Previo de WordPress 1.6 alpha 2

Hoy instalé el WordPress 1.6 alpha 2 en un servidor de prueba y les voy a compartir mi experiencia. Superficialmente es muy parecido al 1.5, los cambios más notables están en el área de escritura donde han implementado un editor WYSIWYG, vamos a verlo.

(más…)

Leer completa…

WordPress 1.5.2 dispobible

WordPressMatt acaba de dar el anuncio de que la nueva versión de WordPress 1.5.2 ya está disponible para descarga. Le han reparado la falla que se descubrió hace poco y muchas más.

Para actualizar solo tienes que enviar los nuevos archivos y sobrescribir los viejos.

Leer completa…

Actualización | Vulnerabilidad de WordPress

Ya conozco más detalles acerca de la vulnerabilidad de WordPress que les comentaba hace dos días. Ya comprobé que deshabilitando register_globals en PHP este exploit no funciona.

En alt1040.com vi que hay un parche no probado para solucionar el problema. El servidor donde está alojado el parche no está funcionando. Según el post comenta que hay que parchar el archivo functions.php — puedo suponer que el parche si funciona porque es en functions.php donde se encuentra la vulnerabilidad ($cache_lastpostdate).

Actualización #2

Lo que dice el documento de DreamHost para desactivar los register_globals es lo siguiente:

In order to turn this setting off, create a file named «.htaccess» in the directory you want this setting to affect. If you want it to affect an entire domain name, create the «.htaccess» file in the root directory for that domain (usually, this directory is named after the domain). Within the file, place the following line:

php_flag register_globals off

Actualización #3

Estoy viendo el código del exploit y efectivamente si hace uso del $wp_filter y de $cache_lastpostdate. La vulnerabilidad es GRAVE, el atacante puede tener control total de tu servidor.

Resumiendo

Tu blog es vulnerable si:

  • El servidor de tu blog tiene «register_globals On» y…
  • La versión de WordPress es menor o igual a 1.5.1.3.

Tu blog es invulnerable si:

  • El servidor de tu blog tiene los register_globals Off.
  • El servidor de tu blog funciona con PHP5.
  • La versión de tu WordPress es la más reciente de las «Nightly Builds».

Consejos en caso de que tengas register_globals On:

  • Haz todo lo posible para desactivar el register_globals.
  • Haz un respaldo de tus archivos de WordPress y de tu base de datos inmediatamente.
  • Cambia todos los passwords utilizados en tu blog, mínimo los de tu base de datos, alguien puede ya tener esos datos.
  • Revisa que no existan usuarios desconocidos con altos privilegios.
Leer completa…

HoneyMonkey: La nueva arma de Microsoft contra la inseguridad.

MonkeyMicrosoft Research presentó el proyecto HoneyMonkey, diseñado para cazar código maligno en la web. El sistema está diseñado para utilizar una red de maquinas virtuales, o monos (monkeys), para visitar páginas sospechosas en la web.

Microsoft encontró 287 sitios con código maligno en el primer mes de operación del proyecto HoneyMonkey.

En Microsoft pueden encontrar un reporte técnico de HoneyMonkey en PDF.

Esto quiere decir que si Microsoft no puede arreglar sus problemas de seguridad, tal vez un montón de monos virtuales si lo hagan. A grandes problemas, grandes re-monos.

Por si no lo sabían acaban de salir 6 parches para Windows, 3 de ellos son críticos.

Artículo completo en:

eweek.com
Microsoft Unwraps HoneyMonkey Detection Project
Leer completa…

Arial o Helvetica

Arial o HelveticaPrimer acto: Sale una fuente muy popular llamada Helvetica.
Segundo acto: Llega una compañía de software llamada Microsoft.
Tercer acto: Microsoft toma «prestada» Helvetica y crea Arial.

¿Cómo se llamó la obra?

Robo

¿Podrás encontrar la diferencia entre Arial y Helvetica? Visita esta página y haz la prueba, mi puntuación fue de 6 de 10, pura suerte.

Si quieres entrenarte en el rancio y arcano arte de distinguir la fuente Arial, visita How to Spot Arial.

Vía MetaFilter.
The Scourge of Arial.

Leer completa…

Nuevo exploit de WordPress

Estoy leyendo en fholzhauer.de que han descubierto un exploit para WordPress. Traduzco lo que dice el sitio:

Existe un exploit que afecta a todas (incluyendo 1.5.1.3) las instalaciones de WordPress que estén en un servidor que tenga la variable (de PHP) «register_globals» activada.

Con este exploit el atacante puede ejecutar cualquier comando PHP o de shell al que tenga derecho el servidor Web.

Para saber si tu servidor tiene la variable register_globals activada crea un archivo que contenga el siguiente código:

<?php phpinfo() ?>

Lo nombras cualquier_nombre_que_quieras.php, lo subes a tu servidor y lo abres en el navegador, se va a desplegar una página con información sobre PHP, en ella busca el texto register_globals y al lado aparecerá si esta activada (On) o desactivada (Off).

En caso de que este activada, en el post sugieren esta solución: insertar al principio del archivo index.php la siguiente línea de código:

<?php unset($wp_filter); ?>

No creo que sea la mejor solución porque varios plugins dependen del $wp_filter.

Mi recomendación es que hagas un respaldo de tu blog, por si llegará a ser atacado, y que esperes el parche oficial de WordPress.

PD. Si estás hospedado en DreamHost lee esta información para desactivar el register_globals, me imagino que también funciona en otros servidores.

PPD. En el foro de soporte de WordPress ya apareció un hilo.

Vía BlogBar.de
Warnung: neuer WordPress-Exploit.

Leer completa…

SimpleViewer — Galerías de Fotos en Flash

SimpleViewerSimpleViewer es una aplicación configurable hecha en Flash para ver imágenes. Esta aplicación la puedes instalar fácilmente en tu sitio para armar tu propia galería interactiva. Basta que veas las dos demostraciones, una en alta resolución y otra en baja, para que te enamores de y quieras usarla en su sitio.

Si conocen otras aplicaciones parecidas compartan su secreto en un comentario.

Leer completa…

Windows Vista no incluirá Monad

HomerTal como comenté hace tres semanas en un post acerca de Monad, Microsoft confirma que Monad no está listo para ser distribuido con Windows Vista, según dijo Eric Berg (Microsoft Director of Product Management) en una entrevista a PCWorld. Berg dijo que Monad estará listo dentro de 3 a 5 años… como diriá Homero Simpson: ¡ough!

La razón de esta decisión es por las preocupaciones de expertos por la reciente publicación de un virus concepto que aprovecha las vulnerabilidades del nuevo shell de Windows.

Primero le quitan a Longhorn el WinFS, que pinta a ser un sistema de archivo grandioso, después le quitan Monad, que también pinta a ser una gran innovación. Cuando salga Vista en el 2006 (¿2007?), aparte de las ventanitas transparentes y las carpetas virtuales ¿que va a tener de nuevo e interesante? Peor aún, que más le van a quitar… OpenGL?

PCWorld.com
Microsoft Cuts Windows Vista Feature.

Leer completa…

Rechazan mapuches Windows en su lengua

Hoy leí en Terra esta nota sobre un tema que desconocía, es sobre lo que esta pasando en Chile con los mapuches y Microsoft. Aucán Huilcamán, líder mapuche y candidato presidencial de Chile está rechazando la iniciativa de Bill Gates de crear Windows íntegramente en lengua mapuche, por considerar que esto «daña la soberanía indígena».

Dejo claro mi más profundo rechazo a lo que está haciendo Microsoft y emplazo a la empresa a que no continúe con el proyecto de piratería que afecta a la identidad del pueblo mapuche.

El jefe mapuche advirtió a Bill Gates que si el proyecto avanza «se arriesga a enfrentar un recurso legal en su contra de parte de machis y loncos, representante del Consejo de Todas las Tierras».

Bill Gates firmó en noviembre del 2003 un protocolo de cooperación tecnológica con el Gobierno de Chile, con esto Microsoft cuenta con la asistencia del Ministerio de Educación, la Universidad de la Frontera y de la Corporación Nacional de Desarrollo Indígena.

Huilcamán acusa al Gobierno de Ricardo Lagos de haber tomado una decisión al margen de la voluntad del pueblo mapuche y de los hablantes, lo cual «daña la soberanía indígena sobre éste recurso intangible por atropellar sus derechos colectivos y de autodeterminación».

Mapuche Se calcula que hay 90,000 mapuches en Argentina y más de un millón en Chile. Hay puros y mezclados con Tehuelches. Mapuche quiere decir «gente de la tierra».

En el artículo también mencionan que los mapuches a pesar de tener 9,000 años de historia solo tienen escribiendo su lengua menos de 500 años. Por esto en el 2003 el CONADI aprobó una política única para representar gráficamente la fonología de la lengua mapuche, mediante la creación de un alfabeto Azunchefe, mismo que sería utilizado por Microsoft. Sin embargo esta determinación del CONADI es rechazada por Huilcamán por considerar que el Azunchefe distorsiona la lengua mapuche originaria.

Como veo las cosas Huilcamán esta tratando de defender la soberanía de su gente, y está en su derecho, y como líder, esa es su obligación. Desconozco el ambiente político que se este viviendo en Chile, pero me imagino que Huilcamán está aprovechando esto para atacar al actual gobierno y de paso ganarse unos cuantos votos.

Según vi en TransMedia.cl que «éste (Windows) será gratuito y que podría bajarse desde Internet como una aplicación más.»

Artículo completo en Terra — El líder de los mapuches rechaza la iniciativa de Bill Gates de traducir Windows a la lengua indígena.

Más información sobre este tema en:

mapuexpress.net
Situación Derechos Humanos del Pueblo Mapuche en Chile.
rebelion.org
Convenio Microsoft sobre versión Windows en mapudungun: ¿Nueva puerta hacia la piratería de conocimientos ancestrales?
nodo50.org
Bill Gates divide opiniones mapuches — Polémica por Windows en mapunzugun.
quechuanetwork.org
Polémica por Windows en mapunzugun.

Leer completa…

Boicotear IE, no IE 7

El 2 de agosto Paul Thurrott, quien es fiel y fanático de Microsoft, hizo una interesante declaración pidiendo boicotear Internet Explorer:

Mi consejo es simple: Boicotear Internet Explorer. Es un cáncer en la Web, y debe ser erradicado. IE no es seguro y no se apega a los estándares, para ambos usuarios y creadores de contenido Web es difícil trabajar en el. Sin embargo, por la gran base de usuarios, los desarrolladores Web están atados a escribir para el a pesar de los estándares establecidos que funcionan igualmente bien en otros navegadores. Ustedes pueden revirar esto pidiendo algo mejor por parte de Microsoft y usando una mejor alternativa de navegador. Yo recomiendo y uso Mozilla Firefox, pero ambos Apple Safari (solo Mac) y Opera 8 hay que tomarlos en consideración.

Dos días después Thurrott dice que lo han malentendido… y aclara que el pidió boicotear a IE no a IE 7, y que llamar cáncer a IE tal vez fue un poco fuerte.

A mi punto de vista Paul Thurrott está tratando de componer lo que dijo, porque creo que hablar de boicotear a IE 6 ya es demasiado tarde. Ahora que si IE 7 sigue en el mismo camino de no respetar los estándares, estamos justo a tiempo para boicotearlo… que no le de miedo Mr. Thurrott.

Leer completa…