Archivos Blogmemes: Marzo 2006
Ahora puedes publicar en blogmemes desde tu propio sitio web, o desde tu bitácora.
En este post explicaré como usar la API de envío de urls.
Acabo de terminar de programar una idea que viene hace mucho tiempo dandome vueltas. La verdad es que la idea es mas ambiciosa de lo que he programado, pero con esto voy a poder experimentar la validez del modelo.
Me refiero a la capacidad de debatir.
Los foros en internet tienen el problema que no queda muy claro quien está a favor y quien en contra. Bueno, hay algunas pistas, pero en general no se representa gráficamente.
He añadido a blogmemes la capacidad de debatir. Esto no afecta el sistema de votos vigente. Tampoco introduce votos negativos, pero si introduce la posibilidad de tomar posición frente a un tema.
Por ejemplo, creen ustedes que "¿La Religión sea la fuente de todos los males?", en blogmemes puedes discutirlo, mediante tu voto. Lo interesante es que vez que posición tiene cada uno.
Eso es mojarse el potito, como decimos en Chile.
Benjamí, socio y amigo de Ricardo Galli me ha puesto un comentario. Le respondo en este post. Yo no he atacado a meneame. Hay 2 post enque comenté sobre meneme: http://www.lnds.net/2006/02/no_pesquen.html y http://www.lnds.net/2006/02/blogmemes_y_meneame_dos_sistemas_distint.html En 'Dos sistemas distintos", explico la historia de blogmmemes, coincidencias y diferencias entre los sistemas. También planteo que estoy de acuerdo con las criticas que se le hacían al sistema en ese momento. Hay cosas que han cambiado en meneame, y quizás no he comentado eso, por falta de tiempo, hace 2 semanas que no le dedicaba tanto tiempo a blogmemes. Por ejemplo, enmeneame ya no es obligatorio votar para publicar una noticia, eso es bueno. Personalmente envié una felicitación a Ricardo a su blog, por el éxito que ha tenido su código fuente, que está siendo usado en la digosfera. En "No Pesquen" planteo mi filosofia del "control remoto".Si no te gusta un canal, cambiale, y listo. Ahí destaco las diferencias, en blogmemes no hay karma, no hay votación negativa, etc. Efectivamente, este post aparecía en la portada de blogmemes, y lo saqué, porque podía ser considerado un ataque a meneame. Como alguien comentó, parecía patético, y hasta que no tenga tiempo para escribir un documento con el espíritu de blogmemes, no habrá nada. h2. Por qué publicar el email de Ricardo Galli Cómo Benjamí dice que es dificil interpretar las intenciones, voy a explicar las razones por las que publique el mail. (a propósito acabo de eliminar las direcciones de email, pido disculpas por eso). Hay historias que se han publicado en blogmemes criticando a meneame, y eso no le parece a Ricardo:
"Hola Eduardo, veo que en blogmemes cada vez dedican palabras más "agradables" contra mí. En especial con el tema del ataque al menéame, donde no se han cortado un pelo."En mi país decimos si el "río suena es porque piedras trae". Pero me pregunto,¿en donde se habla del ataque a meneame? De hecho me enteré hoy día del problema, y no fue por blogmemes, no he encontrado una noticia al ataque a meneame en blogmemes, así que no se a que se refiero. Pero me pregunto, Ricardo Galli pretende que censure a los que lo critican? Inaceptable. En blogmemes todos pueden escribir lo que quieran, cuando quieran. Me voy a saltar las explicaciones que hace de mi código, que a mi me suenan a: "Mira pobrecito sudaka, que he revisado tu codigo durante 15 minutos y me di cuenta que...". Llevo 23 años programando, y nunca he creado un sistema con las claves en texto plano, para que sepas dios de la programación.
Aunque estoy muy mosqueado por cómo me han tratado en Blogmemes sin que venga a cuento, no publicaré estos problemas ni este mensaje. Al menos no por ahora, pero es urgente que lo arregles, si han probado con el Menéame, en poco tiempo lo harán con Blogmemes, hay gente cabreada de ambos "lados".Fue ese párrafo el que no me gustó. Yo le respondí el mail a Ricardo, y después publiqué el mail, porque me pareció amenazador, sobre todo si se fijan en las frases que puse en negritas. A mi me parecen amenazadoras. Puede que me haya pasado, pero si alguien te dice que ha descubierto un problema de seguridad en tu sitio, y te dice que no las va a publicar por ahora, y después añade:
Pero espero que lo soluciones y pongas un artículo en blogmemes de los problemas resueltos y quién y cómo te ha informado.Eso es extorsión. Parece que Galli no conoce el espíritu del software libre, porque no habría dudado que los agradecimientos irán en donde deben ir, el ChangeLog de Akarrú, y en las release notes que se publiquen en Source forge. No tengo porque publicarle una elegía a cambio de la información en blogmemes. He mal interpretado el mail? Es cierto que no conozco a Galli, pero leo y releo el mail y me parece de mal tono. Ricardo Galli debe aprender a ser más respetuoso. Que yo al menos no trato a mis lectores como el acostumbra. El se auto proclama políticamente incorrecto, yo a eso lo llamo "berrinches de cabro chico". Y no se hable más del tema.
Tras leer este artículo entendí el origen del email de Ricardo Galli.
Como no leo su blog muy a menudo, no tenía idea.
La verdad es que ya he resuelto el problema, y quizás quede alguna pifia por ahí, pero creo que deberiamos anularlas ahora que hay más manos manteniendo el código.
Todo esto será modificado en el next release de akarrú.
De paso vamos a recuperar un feature que Shezzo me pidió especialmente, y es la persistencia del login.
Si todo sale bien, durante este sábado deberían estar todos los cambios listos.
Todo por culpa de los chicos de martes 13, que no deberían haber hecho el defacement, y que es verdad que tienen mala ortografía, pero creo que debemos agradecerles, pues nos ayudan a construir software más robusto, gracias a que el código está disponible para ser estudiado.
Por favor, no ataquen blogmemes en inglés y francés, porque no le he pasado los cambios a sialoo.
¿Que tan mal está el código actual?
Bueno, la verdad que los comentarios del post anterior no son totalmente ciertos.
En blogmemes hay sanitización de variables en muchos formularios, y al desplegar el código, como pueden notar todos los que han intentado ingresar código html. Por lo que blogmemes no es vulnerable a script injections.
Sobre el sql injections, en nuestro servidor hemos configurado magic quotes, y otras cortapisas. Pero este es un proyecto open source, y no debería fiarse de la configuración que pueda o no tener el ambiente donde correrá.
Si alguien ve el código fuente de blogmemes, podrá criticarme, con justa razón, el uso de MD5.
Siendo yo mismo uno de los mayores críticos al uso de MD5, el que la esté usando es, por decir lo menos, vergonzoso. Como ya expliqué antes, al partir usando DiggClone, muchas malas prácticas fueron heredadas, pero eso no es excusa.
Debe ser corregido.
Los usuarios de blogmemes no deben preocuparse, porque sus claves serán protegidas.
Estoy trabajando en una limpieza de las claves, pero sin que afecte el login.
Me ha llegado este email de Ricardo Galli.
Juzguen ustedes.
-----Mensaje original-----
De: Ricardo Galli [-- borrado --]
Enviado el: Saturday, March 04, 2006 10:16 AM
Para: -- borrado --
Asunto: Problemas de seguridad en Blogmemes
Hola Eduardo,
veo que en blogmemes cada vez dedican palabras más "agradables" contra mí. En especial con el tema del ataque al menéame, donde no se han cortado un pelo.
Pues bien, perdí 15 minutos para ver el código del Blogmemes (versión
0.4.2.21) y me encontré con problemas y bugs de seguridad muy graves (muchos más de los que tenía el menéame). Sobre todo de inyección de SQL por la falta de verificación de los variables del GET o POST.
Por ejemplo en profile_edit.php
if ($bm_users->update_profile($_POST))
que llama a:
function update_profile($data)
{
$sql = ' update users set ';
$sql .= ' email = \''.$data['email'].'\',';
$sql .= ' fullname= \''.$data['fullname'].'\',';
$sql .= ' website = \''.$data['website'].'\',';
$sql .= ' blog = \''.$data['blog'].'\' ';
$sql .= ' where ID = '.$data['user_id'];
$this->db->execute($sql);
o en memes.php
function do_login($user, $pass)
{
$user = $this->db->fetch_object("select ID, username, password, email,join_date,admin,website,blog,fullname from users where
lower(username)='".strtolower($user)."'")
Así está plagado de este tipo de errores, en ningún momento sanitizas o controlas esas variables y luego las usas directamente para crear el sql.
Podría haberte modificado la base de datos, o cambiar las claves con métodos de inyección muchos más sencillos de los que han usado para el menéame (ni siquiera hace falta que los sepa, me basta con "copiar" los que han usado contra el menéame).
Además tengo la impresión que tienes que tener el "register global variables"
en el php del servidor. Espero que no sea así, porque sino el problema es aún más grave.
Supongo que ya te servirá de ejemplo para darte cuenta de los problemas.
Aunque estoy muy mosqueado por cómo me han tratado en Blogmemes sin que venga a cuento, no publicaré estos problemas ni este mensaje. Al menos no por ahora, pero es urgente que lo arregles, si han probado con el Menéame, en poco tiempo lo harán con Blogmemes, hay gente cabreada de ambos "lados".
Pero espero que lo soluciones y pongas un artículo en blogmemes de los problemas resueltos y quién y cómo te ha informado.
Si necesitas más ayuda para solucinarlos, encantado (aunque tendría que estudiarme el Smarty, que no lo conozco), pero antes espero ver una respuesta pública de "desagravio", que las contrarias ya hubo demasiadas.
Un abrazo.
--
ricardo galli GPG id C8114D34
http://mnm.uib.es/gallir/
