Articulo de Thomas Sutton, el australiano que más sabe de SPIP, descubridor y corregidor del bug de las versiones anteriores a 2.09. (¡Hay que actualizar!)
http://passingcuriosity.com/2009/security-and-spip/
« …Exacerbating the problem is the fact that SPIP encourages users to install it with an insecure configuration ». Amén.
lo que se dice un crítico constructivo.
Martín,
Muy interesante el artículo y la discusión, lástima que la intervensión de Fil sea un poco a la defensiva, me gustaría entender mejor el tema, varios amigos acá en Colombia han dejado de usar SPIP y han hecho esfuerzos enormes para migrar sitios a Drupal, con el argumento que la seguridad en SPIP es muy baja, para muchas organizaciones el tema es muy preocupante. De otro lado, como dice Fil, es una suerte que justo a este « duro » del código sea la primera víctima, si me hubiera pasado a mi no hubiera sabido qué hacer. Creo que el hecho que en casi un año desde la primera versión en la que existe esta vulnaribilidad y la última solo se sepa de un sitio atacado me parece que tiene que habla bien de SPIP.
En general la situación me deja un sinsabor. Por la respuesta de Fil, interpreto que entre los desarrolladores no hay aun un consenso de cómo manejar el tema y creo que es un asunto importante.
Me gustaría saber la opinión de la lista sobre las recomendaciones de seguridad de Sutton:
Ante todo proteger la carpeta /config (¿Es suficiente con cambiar los permisos a 755 o mejor se dejan en 555? ¿Realmente será mejor cambiar el usuario y el grupo? Creo que varios de mis proveedores de hosting no me dejan hacer eso) Veo que SPIP 2.0.9 deja /confing en 755
Las otras carpetas que se dejan con 777 son /tmp /IMG y /local ¿qué se hace con esas? ¿hay algún conjunto de indicaciones para construir un .htaccess que saque a todo el mundo de ahí? ¿es eso suficiente? Yo sé casi nada de configurar un .htaccess
Finalmente está el tema de la carpeta /ecrire y el archivo spip.php en la raíz y ahí si me pierdo, me parece un poco complicado que se tenga que hacer todo un trabajo de cambio u ocultamiento de estos datos, si es así toda la simplicidad que nos da SPIP se pierde ¿hasta donde es necesario eso?
No sé si tenga relación con esto, pensaba enviar otro mensaje pero ya que estamos hablando de la nueva versión, les cuento: Estoy teniendo problemas con los sitios migrados, no sé si tiene que ver con la nueva versión pero al menos uno de los sitios no me permite publicar comentarios y tengo al cliente llamándome cada rato por eso, es un sitio donde es muy importante la participación de los lectores.
Al intentar publicar un comentario me da el error:
Fatal error: Call to undefined function cs_decoupe() in /home/periodis/public_html/squelettes-dist/formulaires/forum.php(275) : eval()'d code on line 1
cs_decoupe es una función que he visto en el plugin de la Navaja Suiza, pero no entiendo que tiene que ver con la publicación de comentarios a los artículos. No entiendo que pasa.
Gracias,
Germán
El 10 de agosto de 2009 22:26, Martín Gaitán <gaitan@gmail.com> escribió:
Articulo de Thomas Sutton, el australiano que más sabe de SPIP, descubridor y corregidor del bug de las versiones anteriores a 2.09. (¡Hay que actualizar!)
http://passingcuriosity.com/2009/security-and-spip/
« …Exacerbating the problem is the fact that SPIP encourages users to install it with an insecure configuration ». Amén.
lo que se dice un crítico constructivo.
Spip-es@rezo.net - http://listes.rezo.net/mailman/listinfo/spip-es
–
Germán Bustos
Atarraya
(+57)3177381339
http://atarraya.org