Javascript frameworks: qual è il migliore?

Personalmente ho utilizzato Prototype abbastanza da ritenerlo un ottimo “strumento” per realizzare piccole “chicche” in Ajax o per semplici operazioni quali il classico “document.getElementById()”.
Mi sono capitate però sottomano un paio di pagine interessanti.
Nella fattispecie:
Dojo vs JQuery vs MooTools vs Prototype Performance Comparison
SlickSpeed Selectors Test
Inutile dire che la lettura e l’esecuzione dei test ha scatenato in me un grosso interesse: in particolare verso Dojo che a quanto pare sembra il “migliore” di tutti.
Prototype invece non esce molto bene classificandosi in coda.
Giusto per sfizio mi sa daro’ un occhio a Dojo.

Qualcuno di voi ha esperienze a riguardo ? Consigli ?

Problemi di DNS Cache poisoning per China Netcom

Il security provider Websense ha individuato un caso riuscito di DNS cache poisoning nei confronti dei name servers di uno dei piu’ grandi ISP cinesi.
Gli utenti Netcom infatti sono stati re-indirizzati verso pagine contenenti exploits per RealPlayer, MS Snapshot Viewer, Adobe Flash Player e Microsoft Data Access Components.

I crackers non hanno modificato i record di siti web importanti, ma hanno semplicemente modificato l’indirizzo della pagina pubblicitaria dell’ISP.
La maggior parte dei clienti arriva a questa pagina quando per esempio sbaglia a digitare l’url di un qualsiasi sito web. Gli ISP usano questo metodo di redirection, conosciuto anche come Typosquatting, per pubblicizzare la disponibilità di domini e di prodotti correlati.
A seguito dell’attacco tuttavia i clienti non raggiungono la pagina del provider, bensi’ una serie di pagine contraffatte e riempite di ogni sorta di trojan e malware.

Molto probabile quindi che i name servers di Netcom non siano stati adeguatamente patchati.
Gli unici attacchi “ufficiali” di cache-poisoning sono stati quelli che hanno visto coinvolta AT&T.
All’ultima conferenza Black Hat, Dan Kaminsky ha riportato lo stato attuale di patching dei sistemi delle compagnie all’interno della Fortune 500: il risultato è che attualmente il 70% di essi hanno applicato le dovute contromisure mediante aggiornamenti mirati.

Riferimenti:
* DNS poisoners hijack typo domains, by Heise Security
* China Netcom DNS cache poisoning, warning from Websense

AVG e il caso di falso positivo aaaamon.dll

Anche se ormai in rete gli utenti AVG troveranno miriadi di topic e post a riguardo volevo scrivere a riguardo anche io, visto che ci ho sbattuto il naso contro proprio stamattina appena arrivato al lavoro.
Ore 9.15 circa, dopo il login apro thunderbird per controllare la posta e vedo che AVG 8 mi fa comparire un popup che indica la presenza di un file infetto. Nella fattispecie il file aaaamon.dll sembra essere infetto da un trojan: “Trojan Horse Patched_c.yl“.
Dapprima il messaggio riguarda il file
C:windowssystem32aaaamon.dll
e di lì a pochi secondi vedo comparire un secondo avviso per il file
C:windowssystem32dllcacheaaaamon.dll
Alquanto sorpreso dalla cosa, visto che la sera prima dopo aver installato i classici aggiornamenti del Windows, ero “passato” per le cartelle di sistema senza notare il minimo messaggio, comincio a cercare informazioni su Internet.
Dapprima una “googlata” alla ricerca di info sul file e poi sulla possibilità di un falso positivo.
Avuta conferma che si tratta di un file effettivamente di sistema e che è sconsigliabile rimuoverlo, “pena la stabilità del sistema”, non ho trovato alcuna segnalazione circa la possibilità di un falso positivo.
Quando anche alla mia collega Sara compare lo stesso messaggio (lei pero’ ha installato AVG 7.5) comincio ad avere sempre piu’ il sospetto si tratta di una “svista” dell’antivirus.
Chiedo lumi al buon Vittorio che mi dice che lui non ha notato alcun messaggio avendo installato Nod32.
Procedo quindi ad un compare della sua dll con la mia e sono perfettamente identiche.
Certezza quasi al 99%.
Solamente verso metà mattinata ho visto comparire su Internet i primi post a riguardo.
Qui sotto trovate il link alla KB su sito italiano di AVG con le indicazioni su come comportarsi a riguardo in attesa del rilascio di una patch (non ho ancora avuto di controllare se è già stata rilasciata).

RIFERIMENTI:
Segnalato falso positivo in file aaaamon.dll, report sul sito di AVG.it

Vulnerabilità per l'utility nslookup.exe di Windows

A quanto pare un ricercatore argentino, Ivan Sanchez, ha scoperto una vulnerabilità che riguarda l’utility nslookup.exe.
Un video dimostrativo in cui viene illustrato un proof-of-concept di un exploit è reperibile a questo indirizzo.
Il tool in questione, nslookup, è una utility utilizzata per effettuare query al sistema DNS, ed è presente nei sistemi Windows da parecchio tempo.
La lista dei sistemi interessati dal problema sono elencati in dettaglio in questo post su Security Focus: in particolare come si puo’ vedere le versioni 98, 2000, NT 4.0, XP e relative varianti con service pack.
Si tratterebbe di un bug che consente di eseguire codice remoto.
Stando a quanto dichiarato nel Microsoft Security Bulletin Webcast Q&A di agosto, Microsoft sarebbe a conoscenza del problema e starebbe investigando, anche se non è dato sapere quando sarà rilasciata una patch.

Aptana IDE bug: permessi sui file via ftp

Da un po’ di tempo a questa parte ho abbandonato definitivamente Dreamweaver come ambiente di sviluppo web e php.
Visto che per lavoro utilizzo quotidianamente Eclipse, ho pensato di impiegare questo ottimo IDE oltre che per lo sviluppo J2EE anche per piccoli progetti PHP.
E l’ho fatto mediante Aptana.
Aptana Studio è un IDE per lo sviluppo web e ajax, Eclipse-based, che puo’ essere utilizzato come applicazione standalone oppure come plugin per una installazione esistente di Eclipse.
Io ho appunto optato per quest’ultima soluzione.
Per incorporarlo in una installazione già esistente di Eclipse (nel mio caso una Eclipse Europa 3.3) è sufficiente seguire le istruzioni reperibili a questo indirizzo.
Una volta fatto questo per avere a disposizione anche strumenti e funzionalità di sviluppo PHP è sufficiente integrare l’apposito plugin (qui le istruzioni).

Dopo questa digressione su Aptana, tornando all’argomento vero e proprio del post, volevo porre l’accento su un bug che interessa la modalità di editing via FTP.
Per comodità e rapidità puo’ rivelarsi necessario intervenire direttamente via ftp su un sito/webapp già presente per modificare alcuni file o aggiungerne di nuovi in maniera immediata.
Nel far questo bisogna prestare attenzione al fatto che di default Aptana crea i nuovi file con permessi settati a 666 o rw-rw-rw.
Questa soluzione puo’ pero’ creare problemi in alcuni contesti.
Molti servizi di hosting infatti per motivi di sicurezza precludono la possibilità di impostare per file e cartelle il (w)rite bit per “All Users” e “Group Users”.
Questo comportamento è dovuto spesso all’uso di suphp (modulo per apache) o altri tool simili.
Accedendo quindi alla propria pagina php ci si potrà cosi’ trovare di fronte ad un bel messaggio d’errore “Server 500…etc.etc.”.
Va detto che per le modifiche sui file non v’è alcun problema (almeno non l’ho riscontrato), pero’ per i nuovi file che vengono creati si.
La soluzione sta quindi nel modificare a mano i permessi per i nuovi files a 644 o rw-r–r– o caricarli via qualche client ftp come Filezilla.

Attualmente infatti a quanto pare non v’è possibilità di cambiare i permessi dei file direttamente da Aptana o almeno questa funzionalità è preclusa per gli utenti della Community Edition.
Gli utenti della versione Pro invece possono intervenire seguendo queste istruzioni.

Sul forum di supporto di aptana si trovano parecchi topic a riguardo, tant’è che è stata aperta anche una segnalazione (STU-1792) sull’apposito sistema di bug tracking.
A quanto pare con la prossima versione 1.2 di Aptana dovrebbe venire introdotta una finestra di opzioni per consentire di impostare i permessi di default da assegnare ai nuovi file remoti.

Concludo semplicemente confermando la bontà di questo plugin e il consiglio per chi sviluppa webapp in Java di integrarlo comunque visto l’ottimo sistema di code assist/formatting e syntax highlighting/validation per i linguaggi Javascript, Html e Css.

Vodafone e il nuovo piano tariffario Vodafone Sera

Ieri mi è arrivato un sms dalla Vodafone: “Dal 1/10 Vodafone semplifica le tariffe: il tuo piano sarà VF Sera. Info su piano, scelta altri piani e recesso al n gratuito 42593 o vodafone.it“.
Primo pensiero: “Ma che cazz?!”.
Ennesimo tentativo di Vodafone per farmi cambiare verso un piano piu’ conveniente per loro.

Confrontando le tariffe del “Vodafone Sera” con quelle del mio attuale “Sera ricaricabile in Euro” ho potuto notare alcune differenze.
1. Le chiamate nazionali dalle 8:00 alle 16:00 mi passeranno da 37cent a 35cent
2. Lo scatto alla risposta passa da 10cent a 16cent!!
3. Cambiamenti nella tariffazione riguardante la segreteria telefonica.

Ho sempre mantenuto lo stesso piano per tutti questi anni per il semplice motivo che il telefono principalmente lo uso per sms e chiamare in orari post-pomeridiani o weekend. Molto spesso inoltre mi capita di fare piu’ chiamate ma brevi.
Ecco quindi che la novità dello scatto alla risposta di 16 cent non è per niente gradita, anzi mi fa alquanto girare le palle.

Quello che non mi è ben chiaro è se in qualche modo è possibile opporsi a questo passaggio forzato.
Nell’sms si fa riferimento al “recesso” anche se non è chiaro in quali termini.
Mi sa che dovro’ chiamare il 42593 per sentire quello che ha da dire la fantomatica vocina di turno. 😀

Nel frattempo se qualcuno ha qualche info in piu’ a riguardo mi faccia sapere!

Aggiornamenti di sicurezza per il CMS Drupal

In un security bullettin, gli sviluppatori del CMS Drupal hanno reso noto alcuni problemi di sicurezza che interessano le versioni 5.x e 6.x. Le maggior parte sono state classificate come “highly critical”.

Accanto ad un problema di cross-site scripting (XSS), vengono elencate due possibili attacchi di tipo cross-site request forgery (CSRF).
Problemi per il modulo di upload di Drupal 6 che contiene vulnerabilità che rendono possibile un’escalation di privilegi da parte degli utenti che hanno impostato il permesso “upload files”.
Altra vulnerabilità legata l’upload riguarda il modulo BlogAPI che non effettua una corretta validazione delle estensioni dei file caricati.

Disponibili per il download le versioni aggiornate 5.10 e 5.4 e le relative patches per versioni precedenti.

RIFERIMENTI:
* Security updates for Drupal CMS, by Heise Security
* SA-2008-047 – Drupal core – Multiple vulnerabilities, security advisory by the developers

Pericolosa falla per Joomla già in circolazione

Gli sviluppatori del noto CMS Joomla hanno fatto sapere che è già in circolazione un pericoloso exploit che sfrutta una vulnerabilità presente nelle versioni del software dalla 1.5.x alla 1.5.5.
Il bug riguarda la funzionalità di password reset e potenzialmente può consentire ad un utente di ottenere l’accesso amministrativo al CMS.

Quando viene richiesto un password reset viene inviato via mail un token.
Il problema risiede nel sistema di validazione del token quando questo viene presentato dall’utente: la falla consente infatti ad un utente non autorizzato e non autenticato di effettuare il reset della password del primo utente abilitato.
Tipicamente il primo utente attivo è quello dell’amministratore: ecco spiegata la pericolosità del bug.
Il team di Joomla fa notare come cambiando lo username dell’account di amministratore può limitare l’impatto del problema visto che l’attaccante sa solamente che sta andando a resettare la password del primo account registrato e deve indovinarne il login name.

Consigliatissimo quindi l’upgrade alla versione 1.5.6 o l’applicazione diretta della patch all’installazione esistente.
E’ necessario intervenire sul file: /components/com_user/models/reset.php
Aggiungere dopo global $mainframe, alla linea 113, il seguente snippet di codice:

if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}

Riferimenti:
Joomla suffers already-exploited critical vulnerability, by Heise Security
Joomla 1.5.x Remote Admin Password Change, by Milw0rm