Il 02/02/2011 11:12, Luca Fabbri ha scritto:
2011/2/2 Maurizio Delmonte<maurizio.delmo...@abstract.it>:
non ho ancora visto passare questo in lista:
http://plone.org/products/plone/security/advisories/cve-2011-0720
aime', non capita molto spesso che si venga allarmati in anticipo di una
patch
di sicurezza per Plone, e penso sia bene essere tutti avvisati.
di fatto, ci ricorda quanto siamo fortunati a lavorare con un sistema
che in anni di onorato servizio ha fatto veramente pochissimi di questi
scherzi :)
(si tende a darlo per scontato, ma plone e' un servizio web, piuttosto
esposto a questo
tipo di problemi, se solo fosse meno "professionale" nel suo sviluppo)
saluti
Tra parentesi, uno dei due possibili workaround proposti secondo me
non vale molto in tantissimi casi. Mettere il database in read-only
non significa che un utente non possa andare a vedere contenuti
privati e riservati.
perĂ² potrebbe non far funzionare l'exploit, che probabilmente ha bisogno
di scrivere. cookie -> scrivo -> utilizzo quello che ho scritto per
accedere al pannello di controllo e altri due punti.
_______________________________________________
Plone-IT mailing list
Plone-IT@lists.plone.org
https://lists.plone.org/mailman/listinfo/plone-it
http://plone-regional-forums.221720.n2.nabble.com/Plone-Italy-f221721.html
