Posted by admin on 25 August, 2009 – 3:28 pm
Si usan Facebook Connect en sus sitios y necesitan que la autentificación se mantenga a traves de los subdominios que tengan deben configurar su aplicación Facebook para que el Base Domain sea el dominio principal.
Por jemplo si tenemos el sitio a.pepe.com y b.pepe.com, y queremos que la autentificación con facebook se mantenga entre a y b, el valor de Base Domain debe ser pepe.com. Esto produce los sigueintes efectos:
- Facebook JavaScript Client Library guarda el dominio pepe.com en la cookie de sesión, cosa que permite a todo los subdominios compartir la cookie.
- Los servidores de Facebook pondrán a disposición de todos los subdominios, de pepe.com, la URL definida en "Connect URL" para que pueden intercambiar información de login, de sesion, etc.
Ahora, ¿qué pasa si tienen javascript utilizando document.domain? Simple. de nuevo tenemos a.pepe.com y b.pepe.com, y en ambas tenemos en JavaScript "document.domain = ‘foo.com’;".
Hay que tener cuidado al utilizar "document.domain" en un sitio con Facebook Connect. Esto es porque afecta la manera en que se comunica Facebook JavaScript library con la página de "cross-domain configuration channel" que utiliza Facebook Connect. Read more... (324 words, 0 images, estimated 1:18 mins reading time)
Posted by admin on 11 August, 2009 – 11:30 pm
No tengo muchas ganas de escribir, la cosa está jodida. No es broma hágan esto URGENTE:
En el archivo wp-login.php hay que agregar una comprobación is_array( $key ) para verificar que es un array.
Cambien la linea 190:
if ( empty( $key ) )
Para que quede de esta manera:
if ( empty( $key ) || is_array( $key ) )
Con lo cual ya no se podría hacer el reset de la pass sin antes verificar mail o user de administrador.
Más detalles acá http://blog.altosec.com.ar/2009/08/woprdpress-bug-remote-admin-reset-password/
UPDATE: Pueden usar Enigform, de mi amigo el Buanzo para evitar este tipo de cosas. Más info acá.
¡Hasta la próxima!
Si te gustó esta nota, podés invitarme una cerveza en agradecimiento. Y algún día quizá pueda yo invitarte una :D
Permanent link to this post (137 words, 0 images, estimated 33 secs reading time)
Posted by admin on 5 August, 2009 – 12:19 am
Un titular mentiroso. Simplemente eso.
Este artículo del Diario Clarín MIENTE. Joel Tenembaum no vendió música. Ni la descargó de la web. Utilizó redes P2P para descargar y compartir música. Nunca con fines de lucro. Lo que hace ese "error" es DESINFORMAR a los lectores.
Claramente el periodista que escribió la nota ignora completamente el tema que intentó abordar. Debe interiorizarse y comprender bien el tema antes de lanzarse a escribir sin más.
Me provoca una profunda pena que un diario tan prestigioso permita una atrocidad de ese calibre.
Me llama a la reflexión sobre la integridad del resto del contenido del diario…
No quiero pensar que esa nota fuera a propósito, para provocar desinformación, confusión, y miedo sobre un tema tan delicado como lo son los monopolios artificiales sobre bienes intangibles, la privacidad de la red, y los poderes de las organizaciones no guvernamentales, en los lectores.
Si te gustó esta nota, podés invitarme una cerveza en agradecimiento. Y algún día quizá pueda yo invitarte una :D
Permanent link to this post (175 words, 0 images, estimated 42 secs reading time)
Posted by admin on 2 August, 2009 – 5:54 pm
Generalmente cuando uno visita un sitio como el del banco, o alguno otro donde uno requiera hacer una operación comercial con tarjetas de crédito o entregue información personal, uno debería verificar que el certificado SSL del sitio visitado es auténtico.
Aunque la realidad de que la mayoría de la gente no se molesta, ni sabe qué es o cómo se hace, es fácilmente comprobable, no le quita importancia; al contrario, entrega una cárga mucho más alta a los aparatos que existen para que esos sitios sean realmente seguros para sus clientes: Las Autoridades Certificadoras, y los productores de software.
Bien, en la última BlackHat, que tiene lugar en la famosa ciudad de Las Vegas, Dan Kaminsk, investigador de IOActive, y Moxie Marlinspike, investigador independiente, presentaron dos charlas separadas cubriendo prácticamente el mismo tema.
Es un serio problema en el sistema de emisión de certificados SSL sumado a la manera en que Secuer Socket Layer está implementado en los navegadores. Read more... (782 words, 0 images, estimated 3:08 mins reading time)
This is a preview of
Una vulnerabilidad permite falsificar cualquier sitio “seguro”
.
Read the full post (782 words, 0 images, estimated 3:08 mins reading time)
Hell’s Gourmet PHP Comments Script Canape
Tagged as comments, Hell's Gourmet, Hell's Gourmet PHP Comments Script Canape, php, script, web
Very well, this a pretty small comments script (as its Canape part of the name makes evident) and is my first actual PHP code editing and understanding project. It came out as a funny add-on to a small static page I published just as a joke for a friend of mine, a couple of days ago. I have to admit it was funny…to code it and to use it!
You can see here the page I was talking about, if intrigued, as an example of its functionality (MeLL need some paper bags :p).
The engine:
<?phpsession_start();
if (isset($_POST['message'])) {
if (isset($_SESSION['token']) && $_POST['token'] == $_SESSION['token']) {
$message = htmlentities($_POST['message']);
$message2 = htmlentities($_POST['message2']);
$fp = fopen('messages.txt', 'a'); // This is the file where comments wil be stored. Should be writable.
fwrite($fp, "<p><strong>".date("d-m-Y H:i:s")."</strong><br /><b>$message</b><br/>$message2</p>");
fclose($fp);
}
}
$token = md5(uniqid(rand(), true));
$_SESSION['token'] = $token;
?>
We use a simple plain text file in stead of a database. Of course the file messages.txt must exist and be writeable by the webserver. This code MUST be placed above you HTML code. You can customize the way the comments will be displayed by editing the html tags that are hardcoded on the fwite function. Read more... (396 words, 0 images, estimated 1:35 mins reading time)