Apache Open source Sicurezza WordPress

Htaccess: limitare l’azione di bot, spider ed exploit

Pubblicato da

Htaccess: limitare l'azione di bot, spider ed exploit

Uno dei modi più semplici per attaccare un sito realizzato con un linguaggio dinamico (ASP.NET, PHP, ecc.) è quello di scrivere URL malformati o di inoltrare molteplici richieste contemporanee.
Anche l’azione troppo “invadente” di certi spider automatici può causare problemi di accessibilità ad un sito.
I server come Apache hanno la possibilità di configurare l’accesso ad una directory tramite il file .htaccess .
Sfruttando questa caratteristica si possono impostare una serie di regole per filtrare gli accessi.

5G Blacklist è un progetto condiviso per la realizzazione di un .htaccess “definitivo” in cui siano contemplati tutti i casi per limitare l’azione di bot, spider automatici e hacker alle prime armi.
Il nome deriva dal fatto che è la quinta generazione di questo file che è un po’ come una blacklist di un firewall.
Non si tratta della soluzione contro tutti i mali ma permette di risparmiare molta banda e rintuzza gli attacchi più classici.
Il file è strutturato molto bene permettendo di personalizzare, ad esempio, l’elenco degli IP bloccati (o consentiti) oppure quello degli User-Agent (i software che manifestano la propria identità) non consentiti.
Bisogna  dire che entrambi i metodi sono soggetti a raggiro: uno spider può avere diversi IP e un User-Agent può essere simulato.

C’è poi tutta una sezione che “cura” le query string (quelle URL che al loro interno passano valori e parametri).
Il lungo lavoro della community è stato quello di filtrare le URL formate in maniera anomala facendo passare quelle corrette.
Nonostante qualche limite la validità di 5G Blacklist rimane. E’ un metodo semplice e alla portata di tutti per aumentare la sicurezza delle proprie applicazioni web.

Funziona perfettamente con WordPress.

Link: 5G Blacklist (qui la versione beta della 6G)

Freeware

Software Office Gratuito: Kingsoft

Pubblicato da

Software Office Gratuito: Kingsoft

Sono sempre stato un estimatore di OpenOffice (prima) e di LibreOffice  (poi).
Tuttora li trovo degli strumenti completi e adatti anche ad un uso professionale. Con gli standard aperti, poi, sono veramente insuperabili.
Quello che mi lascia perplesso sono:

  • una certa pesantezza delle suite
  • qualche bug non risolto per il trattamento degli RTF in LibreOffice (ma ho letto di problemi anche con OO)
  • la gestione dei file Microsoft “moderni” (docx, pptx, xlsx) un po’ laboriosa

Kingsoft è una suite di programmi di produttività Office gratuita per scrivere documenti, creare fogli di calcolo e presentazioni.
Ciò che si apprezza di Kingsoft è la velocità di avvio, la familiarità con il pannello dei comandi (nella versione gratuita è quella di Office pre-ribbon) e la gestione dei file Microsoft.
Quello che non ha sono la possibilità di salvare in formato Microsoft “moderno” (vedi sopra) e la gestione dei formati open.
Non sarà il massimo della pulizia ma io, sul mio desktop, ho deciso tenermi LibreOffice per la sua completezza e per l’utilizzo dei file con formati aperti, e Kingsoft per gestire velocemente i formati Microsoft.
La versione a pagamento di Kingsoft permette, tra le altre cose, di cambiare l’interfaccia del programma (la famosa ribbon) e di utilizzare VBA e macro.

Link: Kingsoft

Freeware Portable

Posta elettronica: JBMail un client leggero, sicuro e portatile

Pubblicato da

Posta elettronica: JBMail un client leggero, sicuro e portatile

I client di posta elettronica come Outlook e Thunderbird sono forse un po’ sorpassati dalla diffusione della posta che si legge direttamente online nel proprio pezzetto di cloud.
Ci sono ancora tantissimi utenti, professionali e non, che però continuano a scaricare la posta sul proprio computer. Un po’ per abitudine e un po’ per essere sicuri di avere tutto sempre a portata di mano anche in mancanza di connessione.

C’è però un modo per leggere la posta che sta a metà tra gli strumenti online e i client desktop.
Se devo testare la configurazione di una casella di posta per un cliente, utilizzo un piccolo, portatile e completo programma: JBMail.
Tramite semplici schermate di configurazione è possibile accedere in visualizzazione all’interno della casella.
Ed è proprio questa la comodità di JBMail: non scarica niente ma è come se si aprisse una finestra sul proprio account.
Spesso lo uso per cancellare quella posta indesiderata che oltrepassa i filtri antispam.
La mancanza di “fronzoli” tipica dei client sopra citati, permette a JBMail di essere molto veloce. Inoltre HTML e script all’interno delle email non sono supportati quindi ci sono minori rischi per la sicurezza.
Gli allegati sono decodificati solo su richiesta.
Nella maggior parte dei casi basta inserire i dati nella prima schermata (quella dell’immagine in testa a questo post), tuttavia sono presenti anche le opzioni avanzate necessarie nel caso in cui ci sia bisogno di autenticazione dell’utente o ci si debba connettere tramite protocolli diversi dal normale.
JBMail, nella sua versione gratuita, salva solo la configurazione di un account.

Link: JBMail

Google Chrome

Google Reader: il passaggio indolore a Feedly (con Chrome)

Pubblicato da

Google Reader: il passaggio indolore a Feedly (con Chrome)

Google Reader: il passaggio indolore a Feedly (con Chrome)

Ormai anche i sassi sanno che Google Reader cesserà le proprie funzioni il 1 luglio 2013. I motivi non mi sono chiarissimi e la scusa della concorrenza interna con Google + non mi convince del tutto.
Mi mancherà perchè l’ho sempre trovato uno strumento agile, ben strutturato ed efficiente.
Ma anche i migliori se ne vanno e noi dobbiamo andare avanti.
Tra le sue alternative io ho già scelto da tempo Feedly perchè mi sembra ben strutturato e supportato. Molto veloce.
Se volessimo ripetere in toto l’esperienza “Google Reader” dovremmo usare Chrome.
Basta prima di tutto installare l’app Feedly presente nel Chrome Web Store. Se non si dispone già di un account Feedly, questo viene creato automaticamente autorizzando la connessione a Google Reader. Immediatamente ci ritroveremo tutti i nostri feed organizzati come li avevamo lasciati in Reader.
Per applicare il look&feel di Google basta installare (sempre dal Chrome Web Store) Feedly Reader . Questa seconda applicazione non fa altro che trasformare Feedly in un clone di Google Reader … e  farci sentire di nuovo a casa.

[via addictivetips]

Sicurezza

Sicurezza: gestire tutte le password con LastPass

Pubblicato da

Sicurezza: gestire tutte le password con LastPass

Sicurezza: gestire tutte le password con LastPass

I comandamenti della sicurezza su internet recitano:

  • usa una password difficile per i tuoi account
  • usa una password diversa per ogni account

Più facile a dirsi che a farsi.
A meno di non essere Pico della Mirandola o di riempirsi la scrivania di post-it la soluzione viene da un plugin/programma disponibile per tutti i browser e i sistemi operativi più diffusi: LastPass.Ho scritto anche programma perchè in teoria è possibile installare un programma per Windows che rende operativo LastPass per ogni browser installato sulla macchina. Quindi senza installare i singoli plugin per ogni browser.
Come funziona?
Dopo la prima installazione e la creazione dell’account LastPass (la cui password sarà l’unica che dovrete tenere a mente), il programma importa le password salvate nei vari browser.
Al termine di questa operazione vi sarà chiesto se vorrete cancellare e disabilitare le informazioni presenti nei browser.
Il mio consiglio è di non farlo subito ma solo dopo che vi sarete assicurati che tutto sia stato importato correttamente.
Tutti i dati sono salvati e criptati in locale e poi inviati ai server di LastPass. La privacy, così, è abbastanza assicurata.
Questo metodo permette di tenere sincronizzate le password non solo tra le diverse macchine su cui è installato LastPass ma anche tra i diversi browser.
Dopo quel momento, ogni volta che vi si presenterà una schermata di login, LastPass si proporrà di riempirli con i dati presenti in memoria.
Se attraverso la stessa schermata accediamo a diversi account, sarà sempre possibile scegliere quali dati inserire.

In LastPass è presente anche una comoda funzionalità che riempie i form con i dati personali (un po’ come lo storico RoboForm).
Un gran risparmio di tempo se spesso riempiamo moduli per la richiesta informazioni o per iscrizioni ecc.

LastPass ha una versione completa e gratuita che funziona solo sui browser e sistemi operativi per pc.
La versione Premium è a pagamento (appena 12$ all’anno) ma permette di utilizzare LastPass anche sui dispositivi mobili (smartphone e tablet) ed è priva di pubblicità.
Per gli utenti con questo tipo di account è previsto anche un supporto tecnico
Sto usando, per adesso, la versione gratuita e mi sto trovando benissimo. In un colpo solo ho risolto il problema delle password e della sincronizzazione tra i vari dispositivi.

Link: LastPass

CMS Php

phpList: principali problemi subito dopo l’installazione (e le soluzioni)

Pubblicato da

phpList: principali problemi subito dopo l'installazione (e le soluzioni)

phpList: principali problemi subito dopo l'installazione (e le soluzioni)

phpList è il sistema di gestione newsletter open source più diffuso al mondo.
L’installazione non richiede particolari abilità ma mi sono capitate due seccature e una rogna, risolte grazie a Google e il forum di phpList.
Racchiudo tutto qua, in questo post, in modo da non dover cercare più in futuro (e per condividere ovviamente).

Prima seccatura:

Subito dopo l’installazione, si entra nel pannello di controllo ed esce questa scritta

Running in testmode, no emails will be sent. Check your config file.

Si risolve così. http://forums.phplist.com/viewtopic.php?p=38321
Apri config.php  e setta

define ("TEST",0);

 Seconda seccatura:

Se si clicca su “Invia un messaggio” si viene reindirizzati alla pagina 404 (not found).
Si risolve così. http://forums.phplist.com/viewtopic.php?t=4114
Apri sempre config.php e setta il percorso giusto a phpList

$pageroot = '/lists';
$adminpages = '/lists/admin';

 Terza rogna:

In fase di composizione del messaggio non compare l’editor (FCKeditor).
Ci sono molte possibili cause ma a me ha funzionato in questo modo.
Cancellate la cache e poi editate il file /lists/admin/FCKeditor/editor/fckeditor.html

Cercate

// Base configuration file.
//LoadScript( '../fckconfig.js' ) ;
LoadScript( '../../?page=fckphplist&action=js4' ) ;

e modificate in

// Base configuration file.
LoadScript( '../fckconfig.js' ) ;
//LoadScript( '../../?page=fckphplist&action=js4' ) ;

Caricando quest’altro script l’editor diventa visibile (e usabile)

Link: phpList

Sicurezza WordPress

WordPress: usi sistemi di caching per WordPress? Aggiornali subito!

Pubblicato da

WordPress: usi sistemi di caching per WordPress? Aggiornali subito!

WordPress: usi sistemi di caching per WordPress? Aggiornali subito!

E’ di questi giorni la notizia che nei popolari sistemi di caching per WordPress

  • WP Super Cache
  • W3 Total Cache

siano state individuate gravi falle che permettono ad un utente remoto di eseguire codice (Remote Code Execution).
Sembra, addirittura, che non basti neanche tenere disattivati i plugin.
Gli autori dei plugin hanno rilasciato abbastanza velocemente gli aggiornamenti necessari per correggere la vulnerabilità.
Il consiglio è o di aggiornare subito o di cancellare i plugin

Link: W3 Total CacheWP Super Cache

Javascript Php

jQuery: jTable un plugin per creare tabelle CRUD semplicemente

Pubblicato da

jQuery: jTable un plugin per creare tabelle CRUD semplicemente

jQuery: jTable un plugin per creare tabelle CRUD semplicemente

CRUD è un acronimo (Create, Read, Update, Delete) ma è anche il cruccio quotidiano di chi deve gestire dati all’interno di un database.
jTable è un  plugin per la nota libreria jQuery che ci permette di creare tabelle per la gestione dei dati (CRUD appunto) scrivendo pochissimo codice HTML e con una piccola configurazione del javascript da inserire.
jTable funziona indipendentemente dal linguaggio di programmazione, utilizza AJAX per l’aggiornamento dei dati, è localizzato in molte lingue (italiano compreso), può funzionare con diversi temi predefiniti.

Il suo utilizzo base è semplicissimo. Basta includere oltre a jQuery le righe per il plugin e per il CSS del tema scelto

<!-- Include one of jTable styles. -->
<link href="/jtable/themes/metro/blue/jtable.min.css" rel="stylesheet" type="text/css" />

<!-- Include jTable script file. -->
<script src="/jtable/jquery.jtable.min.js" type="text/javascript"></script>

Poi si crea un contenitore

<div id="PersonTableContainer"></div>

E si aggiunge il javascript per creare l’istanza jTable

<script type="text/javascript">
    $(document).ready(function () {
        $('#PersonTableContainer').jtable({
            title: 'Table of people',
            actions: {
                listAction: '/GettingStarted/PersonList',
                createAction: '/GettingStarted/CreatePerson',
                updateAction: '/GettingStarted/UpdatePerson',
                deleteAction: '/GettingStarted/DeletePerson'
            },
            fields: {
                PersonId: {
                    key: true,
                    list: false
                },
                Name: {
                    title: 'Author Name',
                    width: '40%'
                },
                Age: {
                    title: 'Age',
                    width: '20%'
                },
                RecordDate: {
                    title: 'Record date',
                    width: '30%',
                    type: 'date',
                    create: false,
                    edit: false
                }
            }
        });
    });
</script>

Le azioni (action) indicano quali sono i file che gestiscono le interazioni col db.
Ogni colonna rappresenta un campo del db e possiamo impostarne la larghezza relativa in tabella e le caratteristiche come la modificabilità, il tipo, la possibilità di ordinamento su sua base.
Le tabelle così create caricano oggetti standard JSON risultanti delle azioni succitate (qualsiasi linguaggio serverside moderno può creare questo tipo di oggetto).

jQuery: jTable un plugin per creare tabelle CRUD semplicemente

Link: jTable

Sicurezza

Email truffa: PRIMA-IT srl ti offre un lavoro di 3 ore al giorno per 1500 euro al mese

Pubblicato da

Ha passato il filtro antispam di Gmail ma non quello anti-phishing

Email truffa: PRIMA-IT srl ti offre un lavoro di 3 ore al giorno per 1500 euro al mese

L’offerta è allettante perchè cita un portale di offerte di lavoro molto famoso. E’ molto probabile che uno abbia inserito il proprio curriculum lì sopra.
Ecco il testo dell’email con titolo: “Nuove possibilita di raggiungere i vostri obiettivi. Applicante Nuovo!

Salve Sergio Gandrus,

Congratulazioni! In base al curriculum su infojobs.it abbiamo il piacere di confermare che Lei e stato selezionato per lavorare per Prima-IT S.r.l.. Siamo felici ad offrire la seguente posizione.
Il lavoro che proponiamo e quello di un CF a stipendio di EUR 1500 al mese per il periodo di prova. Il suo grafico di lavoro sara da Lunedi al Venerdi per 2-3 ore al giorno.
Periodo di formazione – 30 giorni lavorativi dal giorno in cui si applica.

Benefici ai dipendenti includono:

– Assistenza Dentale
– Assistenza sanitaria
– Ferie – 4 settimane all’anno
– Ed altro

Tutte le prestazioni hanno effetto solo dopo il periodo di formazione.

Saremmo felici di iniziare a collaborare con Lei al piu presto possibile. La preghiamo di contattare al Rucci Marco non appena lei riceve questa offerta, per ricevere la documentazione e le istruzioni.

Si prega di compilare ed inviare il modulo sottostante con i suoi dati di contatto per verificare l’identita e la Sua interesse per questa proposta.
——————— MODULO _________ MODULO ——————
Nome e Cognome: ____________________
Indirizzo: ____________________
Telefono: ________________________
Ore della chiamata preferite: _______________
——————— MODULO _________ MODULO ——————

Grazie per il suo tempo e speriamo di sentirLa presto.

Cordiali saluti,

Rucci Marco
Agente

A parte i soliti strafalcioni grammaticali, basta cercare un po’ con Google per sapere che è una bufala finalizzata a chissà quale truffa.

Potete dare un’occhiata anche qui