mercoledì 21 ottobre 2009

Plone: utenti creati per scopi non leciti

Visto che ieri si dimostrato molto interesse per il post dove si elencavano alcuni siti Plone con links a falso motore di ricerca, vediamo ancora qualche sito, non solo IT, simile ai precedenti.

Prima dei particolari riassumo il contenuto di una riposta ad un mio quesito postato su plone.org al riguardo delle possibili cause della presenza di utenti non desiderati.

“.......................hanno tolto il link a 'join_form' ma non hanno tolto il permesso 'add portal member' all'utente anonimo, quindi chiamando la form dal browser si puo' ancora creare un utente.

Come ulteriore errore di configurazione non hanno disattivato la creazione della home, unico posto in cui un utente con il solo ruolo Member possa creare dei contenuti.

Il motivo per cui i contenuti sono visibili e' dovuto al fatto che l'amministratore del sito ha alterato il workflow standard di quella versione (mi pare la 2.5) o ha dato il permesso 'review portal content' agli utenti con ruolo Member (o Owner) in modo che possano pubblicarsi i contenuti, per default in quella versione i contenuti sono visibili ma non ricercabili cioe' per un utente anonimo sapendo la url sono in grado di vederli ma non facendo una ricerca.................... ...........................................
Nota che zope/plone non sono soggetti ad attacchi di tipo sql injection.
........ qui per ulteriori info:
http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zodb
http://zope2.zope.org/about-zope-2/six-reasons-for-using-zope/zope-is-secure

...............”

Ed ecco alcuni esempi attualmente online riguardanti sia siti esteri che IT :

Questo il sito sulla Semplificazione Amministrativa appartenente ad una regione belga (Vallonia) dove vediamo la presenza di 456 utenti che appaiono quasi tutti con nomi presumibilmente generati in maniera automatica



sino alla lettera Y


Ciascuno di questi utenti presenta una pagina home con successivo link a questa pagina


dai contenuti di pharmacy.

Questo invece un esempio di sito italiano che ricorda nel layout quelli visti ieri

Ecco invece ancora un altro sito IT con diversi utenti,

che hanno la relativa home

con link automatico a

Per finire ecco un altro sito con una lista utenti dai nomi di fantasia.

Edgar

Nessun commento: