Odio dovermi autoquotare...
On Sun, Nov 09, 2003 at 02:11:09AM +0100, Nando Santagata wrote:
> http://www.yabbforum.com/
Confrontate questo:
> Ha un solo security advisory nei suoi tre anni di vita, ed e` di piu` di
> un anno fa. BTW: e` stato patchato in fretta.
con questo:
> Contro: e` chiaramente scritto da windowsari. I file hanno righe
> terminate da CR/LF, il manuale e` tutto colorato e spiegano cosa e` un
> client FTP, ci sono anche gli avatar, ed e` meglio che mi fermi qui :-)
Impressioni dopo qualche ora di uso e un'ispezione dei sorgenti e dei
vari file installati: "funziona, ma...".
Posso capire che salvi le password in chiaro. C'e` sempre il problema
degli utonti che se le perdono.
Ma consigliare nel documento di installazione di fare un chmod 666 di
tutti i file mi sembra un po' da stu^H^H^Hwindowsari!
Se non avete di meglio da installare *non* seguite la parte "security"
del documento di installazione: cambiate l'owner dei file a www-data e
chmod 600 di tutto.
Dopo essermi reso conto di questa e altre perle ho dato un'occhiata ai
sorgenti.
Unico commento: "urgh".
Adesso una riflessione: se l'unico problema di sicurezza rilevato e`
stato un cross-site scripting, vuole dire che chi fa l'auditing di
questi programmi non li installa, o non da` neanche un'occhiata alla
documentazione?
Fear!
--
Rev. Nando Santagata: Telemastica & infornatica
"Oscuro Signore dell'Indicibile" del Sacro Ordine degli Spingitori di Server
Key fingerprint = 1054 9311 458D 4BAA E97B F447 7CD4 54B5 0208 F815
finger nandos (at) mail (dot) ipers (dot) net for my public key
"Home" page: http://home.ipers.net/ (Italian only)
|