Mailserver, blacklist, dnsbl e spam. Uscire dalle liste e vivere serenamente.

spam_dnsbl_rmiozioneLo SPAM è diventato un business non solo per chi invia milioni di email indesiderate, ma anche per quelle aziende che si propongono come guardiani della rete offrendo gratuitamente il loro servizio di DNSBL per limitare la ricezione di messaggi indesiderati nella propria casella email.

Una DNS-based Blackhole List (anche DNSBL, Real-time Blackhole List o RBL) è un mezzo attraverso il quale è possibile pubblicare una lista di indirizzi IP, in un apposito formato facilmente “interrogabile” tramite la rete Internet. Come suggerisce il nome, il meccanismo di funzionamento è basato sul DNS (Domain Name System).

Le DNSBL sono principalmente utilizzate per la pubblicazione di indirizzi IP legati in qualche modo a spammer. La maggior parte dei mail server possono essere configurati per rifiutare o contrassegnare messaggi inviati da host presenti in una o più liste.

Questi servizi offerti gratuitamente agli utenti e sistemisti di tutto il mondo, permettono realmente di decimare l’invio di SPAM, nonchè la ricezione, contribuendo a una funzione realmente utile all’utente finale.

Può capitare però che si finisca dentro a queste liste e di entrare in una vera e propria valle di lacrime.

Entrare li dentro significa vedersi rifiutare la consegna dei messaggi alla maggior parte degli indirizzi email del mondo che fanno affidamento alle liste DNSBL per bloccare gli spammer.

spamhaus_dnsbl_basic

Ciò può essere un enorme problema sopratutto se ci lavoriamo. Significa infatti che il resto del mondo ci vedrà come Spammer e rifiuteranno a priori e in modo del tutto automatico le nostre email.

Il problema può essere ancora più grande se siamo un fornitore di servizi mail e vediamo bloccare l’intero server magari per colpa di un account di un cliente violato che mandando quantitativi di spam notevoli ci ha fatto finire dritti dritti in una o più di queste liste.

Uno dei modi ufficiali per uscirne è quello di fare la richiesta di rimozione.

Si va sulla pagina web di ogni Blacklist in cui siamo finiti e si compila la richiesta di rimozione dalla lista.

La rimozione non è immediata, ma può impiegare da un paio d’ore per le liste gratuite, fino anche ad una settimana per le liste “a pagamento”.

Il virgolettato è d’obbligo, in quanto è vero che il servizio di DNSBL tutte le liste lo rendono gratuito ma è vero che alcune liste pretendono un pagamento variabile tra 40 e 100 dollari per effettuare la rimozione dell’indirizzo nell’immediato.

Cosa succede dunque se un mailserver finisce in 5 o 6 blacklist a pagamento ?

O facciamo la richiesta di rimozione gratuita e aspettiamo fino ad una settimana per continuare a inviare email, o ci facciamo carico di spendere circa 500 dollari per venire rimossi nell’immediato (o quasi) da queste liste.

Nella pratica nessuna delle due ipotesi è realmente accettabile.

Uno degli stratagemmi sicuramente più pratici e indolori, al di la di mettere in piedi smarthost e simili, è quello di disporre di indirizzi IP di riserva da poter usare per inviare le email al posto dell’IP finito in Blacklist.

A livello aziendale normalmente si assegnano classi di circa 5 ip utilizzabili per piani di tipo business, Alice Business, NGI, ecc.

A livello Datacenter invece è possibile fare richiesta di indirizzi IP aggiuntivi al costo di 1 o 2 euro al mese.

Avere la possibilità di configurare il proprio mailserver per inviare la posta con un indirizzo IP diverso da quello in blacklist è qualcosa di estremamente rapido e funzionale.

Nessuna configurazione complessa, nessun costo esoso. Il giusto prezzo (economico) per ripartire nel giro di 5 minuti e vuotare la coda di posta che i mailserver di tutto il mondo non accettava perchè visti come spammer.

Qualora fosse incappati in questa soluzione e non riusciate a venirne fuori, vi ricordiamo che offriamo consulenza sistemistica su mailserver di tipo Postfix, Qmail, Exim e Sendmail.

Contattaci.

Determinare se un utente sia loggato a facebook utilizzando solo javascript

facebook-spyQuello che voglio mostrare in questo articolo è la possibilità di determinare tramite puro Javascript (ed in appena 4 righe di codice) se un utente è loggato o meno a Facebook.

Ciò potrebbe essere utile per proporre dei contenuti diversi quando l’utente visita la nostra pagina web, in relazione al fatto che l’utente sia loggato o meno.

Va premesso che Facebook fornisce uffcialmente dei comodi ed esaustivi  SDK Javascript e PHP per fare questo tipo di operazioni, ma che l’utilizzo di questi strumenti comporta alcuni passi obbligatori che sebbene possano andare più che bene per la maggior parte degli utenti, potrebbe non andare bene a chi vorrebbe farne un uso “diverso”.

  1. L’utente deve registrare un applicazione a cui sarà associata un APPID univoca.
  2. L’utente che naviga deve aver accettato precedentemente il consenso per l’applicazione
  3. A livello applicativo il webmaster deve portarsi dietro tutto il framework configurato su misura per quella applicazione.

Ma se volessimo “SOLO” sapere se l’utente sia loggato a Facebook nel momento in cui naviga sulla nostra pagina ? 

Premesso che non ci interessa sapere nulla di più e nulla di meno se risulta loggato, senza dover dunque registrare nessuna applicazione Facebook e senza far interagire minimamente il visitatore con le applicazioni Facebook.

Il modo migliore è quello di usare i codici di stato di risposta del Webserver.

L’idea alla base è quella che alcune pagine di Facebook possano ritornare un codice di stato differente se si è loggati o meno.

Se ad esempio si crea un profilo Facebook visibile solo agli utente correntemente loggati su Facebook quando un utente NON loggato tenterà di vedere il profilo privato riceverà uno stato HTTP di errore di tipo 404.
Viceversa quando un utente loggato cercherà di visualizzare il profilo privato otterrà uno stato HTTP di tipo OK, cioè 200.

Tutto quello che bisogna fare dunque è di caricare l’url di un profilo privato (che volendo potremmo creare maliziosamente fasullo appositamente per lo scopo) in un tag di tipo script e agganciarci l’evento onload() e onerror().

Se si verificherà l’errore (ovvero la restituzione di un codice di stato HTTP di tipo 404) l’utente non è loggato a FB e stamperà a video il messaggio “Non Loggato a Facebook”.
Se si verificherà l’evento onload() (è stato ricevuto un codice di stato HTTP di tipo 200) l’utente è correntemente loggato a FB e stamperà a video il messaggio “Non Loggato a Facebook”.

Il codice è molto semplice e banale ma di reale efficacia, visionabile in questo esempio caricato su jsFiddle :

Servizio di conversione da Photoshop a WordPress.

da photoshop a wordpressConsiderando la mole di collaborazioni avute negli ultimi anni con freelance e agenzie di comunicazione a livello nazionale abbiamo deciso di lanciare ed offrire ufficialmente un servizio di conversione da photoshop a template WordPress.

Il servizio consiste nella conversione della grafica prodotta da un software  come potrebbe essere Photoshop (o Fireworks, Illustrator, Corel draw, Gimp, Paint Shop Pro, ecc.) ad un template (detto anche tema) per WordPress.

Il risultato finale sarà un template di massima qualità compatibile con tutti i maggiori browser da IE7 in poi.

Tra i principali benefici :

  • 100% codice xhtml / CSS / PHP scritto a mano.
  • Validazione w3c (xhtml e CSS)
  • Tema pronto per l’utilizzo dei widget.
  • Codice SEO friendly
  • Soddisfazione garantita
  • Costi economici (dal 30 al 50% in meno ai costi di agenzia)
  • Clausola e garanzia di riservatezza

Materiale necessario

Per poter usufruire del servizio è necessario fornire una grafica di tutte le singole pagine che si vuol realizzare in uno dei formati precedentemente elencati oppure esportata in formato JPG ad altissima risoluzione.

Qualora si intendesse consegnare un formato sorgente a livelli è bene consegnare in allegato anche gli eventuali font non standard utilizzati.

Nel caso vogliate implementare slideshow, o effetti javascript o jQuery essi vanno specificati in fase di richiesta preventivo e comunque concordati verbalmente.

Tempi di realizzazione

Dal momento in cui riceviamo l’anticipo e tutto il materiale necessario, occorrerà un’attesa che và dalle 24h ai 4/5 gg circa. (dipendendo dalla soluzione scelta) per la consegna del sito.
Si ricorda comunque che maggiori personalizzazioni grafiche andranno ad influire sui tempi di consegna.

Costi e metodi di pagamento

Una volta ricevuto e accettato il nostro preventivo gratuito procederemo con la firma del contratto e vi verrà chiesto di versare un anticipo pari al 50% del prezzo finale. Il restante 50% verrà versato comodamente alla consegna del sito.

Va ricordato che il servizio è specificatamente rivolto a freelance e agenzie web o di comunicazione. I prezzi riservati sono altamente competitivi e normalmente ridotti dal 30 al 50% rispetto ai costi praticati nelle agenzie.

Il preventivo è del tutto gratuito e valutato entro 24 ore (nei giorni feriali).

    Il tuo nome (richiesto)

    La tua email (richiesto)

    Recapito telefonico (richiesto)

    Quante pagine hai intenzione di convertire ? (richiesto)

    Allega un file zip con i file che intendi convertire ed eventuali font se presenti.

    Il tuo messaggio

    Coversione da photoshop a wordpress prezzi economici

    Mail e antispam service unavailable client host blocked using list.dsbl.org

    Sin da oggi Venerdì 10 Agosto 2012, molti utenti email vedono rifiutare la consegna delle email che tornano indietro con un messaggio di errore del tipo : Service unavailable; Client host [17.158.233.225] blocked using list.dsbl.org

    E’ bene precisare che ciò è dovuto alla configurazione errata di molti mailserver che si appoggiano alla lista DNSBL list.dsbl.org per i dovuti controlli antispam.

    Sebbene questa lista sia ufficialmente “morta” dal lontano 2009, fino ad oggi non ha mai dato problemi di sorta sopratutto per ciò che riguarda i falsi positivi che da oggi affligge ogni messaggio in arrivo.

    Si consiglia dunque a tutti gli amministratori di server mail (Postfix, Qmail, ESIM, Sendmail, Exchange o qualsiasi altro) di disabilitare il controllo su questa lista.

    Se usaste postfix ad esempio dovreste editare il file main.cf e rimuovere o commentare la seguente linea :

    #postfix/main.cf:smtpd_client_restrictions = reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org

    e poi riavviare il mailserver.

    Nel paese dei pagliacci : Camera dei deputati, Giuseppe Scala e il suo algoritmo crittografico.

    E’ bene fare una premessa, nell’articolo che segue non si intende fare critiche all’algoritmo in se o all’autore dell’algoritmo in oggetto ma bensì a tutta quell’esaltazione mediatica che da sempre reputo la rovina del nostro paese.

    I fatti :

    Giuseppe Scala, giovane ragazzo Napoletano, è stato premiato dall’associazione Pigreco alla Camera dei Deputati di Roma per la sua ricerca nel campo crittografico per migliorare la sicurezza delle telecomunicazioni.
    Alla base del suo successo appunto c’è un nuovo metodo crittografico che a dire del ricercatore avrebbe rivoluzionato i tradizionali metodi trasformato il messaggio da criptare in qualcosa di completamente diverso.

    A seguito di questi eventi e dichiarazioni tutta la comunità dell’IT Security si è movimentata alla ricerca di qualche accenno tecnico sul metodo pratico che permette di “trasformare il messaggio in qualcosa di completamente diverso”.

    Ciò ha fomentato molti curiosi tra addetti al settore e non addetti al settore, tra cui l’immancabile stampa che se n’è uscita con servizi del tipo :

    e vari riferimenti a :

    http://multimedia.lastampa.it/multimedia/scienze-e-tecnologie/lstp/101428/

    Passi pure l’ignoranza della stampa (nel senso più bonario ed etimologico del termine), non si capisce come un algoritmo reso non pubblico, ne testato ne verificato da esperti internazionali possa essere addirittura premiato dalla Camera dei deputati di Roma.

    Premesso che l’associazione Pi-Grecouna associazione per la ricerca tecnologica costituita la fine di svolgere attività di utilità sociale attraverso la promozione della conoscenza delle tecnologie avanzate nel settore della informatica e delle discipline ad essa collegate, in ambito regionale, nazionale ed internazione, non ha fini di lucro.” ha lanciato una sfida che consiste nel decrittare un file crittografato con tale algoritmo, a cui il 19 Maggio 2012 al blog http://crittoscala.wordpress.com , veniva decrittato http://crittoscala.wordpress.com/2012/05/19/sfida/#comments il messaggio.

    Premesso che nessuno degli autori della decrittazione si possano considerare esperti di crittanalisi di fama mondiale (senza togliere merito al loro lavoro e al loro ingegno, ma non parliamo di Bruce Schneier, Ronald Rivest, Adi Shamir, Leonard Adleman o Whitfield Diffie e Martin Hellman) sono riusciti indubbiamente nel loro intento : dimostrare l’inutilità e la debolezza dell’algoritmo Scala.

    Vien da chiedersi come un progetto immaturo e non funzionale come l’algoritmo Scala possa essere addirittura premiato senza previa verifica e valutazione da parte della comunità scientifica internazionale.

    Oltretutto parliamo di un algoritmo non pubblico che tuttora gode di “sicurezza” (giustamente virgolettato data la sua inefficienza e insicurezza dimostrata) tramite Security through obscurity, ovvero Sicurezza tramite segretezza, un principio che si basa sul controverso assunto che tenere segreto il funzionamento interno di un sistema lo renda più sicuro, dato che un eventuale attaccante avrebbe maggiore difficoltà nella scoperta di eventuali falle del sistema stesso.

    In crittografia esiste un principio opposto (detto principio di Kerckhoffs), che afferma che il progettista di un sistema deve presumere che l’attaccante conosca il sistema alla perfezione, con l’unica eccezione della chiave crittografica. Un parallelo illuminante può essere quello di una normale serratura meccanica, con azionamento ben conosciuto ma apribile solo con la chiave giusta.

    Rimane dunque lo sdegno e la perplessità non tanto nell’inefficienza e l’utilità dell’algoritmo del giovane studente (che merita comunque incoraggiamento o quantomeno apprezzamento per il tentativo), ma di come un organo prestigioso, carismatico e rappresentativo come la camera dei deputati possa premiare qualcosa di buttato li per caso senza averne valutato pregi e difetti.

    Citando l’autore della decrittazione su http://crittoscala.wordpress.com/2012/05/22/deliri/

    Entrando nel merito dell’algoritmo di Giuseppe Scala penso sia pericoloso premiare un algoritmo ancora non pubblicato e studiato da veri esperti. Una premiazione, addirittura alla Camera dei Deputati, è una sorta di validazione che potrebbe convincere persone non preparate o aziende a usare l’algoritmo credendolo paragonabile ad AES.
    Se a questo si somma la dichiarazione fatta sul sito della PigrecoTechnology secondo cui l’algoritmo avrebbe passato l’analisi di esperti di sicurezza informatica (inizialmente si citava l’ing. Iannone che sarebbe un “esperto indiscusso di sicurezza informatica a livello nazionale”, il riferimento è però stato tolto); amplificando tutto con articoli di questo tipo ( in questo caso non imputabili alla PigrecoTechnology ma al solito modo sensazionalista di certi giornalisti) il rischio diventa concreto.

    Backup remoto di un database MySQL su FTP con lftp e gzip per Windows.

    Se avete mai avuto la necessità di fare un semplice backup di un DB MySQL e avete cercato in rete una soluzione facile ed efficace avrete sicuramente notato la mole inaudita di soluzioni più o meno professionali e potenti (dal costosissimo MySQL Enterprise Backup all’altrettanto valido, migliore, open source e gratuito XtraBackup della Percona) ma sopratutto infiniti script più o meno elaborati che facendo uso del semplice mysqldump permettono un backup (magari in rete).
    Solitamente però sono fatti scritti in shell scripting (bash, sh, csh) o in linguaggi tipo Perl o Python che fanno uso dei comandi di sistema per ovviare le operazioni elementari che un backup richiede.
    Difficilmente (in verità mai, ecco perchè ho scritto questo articolo) si trovano script funzionanti in ambiente Windows che permettano un uso immediato, semplice e malleabile come su ambienti Linux.

    Lo spunto di questo articolo nasce dunque da un caso reale, e più precisamente la necessità di effettuare un backup remoto di un DB MySQL di uno studio personal training per salvaguardare i dati da eventuali rotture hardware, perdite dati, furti.

    Lo script fa uso di 2 comandi originariamente Linux ricompilati e portati su Windows.

    • gzip (per la compressione del DB)
    • lftp (per il trasferimento e la sincronizzazione del backup generato su un server FTP)

     

    il tutto viene invocato da uno script batch (.bat) che esegue il dump del DB (che fa uso di tabelle innodb, stored procedure, funzioni, viste) tramite l’invocazione di mysqldump (dell’installazione mysql originale già presente sul sistema) con l’opzione –routines che permette di fare il dump non solo dello schema e dei dati ma anche delle stored procedure, funzioni, trigger che sono elementi vitali del DB stesso.

    Piu specificamente ecco l’intero script:

    @echo off
     
    set hour=%time:~0,2%
    if "%hour:~0,1%" == " " set hour=0%hour:~1,1%
    set dt=%DATE:~-4%-%DATE:~3,2%-%DATE:~0,2%_%hour%%time:~3,2%
    cls
     
    echo -------------------------------------------------------------------------
    echo Backup del Database in corso.
    echo.
    echo Per favore non chiudere questa finestra e non usare il gestionale.
    echo.
    echo -------------------------------------------------------------------------
    echo.
     
    c:\xampp\mysql\bin\mysqldump -uNOMEUTENTE -pPASSWORD --opt --routines nomedatabase | gzip.exe > c:\backup\sql\nomedatabase-%dt%.sql.gz
    echo Trasferimento del backup remoto in corso ...
     
    c:\backup\lftp -f /backup/copiaremota.lftp

    Lo script di per se è molto semplice e nel dettaglio si comporta nel seguente modo :

    1. Crea una variabile hour a cui è associata l’ora del sistema
    2. Crea una variabile dt a cui è associata la data e l’ora del sistema
    3. invoca mysqldump (dal percorso dove è installato mysql) specificando username e password e il nome del database da salvare, passando l’output tramite pipe a gzip.exe che genera un file di tipo .gz sotto la cartella c:\backup\sql
    4.  viene invocato lftp che ha come parametro copiaremota.lftp

     

    copiaremota.lftp è il file contenente le direttive da “dare in pasto” a lftp.exe

    set ftp:ssl-allow no
    open -u nomeutenteftp,passwordftp ftp.hostremoto.it
    mirror -R --only-newer --verbose /backup/sql /
    quit

    Basterà dunque modificare username e password e il nome dell’host remoto per il server ftp nel file copiaremota.lftp per adattarlo al proprio contesto.

    Esso una volta processato da lftp.exe farà il mirror dei file nuovi dalla cartella c:\backup\sql alla root directory del server ftp in questo caso /

    NOTA BENE : dato che lftp è conforme allo standard POSIX di unix, pur lavorando in ambiente windows, la cartella c:\backup\sql diverrà nel file di configurazione .lftp /backup/sql

    Per far funzionare il tutto dunque, scompattare l’allegato che troverete alla fine di questo articolo in c:\backup, modificare il file backup.bat con il path corretto di mysqldump, nome utente e password mysql e nome del database.

    Successivamente modificate il file copiaremota.lftp inserendo la configurazione corretta del vostro server ftp.

    Lo script rimane dunque molto semplice e funzionale per il backup schedulato di DB MySQL di tipo MyISAM o InnoDB. Sicuramente non è la soluzione ideali per ambienti mission critical che richiedono l’integrità e la continuità in produzione su cui consiglio soluzioni di replica Master/Slave e backup a caldo con  XtraBackup, ma è una possibile soluzione per database di “semplici” gestionali.

    In accoppiata con la schedulazione di Windows (ovvero Operazioni Pianificate) può diventare veramente di grossa utilità. In fondo basta solo lanciare backup.bat per avere una copia remota in maniera del tutto automatica.

    Preventivi a pagamento ? Idee, competenza e valore aggiunto.

    Dopo sette anni di libera professione in cui ne abbiamo viste di cotte e di crude abbiamo deciso di fare un cambio di rotta radicale andando controcorrente alla regola per cui un preventivo per la realizzazione di un sito web debba essere gratuito.

    Noi no. Da oggi in poi il preventivo lo faremo pagare.

    Se qualcuno potrebbe esclamare stizzito : “Ma come ? I vostri concorrenti lo fanno tutti gratis“, invitiamo a proseguire con la lettura e se non soddisfatti delle motivazioni elencate rivolgersi a un nostro concorrente.

    Va innanzitutto considerato che un “sito web” non è un “sito web” (inteso come 5 paginette buttate li per caso) ma la risposta progettata e studiata sull’analisi delle vostre esigenze in un contesto globale (possa essere locale, nazionale o internazionale) fatto di competitor e clienti.

    Una buona analisi non può essere gratuita, in quanto comporta un dispendio di tempi ed energie piuttosto elevato, nonchè un valore aggiunto enorme che nessun smanettone improvvisato può sostituire con quelle due orette (ben che vada) dedicare a stilare il solito e standard preventivo gratuito.

    Fare un’analisi frettolosa o sbagliata significa infatti concepire e realizzare un sito web sbagliato per gli obiettivi e le finalità che il cliente intende raggiungere.
    Conseguentemente dunque si conviverà (o meglio ci si accontenterà) con un sito web che non crea risultati attesi (o che crea addirittura danni).

    Lasciare carta bianca e visionare il sito web realizzato soltanto all’ultimazione dello stesso è il più grosso errore (per il cliente) che si possa fare.

    Il cliente deve sapere sin da subito, dopo l’analisi preventiva e prima della firma del contratto cosa andremo a fare, il come, e il perchè, illustrando elegantemente tutti i punti di forza delle scelte effettuate e motivando le scelte che possano a primo impatto deludere le richieste del cliente (ad esempio: l’abolizione di tecnologia flash, l’eliminazione di musiche di background).

    Non abbiamo dunque l’ambizione di vendere siti inutili col fine ultimo di lavorare e vendere puntando esclusivamente sulla quantità, ma di dare un servizio ad una clientela che recepisca il valore aggiunto di un sito web creato con cura, disegnato e cucito sull’attività imprenditoriale del nostro cliente, piuttosto di uno di quei siti “da manovia” da 300 euro che molti nostri “concorrenti” pubblicizzano senza un minimo di vergogna per loro e per la nostra categoria.

    L’analisi e la progettazione è considerata una fase cruciale, il fattore critico del successo di qualsivoglia iniziativa cui dedicare il giusto tempo e riconoscere un idoneo compenso, con stanziamenti di budget che sull’italico suolo non vengono riservati nemmeno a talune fasi realizzative.

    Un progetto non è un capriccio: ha bisogno di committenti consapevoli, esigenti e risoluti.

    Un’analisi ben fatta e il relativo preventivo si pagheranno anche per una questione di correttezza nei nostri confronti.

    Troppo spesso sono capitate situazioni in cui clienti subdoli abbiano preteso una preventivazione del nostro lavoro, raccolto i nostri consigli e suggerimenti, per poi scappare da “smanettoni” (o cugini) del web che hanno implementato (male) le NOSTRE idee a prezzi stracciati.

    Fornire consulenza 10, 12, 16 ore per poi veder il tutto vanificato da scelte meschine di chi vuol puntare solo sul prezzo ristretto è scorretto nonchè frustrante.

    Oltretutto se acconsentissimo a preventivare le numerose richieste settimanali, ci troveremo nella condizione di prendere in esame dai 3 ai 5 progetti e lavorare (gratis ?) solo ed esclusivamente per stilare analisi e relativi preventivi.

    Questo non ha senso.

    Le idee servono e si devono pagare, perché le competenze hanno un valore economico, perché una cattiva progettazione figlia pessime gestioni, perché l’improvvisazione è una dote canora ma un difetto caratteriale, perché esistono nuove professionalità che, anche senza la rappresentatività di ordini prestigiosi come quello dei farmacisti, dei notai, o degli avvocati, sanno fare bene e seriamente un lavoro assai più complicato di quanto si pensi.

    Fareste costruire una casa senza un’accurata fase progettuale e un calcolo strutturale da un architetto competente e qualificato ? Ci abitereste ?
    Guidereste un’automobile a 130 km/h, progettata ed assemblata da dei dilettanti senza un’accurata fase di progettazione e collaudo ?

    Se la risposta è no, capirete perchè facciamo pagare un preventivo. Il ritorno per voi clienti sarà in termini di qualità del progetto e uno studio a 360° di tutte le possibili soluzioni ottimali da implementare nella realizzazione dello stesso.

    WordPress a rischio : timthumb.php vulnerabile ad attacchi di tipo Remote File Include

    TimThumb, l’utility di ridimensionamento delle immagini compresa in molti template della famosa piattaforma WordPress, sta dando problemi di sicurezza in quanto evidenzia vulnerabilità che eventuali cracker potrebbero sfruttare per attaccare siti e blog che utilizzano tale piattaforma.

    Mark Maunder, amministratore delegato di Feedjit, ha scoperto il problema quando il suo blog ha cominciato a caricare contenuti pubblicitari che originariamente non erano stati da egli stesso inseriti. Proprio sul blog ha parlato dal problema, spiegando che è correlato alla libreria timthumb.php, utilizzata dal tema che egli ha acquistato per il suo spazio web. «Dal momento che sono appena stato attaccato attraverso essa, immagino sia giusto parlare della vulnerabilità al grande pubblico», ha scritto Maunder.

    TimThumb.php, continua, è “intrinsecamente insicuro” perché scrive i file in una directory quando si carica l’immagine e la si ridimensiona. Tuttavia, questa directory è accessibile alle persone che visitano il sito, diventando quindi fonte di attacchi per i pirati informatici. Un utente malintenzionato può anche compromettere il sito agendo direttamente dalla directory, “riempendola” di file infetti.

    Non solo (aggiungiamo noi), il problema infatti non si limita solo a caricare file infetti ma anche file php maliziosi come le famose phpshell,  e nel caso in cui non fosse stato fatto hardening a livello di configurazione PHP (separazione privilegi con su_php o php-fpm, o la disabilitazione di funzioni pericolose come l’allow_url_fopen,system,exec,ecc…) può compromettere seriamente la sicurezza dell’intero server Web oltre che del vhost specifico.

    Il tipo di attacco è quello comunemente definito RFI (Remote File Inclusion), http://it.wikipedia.org/wiki/Remote_File_Inclusion

    Maunder ha dunque spiegato che al momento conviene disabilitare TimThumb o, al limite, limitarne l’accesso.

    Per quanto il discorso di Maunder possa essere corretto e sensato, esso tende a creare dei fraintendimenti ad utenti WordPress e webmaster non troppo esperti.

    Va ricordato infatti che timthumb non è un plugin di WordPress ma bensì un file php “sfuso” inserito come parte funzionale di molti template WordPress (ma non solo wordpress).

    Risulta dunque impossibile disabilitare questo plugin da pannello di controllo come si farebbe normalmente nell’attivazione e disattivazione di plugin wordpress e sopratutto non bisogna illudersi che basti aggiornare la versione di WordPress attuale all’ultima stabile per risolvere questo problema.

    Bisogna (purtroppo) fare un’attività di ricerca manuale nelle cartelle del proprio template, individuare il file timthumb.php (se presente) e sostituirlo con la nuova versione che potete scaricare qui http://code.google.com/p/timthumb/
    Uomo avvisato …

    Corsi e Voucher Alta Formazione: Linux, CED, Virtualizzazione, Cloud, PHP e MySQL

    Dal 4 luglio 2011 al 4 agosto 2011 i cittadini RESIDENTI nelle Regioni Basilicata, Campania, Emilia-Romagna, Friuli Venezia Giulia, Lazio, Liguria, Marche, Puglia, Sardegna, Sicilia, Valle d’Aosta, Veneto potranno richiedere un voucher alla propria Regione per frequentare i corsi del Catalogo Interregionale 2011 dekka Cescot Veneto.

    Advanced LINUX System Administrator

    Obiettivi: fornire le competenze necessarie all’uso del sistema operativo open source LINUX
    Durata: 160 ore di formazione + 40 ore di project work
    Contenuti: Installazione Linux con ubuntu; distribuzione Debian; Installazione e configurazione di SAMBA; Installazione econfigurazione WebServer e DataBase Server; Firewall; Openvp; Open WRT; configurazione WEP/WPA

    Progettista CED , Virtualizzazione e Cloud

    Obiettivi: fornire le competenze avanzate in ambito virtualizzazione, IT management e cloud computing
    Durata: 160 ore di formazione + 40 ore di project work
    Contenuti: Creare una Sala Server (struttura fisica; sicurezza e privacy); Sistemi di virtualizzazione e cloud computing (virtual infrastructures; configurare e monitorare un sistema virtuale; Web 2.0; cluod computing; scenari di utilizzo)

    PHP 6 e MYSQL

    Obiettivi: imparare e utilizzare l’uso del linguaggio PHP 6 e le interazioni con il database MYSQL
    Durata: 160 ore di formazione + 40 ore di project work
    Contenuti: Design Patterns; Classe collection; Astrazione database; utilizzare i servizi del web; architettura dell’applicazione; application framework con PHP; Pianificare e gestire un progetto con PHP.

    La richiesta di voucher avverrà sul portale www.altaformazioneinrete.it dopo avere effettuato la registrazione.
    Per ricevere assistenza, informazioni e i contenuti dettagliati sui corsi Cescot Veneto collegatevi al sito www.cescotveneto.it, inviate una mail a info@cescotveneto.it oppure telefonate allo 049/8174610.