Recensione WebSiteX5 Evolution 9

In questo articolo/recensione andremo ad analizzare questo software per la creazione rapida di pagine web, blog e negozi online.
“Un sito in 5 passi”, questa è la frase forse più ad effetto usata per pubblicizzare questo software. Lo scopo è comunicare in maniera chiara la semplicità e la facilità di utilizzo di questo tool, che ha sicuramente come target principale utenti che non sono veri e propri sviluppatori web ma che vogliono comunque cimentarsi nel creare un sito di qualità.

INSTALLAZIONE
Il pacchetto software si installa in pochi semplici passi e permette di indicare le informazioni di registrazione quali la chiave di licenza e la mail associata.
Al termine della procedura è possibile (e consigliabile) effettuare la registrazione online alla Community online sul sito answers.websitex5.com. E’ possibile infatti, tra le altre cose, ottenere supporto tecnico e scambiare informazioni con altri utenti, oltre ad accedere alla gallery e template online aggiuntivi.

PRIMO AVVIO
All’avvio del programma la schermata principale propone la possibilità di scegliere di cominciare a lavorare subito mediante il tasto Start(in primo piano) o Avvia (in basso a destra), o di consultare le gallery e le foto online, oltre al Social Help Center.
Non passa inosservato anche il collegamento al video tutorial, diviso nei famosi “5 passi”, che è sicuramente un valido aiuto per chi vuole prima di cominciare iniziare ad esplorare nel dettaglio il funzionamento del software.

Primo avvio WebSite X5 Evolution 9

Probabilmente sarebbe stato utile fare in modo che il playing del video fosse disponibile anche off-line, visto che il collegamento rimanda ad un sito Internet.

SCELTA DEL PROGETTO
Una volta scelto di cominciare a lavorare (tasto Start) la prima operazione proposta è quella di scegliere se creare un nuovo progetto o se modificarne uno di già esistente.
Da notare che gli eventuali progetti già salvati e presenti nella cartella di default del programma vengono mostrati sotto forma di anteprima automaticamente. L’utente può tuttavia navigare il filesystem e individuare file di progetti magari copiati da altri gruppi di lavoro.

Scelta progetto

FASE 1: IMPOSTAZIONI GENERALI
Il primo passo è la configurazione delle informazioni generali del proprio progetto. La sezione “Base” (pre-selezionata) consente di configurare informazioni classiche quali autore, titolo, descrizione e icona. E’ tuttavia possibile scegliere già qui una serie di keywords che vengano ritenute importanti per una corretta indicizzazione da parte dei motori di ricerca.
La sezione “Esperto” invece consente di inserire codice personalizzato nella sezione HEAD, così come definire l’aggancio a sistemi di statistiche o la configurazione all’uso degli strumenti per webmaster fornito da Google.
Lo step seguente prevede la scelta di un modello per il proprio sito avendo la possibilità di scegliere tra diverse categorie di template e per ognuno in differenti varianti di menu (orizzontale e verticale) e di colori. Ben 1500 template, ognuno in 4 diverse varianti di stile.
L’utente può altresì definire un proprio modello personalizzato, andando a scegliere informazioni essenziali quali tipo di menu, margini, sfondo oltre a definire direttamente le differenti sezioni della pagina stessa (contenuto, piè di pagina, intestazione, etc.).
Il modello scelto (personalizzato o template) può infine essere ulteriormente customizzato, andando ad agire su intestazione e piè di pagina.

FASE 2: CREAZIONE MAPPA
Dal modello si passa quindi a definire la mappa del sito tramite l’inserimento di livelli e pagine (con relativo titolo e descrizione). Per ogni pagina è possibile mediante l’apposita toolbar attivare la visualizzazione o meno della pagina stessa nel menu, impostare una protezione di pagina (access list/permessi) ed effettuare personalizzazione avanzate.

Creazione mappa sito

FASE 3: CREAZIONE PAGINE
E’ venuto quindi il momento di inserire i contenuti veri e propri per dar “vita” alle nostre pagine.
Per fare questo dobbiamo prima di tutto decidere quali e quanti contenuti vorremo mostrare nelle pagine.
Dovremo inoltre decidere come impaginare il tutto, e lo possiamo fare in maniera molto semplice e intuitiva mediante la comoda griglia che ci permette di organizzare i nostri contenuti che possono andare dal classico oggetto testo, alla galleria, passando per un più sofisticato elenco prodotti o un insieme di widgets già pronti (Facebook, Twitter, Google+, Shinystat, etc.). In fin dei conti la griglia altro non è che una rappresentazione della pagina stessa che stiamo di volta in volta creando.
Non basta far altro che draggare l’oggetto desiderato all’interno di una delle celle della griglia e configurarlo.
E’ ovviamente possibile fare in modo di aggiungere/eliminare righe e/o colonne, oltre a disporre un contenuto su più celle affiancate.
Molto comodo risulta essere l’editor interno per le immagini che consente di effettuare modifiche e applicare filtri on-the-fly ad una semplice immagine caricata da disco. In molti casi sarà quindi possibile fare a meno di utilizzare programma di photo-editing esterni quali Gimp o Photoshop.

Widget galleria

FASE 4: Impostazioni avanzate
Il passaggio successivo consente di modificare in maniera avanzata configurazioni del sito che stiamo creando, agendo per esempio, sulla configurazione dei menu. E’ infatti prevista la possibilità di editare grafica dei pulsanti, aspetto dei testi, colori e stili.
Altre funzionalità prevedono la possibilità di:

  • cambiare gli stili e modelli del progetto;
  • impostare una pagina di benvenuto;
  • gestire un messaggio pubblicitario da mostrare in home page o in tutte le pagine;
  • usare le funzionalità di blog (creazione articoli, gestione categorie e commenti) e feed RSS;
  • creare utenti diversi per poter gestire l’accesso protetto a pagine del sito: è infatti possibile tornare indietro al punto 2 (creazione mappa) e agganciare i profili alle pagine desiderate;
  • creare un negozio online con tanto di categorie prodotti e relativi metodi di pagamento/spedizione abilitati;

FASE 5: Esportazione
Ultimo step, ma non per questo meno importante, anzi, è quello dell’esportazione del prodotto finale appena creato.
C’è la possibilità di esportare il progetto su disco (CD/DVD/USB) o in una semplice cartella del computer.
Inoltre tramite il motore FTP interno c’è il modo di pubblicare i contenuti creati direttamente su Internet.
Quest’ultima operazione è ovviamente molto semplice e sono sufficienti i classici dati forniti dal provider di hosting quali indirizzo, username e password in primis.
Completata l’operazione si è arrivati al termine del lavoro e come proposto dal programma, è possibile segnalare il proprio lavoro via Facebook agli amici o per esempio su Twitter per chi ci legge!

Export sito web su Internet

CONCLUSIONI
Il prodotto WebSiteX5 Evolution 9 rispetta in pieno le aspettative dell’acquirente, che dietro la frase “Crea un sito in 5 passi”, si aspetta di trovare un prodotto semplice e veloce da usare ma che al tempo stesso dia la possibilità di creare un prodotto finale professionale.
Per rendersi conto di come questo sia chiaramente possibile è sufficiente seguire il tutorial video presente sul sito e linkato all’interno del programma. I 5 video proposti sono un valido strumento per iniziare e meritano sicuramente di essere consultati prima di “buttarsi” ad esplorare il programma e le sue funzionalità.
Tra i punti di forza di questo software ricordiamo la già citata semplicità di utilizzo e le ottime potenzialità di customizzazione proposte, e a volte “nascoste”, tra i vari tab e opzioni accessibili nei vari passi.
Il prezzo proposto per una licenza del prodotto e’ sicuramente conveniente considerando i soli 69,95€ richiesti per la versione WebSiteX5 Evolution 9.
Ricordiamo inoltre che la registrazione del programma dà la possibilità di sfruttare gratuitamente per 12 mesi uno spazio web di 3GB, registrazione dominio e email illimitate. Il tutto grazie alla collaborazione con One.com per il quale viene fornito un voucher gratuito riscattabile dalla sezione personale su answers.WebSiteX5.com.

WebSite X5 Free: http://bit.ly/wFzvKp
WebSite X5 Demo: http://bit.ly/gQYZUT

RINGRAZIAMENTI
Il programma da testare mi è stato gentilmente concesso in licenza da Incomedia S.r.l.
Ringrazio ovviamente Dolores Francescato, della parte Web Marketing di Incomedia, con la quale mi sono interfacciato via mail per la preparazione della recensione.

WebSite X5 Evolution 9: sviluppo web facile!

A breve su questo blog posterò la recensione di questo software per la creazione di siti, blog e soluzioni di e-commerce in maniera semplice e veloce.
WebSite X5 Evolution 9 è infatti l’ultima versione del software realizzato dalla società Incomedia, già nota per Swish Max, programma per la realizzazione di filmati e siti in Flash.

Partendo dalla necessità di venire incontro anche a chi di programmazione ne sa poco o nulla, WebSite X5 consente di create “un sito in 5 passi”, e nello specifico:

  1. scelta del template;
  2. organizzazione del sito;
  3. creazione delle pagine;
  4. aggiunta di funzioni avanzate;
  5. pubblicazione del sito finale;

L’utente ha la possibilità di scegliere tra piu’ di 1500 template, potendo personalizzare funzionalità avanzate quali l’integrazione con MySQL, la gestione di accessi utente e aree riservate oltre alle classiche funzionalità di feed RSS e news.
Il risultato finale lo si può infine vedere online grazie alla possibilità di pubblicare il tutto usando il motore FTP interno.

Qui sotto trovate la locandina del software WebSite X5 Evolution 9 e del suo “fratello minore” WebSite X5 Compact 9.
Ovviamente è possibile scaricare e provare il programma che pero’ nella versione demo ha salvataggio limitato a 10 pagine e pubblicazione disabilitata.
Appuntamento a presto con la recensione completa del prodotto!

PRESS KIT: WebSite X5 Evolution 9
SITO WEB: WebSite X5 Evolution 9

Macromedia Flash: occhio al filesystem!

In computer security, il concetto di “sandbox” viene utilizzato per indicare un meccanismo di sicurezza che consente di separare e isolare diversi programmi in esecuzione. Questo al fine di testare ed eseguire codice potenzialmente dannoso, non sicuro e/o fornite da terze parti non fidate.

Adobe Flash incorpora questo concetto tra i suoi meccanismi base di sicurezza per consentire l’accesso solo a determinate tipologie di file locali, tra questi ovviamente i cookies Flash.
Comunemente quindi tutti gli altri file locali della macchina dell’utente sono off-limits, in modo da prevenire il furto di dati da parte di applet Flash malevoli.

Billy Rios, ricercatore di sicurezza presso Google, ha dimostrato come questo modello di sicurezza e le restrizioni imposte in Flash possa essere bypassato in modo da ottenere libero accesso a file locali.

Il “trucco” della vulnerabilità sfrutta la funzione “getURL()” impiegata da Flash per ottenere l’accesso a file remoti.
Una versione dummy dell’attacco utilizzerebbe la funzione getURL usando “file://” per puntare alle risorse del file system locale, tuttavia Adobe ha blacklistato alcuni protocol-handler.

Il blocco imposto non è tuttavia sufficiente e consente di impiegare il protocol-handler “mhtml“, che funziona sulle comuni piattaforme Windows e non è appunto blacklistato. Nessun avviso o messaggio di conferma viene mostrato all’utente in questo caso.

FONTE:
Flash Local-with-filesystem Sandbox Bypass, by SANS Technology Institute

APPROFONDIMENTI:
Bypassing Flash’s local-with-filesystem Sandbox, sul blog di Billy (BK) Rios
Flash Player Security Basics
Security Domains, Application Domains, and More in ActionScript 3.0

Firefox 3.6.13 e 3.5.16: importante aggiornamento tappabuchi

L’ultimo aggiornamento del browser open-source Firefox rilasciato lo scorso week-end va a patchare ben 13 vulnerabilità che espongono gli utenti Windows e Mac a possibili attacchi da parte dei crackers.

Alcune falle che interassano il software di casa Mozilla, possono essere sfruttate per lanciare attacchi “drive-by-download” e conseguente esecuzione di malware, semplicemente navigando apposite pagine web.
11 vulnerabilità su 13 sono state etichettate come “critical”, poichè per l’appunto non richiedono alcuna interazione utente al di là della normale navigazione.
Una patch, è in realtà un nuovo aggiornamento per una issue che Mozilla era convinta di aver definitivamente fixato già nel mese di marzo.

Altre possibili conseguenze delle falle individuate sono attacchi di tipo cross-site scripting (XSS), Denial-of-Service (DoS) e bypass della sicurezza Java.

Ecco una lista delle vulnerabilità critiche che interessano le versioni Firefox 3.5 e 3.6:

  • MFSA 2010-84 XSS hazard in multiple character encodings
  • MFSA 2010-83 Location bar SSL spoofing using network error page
  • MFSA 2010-82 Incomplete fix for CVE-2010-0179
  • MFSA 2010-81 Integer overflow vulnerability in NewIdArray
  • MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
  • MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
  • MFSA 2010-78 Add support for OTS font sanitizer
  • MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
  • MFSA 2010-76 Chrome privilege escalation with window.open and <isindex> element
  • MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
  • MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)

Gli utenti dovrebbero aver già aggiornato il proprio browser tramite il classico sistema di aggiornamento automatico, alle versioni 3.5.16 e 3.6.13.
Nel caso cosi’ non fosse, l’update è fortemente consigliato.

Google URL Shortener nel mirino di un worm Twitter

Il servizio di URL shortening di Google, goo.gl, sarebbe stato utilizzato negli ultimi tempi per la diffusione di un worm Twitter.
I link incriminati finora individuati che portano alla diffusione del malware sono i seguenti: “goo.gl/R7f68” e “goo.gl/od0az”.

I responsabili di Twitter hanno fatto sapere che non appena la diffusione del worm è stata scoperta, hanno provveduto a notificare la procedura di password reset per tutti coloro che sono stati interessati dal problema.
E’ stato anche consigliato un controllo sulle connessioni oAuth “autorizzate” per verificare la possibilità che ne siano state aggiunte alcune in maniera illecita ed eventualmente rimuoverle.

Per tutti coloro che hanno cliccato sui link sopra riportati, l’effetto è stato quello di un primo redirect verso un sito compromesso di una compagnia francese di mobili, e successivamente ad altri domini.
La cosa interessante è come il worm sembra si sia diffuso principalmente attraverso le piattaforme Twitter per dispositivi mobile.
Gerry Egan, direttore di Symantec Security Response, ha fatto sapere come gli URL malevoli in questione punti in effetti ad una copia del “Neosploit attack toolkit“.

I servizi di URL shortening non sono nuovi al fatto di essere sfruttati per questo tipo di attacchi.
Da un lato la loro utilità nel “comprimere” un URL di molti caratteri, specie quando si usano piattaforme come Twitter che impongono un limite di 140 caratteri per messaggio. Dall’altra il fatto che si prestano bene a nascondere i domini reali, rendendo cosi’ all’utente finale più difficile individuare un sito trappola.

Hon Lau, ricercatore presso Symantec, ha comunque evidenziato come alcuni servizi siano migliori di altri. Tiny.cc per esempio offre una pagina di statistiche dove chiunque può verificare il numero di click effettuati verso un particolare link e la destinazione reale dell’URL compresso. Altri invece come bit.ly, integrano dei meccanismi di blacklisting per filtrare in maniera (semi)automatizzata i tentativi di creare short link per far puntare a siti contenenti malware.

Mozilla alza la posta: 3000$ per un bug!

A quanto pare Mozilla ha alzato il premio messo in palio per coloro che individuano una vulnerabilità di sicurezza nei prodotti di punta della software house open-source: Firefox e Thunderbird.

La nuova cifra è infatti di ben 3000$, un grosso salto se si considerano i “soli” 500$ che fin dal 2004 venivano pagati per i vari bug scoperti.

Nel programma di bug-hunting di Mozilla sono stati aggiunti due nuovi prodotti: Mozilla Services e Firefox Mobile.

Lucas Adamski, security engineer director di Mozilla, ha scritto sul blog del gruppo riguardo la nuova “taglia” e indicato quelle che sono le regole fondamentali per aggiudicarsela:

  • il bug deve essere originale e mai stato pubblicato prima;
  • il bug deve essere di tipo remote exploit;
  • il bug deve essere individuato in una delle ultime versioni ufficiali, beta o release candidate dei vari Firefox, Firefox Mobile, Thunderbird o Mozilla Services;
  • il bug non deve essere causato o individuato in plugin/estensioni di terze parti.

LinkedIn e la lunghezza delle password

LinkedIn, come molti di voi sapranno, è un social network molto diffuso che consente di costruire la propria rete di contatti in ambito lavorativo (fondamentalmente).
Quello di cui voglio parlare oggi è un piccolo problema che ho riscontrato in mattinata mentre mi apprestavo a cambiare la password del mio account.
Dopo aver generato la nuova password di lunghezza 24 caratteri ho effettuato il logout e poi ho tentato il login che verificare tutto fosse avvenuto correttamente.

Stranamente ho notato l’errore:

The email address or password you provided does not match our records

Dopo i classici tentativi di reinserire la password e cancellazione di cache e cookie, ho pensato ci fosse qualcosa non andasse.

La prima supposizione è stata che per qualche motivo il sistema avesse accettato i caratteri speciali della password ma fosse andato storto qualcosa nella fase di salvataggio.
Ho proceduto quindi alla procedura di recupero password e inserito una nuova password di 24 caratteri senza caratteri speciali.

Tuttavia al tentativo di login ancora una volta lo stesso errore.
Dopo una rapida ricerca su Google ho trovato questo interessante post a riguardo: “LinkedIn Password Length Confusion“.
Il problema sembra sia che la password del proprio account deve avere una dimensione minima di 6 caratteri e massima di 16.
Il sistema ha infatti troncato la mia password di 24 (caratteri speciali o no non fa alcuna differenza), tant’è che provando a prendere i primi 16 si riesce ad effettuare correttamente il login.

La cosa alquanto strana è che da nessuna parte venga riportato che i caratteri non possono superare i 16, né tanto meno viene notificato che il campo sta superando la lunghezza consentita in fase di modifica.
Nella home page la maschera di registrazione, ad esempio, sotto il campo password riporta il messaggio:

6 or more characters

Lo stesso autore del post che ho trovato, è venuto a conoscenza del motivo solo dopo aver inviato una mail al supporto tecnico.
Occhio dunque alla lunghezza della password scelta 😉

Pidgin + Facebook chat + Ubuntu 9.04 how-to

Sull’argomento “chat di facebook” si potrebbero scrivere post a bizzeffe, discutendo di quanto faccia schifo, di come si perda i messaggi e quant’altro.
Quello che mi interessa oggi è puntare l’attenzione sul come integrare nel noto cliente IM Pidgin (ex GAIM), la chat del noto social-network, evitando di tenere aperta la pagina web per l’eventuale chat con i nostri contatti.

Le considerazioni di questo post riguardano l’attuale versione di Ubuntu 9.04 (Jaunty Jackalope) installata sul mio pc desktop, ma penso possano essere applicate tranquillamente alla più recente 9.10.
In particolare quello che ci serve è prelevare direttamente dal sito del progetto pidgin-facebookchat l’ultima versione, nel mio caso la 1.63.
E’ necessario inoltre procurarsi il .deb della libreria libjson-glib-1.0-0: pidgin-facebookchat infatti richiede una versione >= 0.7.6.
Quest’ultimo è disponibile direttamente da qui:
http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_i386.deb
http://mirrors.kernel.org/ubuntu/pool/main/j/json-glib/libjson-glib-1.0-0_0.7.6-0ubuntu1_amd64.deb

Una volta installati entrambi i .deb e creato l’apposito account da Pidgin sarà possibile sfruttare la chat dal nostro programma di instant messaging preferito.
Le versioni di pidgin-facebookchat e libjson-glib-1.0-0 disponibile sui repository ufficiali e accessibili ad esempio da “Sistema->Amministrazione->Gestore pacchetti” sono datati.
Personalmente tempo addietro ho avuto modo di provarli e ho notato parecchi problemi.
Buona chat dunque!

Vulnerabilità nella toolbar Wikipedia per Firefox

Il security provider Secunia ha individuato nei giorni scorsi una vulnerabilità piuttosto critica nell’estensione Wikipedia Toolbar per Firefox, che può essere usata da un potenziale attaccante per compromettere il sistema dell’utente vittima.

Il problema è stato individuato nella mancata validazione dell’input da parte dell’applicazione in una chiamata alla funzione eval(): ciò può consentire l’eventuale esecuzione di codice Javascript arbitrario.

Una volta lanciato il codice viene eseguito con i privilegi di sistema e questo consente l’accesso alle risorse della macchina bersaglio. Affinché l’attacco avvenga con successo è necessario che l’utente visiti una pagina web “contraffatta” e che sia “ingannato” e portato a cliccare su determinati pulsanti della toolbar.

Secunia ha individuato il bug nella versione 0.5.9, ma potenzialmente altre versioni potrebbero essere affette dal problema.
L’ultima versione rilasciata ovvero la 0.5.9.2 risolve il problema ma non è ancora stabile, ma taggata come “experimental“.

Aggiornamento di sicurezza per Google Chrome 3

Google ha rilasciato un update di sicurezza per la versione 3 di Chrome. La nuova versione del browser WebKit-based è la 3.0.195.24.
Il bug corretto riguarda l’implementazione della funzione dtoa() utilizzata dal motore JavaScript V8 di Chrome per parsare le stringhe in numeri floating point.

La vulnerabilità contenuta nella Chrome sandbox può essere sfruttata da un ipotetico attaccante per eseguire codice arbitrario.
Affinchè l’attacco avvenga con successo è sufficiente che l’utente visita una pagina web appositamente modificata.
Per effettuare l’aggiornamento gli utenti possono utilizzare la funzionalità built-in di update accedendovi dai menu “Tools->About Google Chrome” e cliccando sul pulsante “Update”

Fonte: Google closes vulnerability in Chrome 3