return $fp_user;
		}
		$loggedin = false;
		return false;
	}

Non so se ho fatto bene a pubblicare qui la soluzione al bug… In pratica è descritto anche l’exploit…

Per fortuna dovete conoscere Flatpress, PHP più qualcos’altro per poter applicarlo a fin di male.

Ciò che mi preoccupa per voi sono, oltre ai post e alle statiche, le parti che potrebbero rendere inagibile il vostro sito: i plugin ma anche l’uploader: conoscendo dove vanno i file è facile creare una shell PHP…

Mi raccomando: correggete subito e spero NoWhereMan crei presto una nuova versione di FP.

Comunque anche se riusciste a trovare l’exploit io sono già al sicuro :mrgreen: