PostRev 0.8.0c-2

Gracias al aporte de Javier Bassi me informa de ciertas vulnerabilidades en la actual versión del Postrev

1. A Denial of service vulnerability.
2. Cross-site scripting vulnerabilities.
3. Cross-site request forgery vulnerabitiles.

Los primeros parches, al menos para evitar ataques obvios por comentarios con HTML mal formado, incluyen cambios en:

1.-
common.php
ya no se permite más incluír HTML en los comentarios, sólo BB Code

2.-
comment_form.php
en el theme el comment_form.php para modificar los parámetros de ayuda de código, sólo BB Code MODIFICAR EN TODOS LOS THEMES QUE TENGAN, al menos la parte de scripting, o si no dejará de funcionar

3.-
patch.sql
Ejecutar esto, borrará la tabla parseo y creará nueva con el BB Code completo y actualizado. En caso de no querer borrar la propia por tenerla customizada, chequear los valores y ajustarla a mano.

Descarga aquí

En la semana seguramente habrá más correcciones, esto sirve solamente para los puntos 1 y 2, los otros requieren más trabajo de código.

Tercera versión alpha a un par de meses de la anterior, con varios de los bugs reportados corregidos, se suma una nueva parametrización para "gustarle" a distintos agregadores de noticias (rel="image_src") opcional a la hora de publicar.

Se creó una clase para trabajar mejor con los datos de un post, aquellos que lidiaron con los posts y los templates de estos poco a poco, a medida que la 0.8 avance, notarán una mayor facilidad para manejar los parámetros y disminuír las consultas a la base de datos.

También una actualización imprescindible para PHP 5.3, fue eliminada la función eregi y se utiliza preg_match en los casos necesarios. Se agregó la encuesta a la versión móvil y también se modificó la versión tradicional un poco, esta área necesita rediseño.

La lista completa de cambios en el el changelog

Así que aquí les dejo la descarga y el Wiki para ir armando el manual de instrucciones y todas las ayudas pertinentes, ya fui cargando algo, se aceptan voluntarios

Descarga Directa

Sean bienvenidos a probar el código

Segunda versión alpha en tres meses, con varios de los bugs encontrados arreglados, mucha más parametrización de cosas hardcodeadas y plugins independizados.

Arreglé varios bugs que apuntaban directamente a fabio.com.ar, agregados los bloques libres para agregar código donde uno quiera, mejorado el RSS, mejorado el Sitemap, plugins para TextLinksAds, eliminados los que no se usaban, corregido el bug de imagenes en la versión mobile y así una larga lista en el changelog

Así que aquí les dejo la descarga y el Wiki para ir armando el manual de instrucciones y todas las ayudas pertinentes, ya fui cargando algo, se aceptan voluntarios

Descarga Directa

Sean bienvenidos a probar el código

Así es, luego de más de un año ya tenemos una versión para descargar.

La misma tiene algunas diferencias notables con la 0.7.0RC4 que había sido la última para descargar.

Por lo pronto y como precaución, es para utilizar en una instalación limpia y nueva ¡no actualicen sus blogs directamente! no existe un script de actualización!!!! sólo a usuarios avanzados les recomiendo un update.

Para aquellos que nunca probaron un CMS "artesanal" tal vez les parezca todo rústico pues lo es. El PostRev no se creó para tu abuela, se creó para los que todavía gustan de meter mano en código. Algo que me gusta hacer como hobbie, no espero de esto el producto más profesional y sin dudas desde el punto de vista del programador es una porquería de código mal escrito. Pero funciona, en los últimos 6 años fue el motor de mi blog Fabio.com.ar

Así que aquí les dejo la descarga más unos tips para "expertos" y el nuevo Wiki para ir armando el manual de instrucciones y todas las ayudas pertinentes

Descarga Directa

Sumado a esto se vendrá concurso para crear un nuevo Theme para el Postrev básico, es decir, uno creative commons, el que quiera aportar el propio ¡bienvenido! si no... saldrá del concurso. El que tiene actualmente es horrible.

Años tardo pero tarde o temprano todo llega, ya tenemos Wiki a medio trabajar, la versión más o menos lista para que la descarguen, y mudamos el blog al dominio propio ¡algo es algo luego de un año!

Si, ya lo se, el proyecto va lentísimo en este blog porque no he tenido tiempo de pulir la versión 0.8 como para hacerla pública.

El código mejorado cambia bastante, si hoy bajan la 0.7 disponible ni siquiera está en UTF-8 la codificación, todavía hay llamadas de PHP 4 en vez de PHP 5, etc.

La conectividad a base de datos, la seguridad, las facilidades de JQuery, todo eso se verá en la siguiente versión que actualmente estoy usando en Fabio.com.ar

Hay un lammer dando vueltas queriendo joder los comentarios, la solución es fácil, hay que filtrar en el banlist el tag <div , con sólo filtrar eso ya su "hack" se pierde en la nebulosa.

La razón por la que se permitía el DIV era para poder comentar cosas más interesantes, pero con lo lammers-script-kiddies no se puede así que hay que filtrarlo y listo.

Para borrar los comentarios:

http://[urldelsitio]/admin/comments.php?accion=borrar&id_comentario=xxxx

y listo

Bueno, pasaron muchos meses desde que publiqué el último RC del PostRev y sobran razones para tanta tardanza, mi vida agitada y ser un único developer principalmente.

Pero eso no significa que el proyecto muere, el Open Source nunca muere! así que aquí está la última versión con muchos bugs corregidos.

También notarán que volví al diseño original, el mismo que descargarán ustedes y que les aparecerá por primera vez, es puro HTML y CSS mal armado por un no-diseñador, así que pueden divertirse bastante.

A continuación les dejaré los detalles del nuevo PR, la versión 0.7.0 final depende de cuantos bugs encontremos en esta, una vez terminado con esto pasaremos a la 0.8, así directamente porque vendrá con grandes cambios, principalmente la codificación de caracteres. De hecho, este blog ya está funcionando íntegramente en UTF-8, algo que complicaría mucho las cosas en un pasaje en una misma versión.

La que les dejo para descargar está todavía en el viejo formato ISO-8859-1 , para la 0.8.0 tendremos todo en UTF-8 y será imperativo la migración de los datos de la base de datos de cada blog. Bueno, pero sigamos con el 0.7.0.

Descarga aquí, el resto de información dando el salto

Además de soporte para PHP5 y MySQL 5 (que de hecho, si lo instalan así como está, el PostRev funciona en ambos! así está en este mismo servidor), alguna urgencia más para la versión 0.7 final?

Si, muchos problemas laborales y demasiados proyectos a la vez, se agradecen aportes, ya varios me han escrito para pasar bugfixes, Zurdito y Pasiterist, mucho también para laburar en la parte de seguridad, se agradecen aportes en ese sentido ya que es obvio que el PR es un colador y no soy un experto en el tema (menos sobre Cross Server Scripting, XSS)

Pero la idea es sacar una versión 0.7 final en los próximos días y encarar una 0.8 ya con cambios radicales en la parte de registro y control de usuarios, un módulo para que estos aporten material y ya ir definiendo el theme final, es decir, que no se agreguen demasiadas características que obliguen a hacerlo de nuevo cada vez que cambiamos de versión.

Además de esto tengo como idea reemplazar el administrador por uno separado del diseño del resto del sitio, de esta forma tendría más libertad para ajustarlo a las necesidades de los administradores y podría ampliar el esquema de permisos, ideas, ideas, falta tiempo