Jump to content
  • Sky
  • Blueberry
  • Slate
  • Blackcurrant
  • Watermelon
  • Strawberry
  • Orange
  • Banana
  • Apple
  • Emerald
  • Chocolate
  • Charcoal
Isidro

Risus 1.2.3.000

Recommended Posts

¡Buen día!

 

Sois muchos los que os estaréis preguntando qué es la notificación que habéis recibido en vuestra web referente a una actualización llamada "Priority Update". Pues bien, os lo voy a explicar.

 

Priority Update es una actualización enviada oficialmente desde PHPost a todas las webs con Risus instalada. Es decir, desde PHPost ha solicitado a todas aquellas webs que cumplan ciertos requisitos (copyright y actividad) a modificar parte del código del script para añadir el parche correspondiente.

 

El parche en cuestión añade una mejora de seguridad contra los ataques CSRF que se estaban llevando a cabo en diferentes sitios webs, engañando a los usuarios y administradores sin que éstos lo supieran para hacerse con el control del sitio o sacar provecho de él. Para evitar el problema de raíz, habría que rehacer la programación del script; incluyendo complementos y plantillas, lo cual no es práctico a estas alturas. Sin embargo, con este parche, creemos que es suficiente para evitar el problema.

 

Como su nombre indica, consideramos que esta actualización es prioritaria y todas las webs deberían tenerla aplicada, pero no todo el mundo entra a su administración diariamente ni tampoco al foro, por lo que podrían demorar en saber que la actualización existe y por tanto caer en "la trampa" del atacante. Además de eso, como ya he mencionado, este problema no sólo afecta a los administradores, sino que a los usuarios normales también les afecta, pudiendo el atacante -entre otras cosas- hacerse con el control de la cuenta del usuario engañado, y eso no es nada bueno.

 

- Si has recibido "Priority Update 1 y 2" entre ayer y hoy, significa que tu sitio ha sido actualizado dos veces. Una vez para añadir el parche, y otra para mejorarlo.

- Si sólo has recibido "Priority Update 1 o 3" y lo has recibido hoy, significa que has recibido directamente el parche mejorado; ya que algunos sitios webs experimentaban problemas de acceso, registro y demás.

 

La oleada de actualizaciones terminará aproximadamente en 40 horas desde la publicación de este topic, por lo que si el 6 de noviembre tu sitio web no ha recibido ninguna notificación y el panel de administración sigue indicando que la versión instalada es otra diferente a "1.2.3.000", contacta conmigo. Podéis ir viendo el progreso de sitios actualizados en la página principal.

 

Un saludo :)

  • Like 1
  • Downvote 1

Share this post


Link to post
Share on other sites

Todo sea por un script más seguro. Gracias por la info

 

Edito: No estaría mal que se explicase en qué consiste exactamente la actualización a nivel de los ficheros que se han alterado para tener constancia y no "cagarla" si uno modifica algo del script, aunque entiendo que si la actualización depende de si se respeta el copy se intente no dar "ojos a ciegos"... pero a mí me interesaría conocer todos los detalles.

Edited by rooteroman

Share this post


Link to post
Share on other sites
hace 41 minutos, rooteroman dijo:

Todo sea por un script más seguro. Gracias por la info

 

Edito: No estaría mal que se explicase en qué consiste exactamente la actualización a nivel de los ficheros que se han alterado para tener constancia y no "cagarla" si uno modifica algo del script, aunque entiendo que si la actualización depende de si se respeta el copy se intente no dar "ojos a ciegos"... pero a mí me interesaría conocer todos los detalles.

 

dudo que esa sea la razon real, por que hay sitios que se actualizaron y no cumplen con ese parámetro mas bien es por cuestiones de dar una idea de como se hacen los kakeos y joder a los usuarios que aun no tienen idea de que existe tal vulnerabilidad 

  • Like 1
  • Downvote 1

Share this post


Link to post
Share on other sites

Permiteme dar mi opinion referente a estas actualizaciones, estoy seguro que las actualizaciones automaticas que realiza phpost son con las mejores intenciones para la comunidad sin embargo considero que es un arma de doble filo por que tambien estamos expuestos a un servidor ajeno al nuestro , es decir asi como se pueden agregar mejoras automaticamente , tambien podria existir un canal abierto para bloquearnos y/o malograrnos el sitio web por algun motivo personal y/o de reglas de phpost.

 

Yo preferiria que los parches y actualizaciones sean manuales .

 

De mi parte creo que esta informacion de los parches , mas que un acierto es una inquietud sobre si lo que hacemos una web a futuro solo dependera de nosotros o de una persona ajena.

me he quedado con la duda si continuar con mi proyecto o desistir 

por que no sabia que instalando phpost tambien incluia una especia de backdoor

  • Like 1

Share this post


Link to post
Share on other sites

Videmax   Esta claro y es sabido que Phpost tiene bakdoor , es lógico para que el dueño y administrador de este Script pueda tener control sobre su "Hijo" , que no nos guste mucho es otra cosa .., seguro que la intención es la mejor , y digo seguro porque si no se tendría confianza en esta administración no se encararia una web seria con todo lo que ello implica , y hasta acá las flores hacia Isidro 

 

 No me parece correcto que no se haya informado de antemano de dicho parche , sobre todo viendo algunos resultados negativos , varias webs dejaron de funcionar a raiz de dicho parche , paradoja ... un parche para evitar ataques te saca de linea ..  Ataque oficial ??  :D :o 

 

A mi web le falta nada para llegar a los 10.000 usuarios , y esto fue consecuencia de un año y medio de hacer las cosas bien (mas gastos en contante) , si se cae (offline temporal)  por culpa de un parche mal realizado (y dejo claro que tengo total confianza en la intención) las puteadas de los usuarios van a caer sobre mi ..

 

Gracias por seguir activo con este proyecto ...

Share this post


Link to post
Share on other sites

Y las personas como yo que tubieron que dar de baja su web por no poder pagar un host pero que tienen la intencion de volver a tener su web online de nuevo, y mientras tanto la trabajan en localhost aplicando parche y mods y dejandola linda hasta que vuelva a tenerla online no podran aplicar este mega parche tan importante? igual no es tan lindo saber que el programador tiene una puerta oculta por donde puede entrar cuando quiere y como quiere a tu web.. si haces algo opensource tendria que ser 100 libre de puertas traseras para todos, incluso para su programador al fin y al cabo en algun momento alguien mas se va a enterar de esa puerta y va a joder a todos,

Edited by ellocoloco
  • Like 1

Share this post


Link to post
Share on other sites

La descarga actual ya trae incorporado el parche que se le agrego me imagino, asi directamente utilizo la descaga actual y utilizo upgrade, no creo tener problema.

  • Downvote 1

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Similar Content

    • By Tronlar
      Hola a [email protected],os dejo como hacer funcionar el sistema de captcha en las V5,V6,lo acabo de probar y funciona bien.
       
       
      Ejecutar esta consulta:
      ALTER TABLE `w_configuracion` ADD `pkey` VARCHAR(55) NOT NULL AFTER `offline_message`, ADD `skey` VARCHAR(55) NOT NULL AFTER `pkey`;  
      En c.admin.php --> inc/class/c.admin.php
       
      Buscar:
      'newr' => empty($_POST['newr']) ? 0 : 1);
      Cambiar por:
      'newr' => empty($_POST['newr']) ? 0 : 1, 'pkey' => $tsCore->setSecure($_POST['pkey']), 'skey' => $tsCore->setSecure($_POST['skey']),  
       
      Buscar:
      '\', `offline_message` = \'' . $c['offline_message'] .  
      Añadir al lado:
      '\', `pkey` = \'' . $c['pkey'] . '\', `skey` = \'' . $c['skey'] .
      Tiene que quedar así:
      '\', `offline_message` = \'' . $c['offline_message'] . '\', `pkey` = \'' . $c['pkey'] . '\', `skey` = \'' . $c['skey'] .  
       

      En c.registro.php --> inc/class/c.registro.php
       
      Buscar:
      'user_captacha_challenge' => $_POST['recaptcha_challenge_field'], 'user_captacha_response' => $_POST['recaptcha_response_field'],  
      Cambiar por:
      'user_captcha' => $_POST['g-recaptcha-response'],  
      Buscar:
      'captacha' => 'El código es incorrecto'
      Cambiar por:
      'captcha' => 'Validación incorrecta',  
       
      Buscar:
      // CAPTACHA require(TS_EXTRA . 'recaptchalib.php'); $robot = recaptcha_check_answer(RC_PIK,$_SERVER["REMOTE_ADDR"],$tsData['user_captacha_challenge'],$tsData['user_captacha_response']); if(!$robot->is_valid) return 'recaptcha: El código es incorrecto.';

      Cambiar por:        
      /** reCAPTCHA **/ $recaptcha = 'https://www.google.com/recaptcha/api/siteverify?secret=' . $tsCore->settings['skey'] . '&response=' . $tsData['user_captcha'] . '&remoteip=' . $tsCore->getIP(); // Obtener respuesta $response = file_get_contents($recaptcha); // Extraer resultado $ext1 = explode('"success":', $response); $ext2 = explode(',', $ext1[1]); // Comprobar resultado $valid = trim($ext2[0]); // Devolver respuesta si es incorrecta if ($valid == 'false') { return 'recaptcha: No hemos podido validar tu humanidad'; }  
       
      registro.js --> default/js/registro.js
      registro.js --> V6/js/registro.js
       
      Buscar:
      /* reCAPTCHA */ case 'recaptcha_challenge_field': return true; break; case 'recaptcha_response_field': //Si ya paso por aca y no hubieron cambios, devuelvo el mismo status if(!force_check && this.datos[campo] === value && this.datos['recaptcha_challenge_field'] == $('#RegistroForm .pasoDos #recaptcha_challenge_field').val()) if(this.datos_status[campo]=='empty') return no_empty ? this.show_status(el, this.datos_status[campo], this.datos_text[campo]) : this.hide_status(el, this.datos_status[campo], this.datos_text[campo]); else return this.show_status(el, this.datos_status[campo], this.datos_text[campo]); //Almaceno el dato this.datos[campo] = value; this.datos['recaptcha_challenge_field'] = $('#RegistroForm .pasoDos #recaptcha_challenge_field').val(); //!empty if(empty(value)){ var status = 'empty'; var text = 'El campo es requerido'; if(no_empty) return this.show_status(el, status, text); else return this.hide_status(el, status, text); } return registro.show_status(el, 'ok', 'OK'); break; } },  

      Cambiar por:    
      /* reCAPTCHA */ case 'g-recaptcha-response': this.datos[campo] = value; //!empty if (!value) { return this.show_status($('#RegistroForm .g-recaptcha'), 'empty', 'Demuestra que eres humano'); } return registro.show_status($('#RegistroForm .g-recaptcha'), 'ok', 'OK'); break; } },  
       
      Buscar:
      case 'recaptcha': //reCAPTCHA registro.change_paso(2, true); registro.show_status($('#RegistroForm #recaptcha_response_field'), 'error', h.substring(strpos(h, ':')+2)); break;
         
      Cambiar por:
      case 'recaptcha': //reCAPTCHA registro.change_paso(2, true); registro.show_status($('#RegistroForm .g-recaptcha'), 'error', h.substring(strpos(h, ':') + 2)); break;

      t.registro.tpl --> default/templates/t.registro.tpl
      t.registro.tpl --> V6/templates/t.registro.tpl    
          
       Buscar:
      <div class="form-line"> <label for="recaptcha_response_field">Ingresa el código de la imagen</label> <div id="recaptcha_ajax"> <div id="recaptcha_image"></div> <input type="text" id="recaptcha_response_field" name="recaptcha_response_field" /> </div> <div class="help recaptcha" id="nubex"><span id="puy"></span><span><em></em></span></div> </div>  

      Cambiar por:
      <div class="form-line"> <label>Confirme humanidad:</label> <div class="g-recaptcha" data-sitekey="{$tsConfig.pkey}"></div> <div class="help"><span><em></em></span></div> </div>
         
      Buscar:
      <script type="text/javascript"> // $.getScript("{$tsConfig.js}/registro.js{literal}", function(){ //Seteo el pais seleccionado //registro.datos['pais']='MX'; //registro.datos_status['pais']='ok'; //registro.datos_text['pais']='OK'; // registro.change_paso(1); //Genero el autocomplete de la ciudad /*$('#RegistroForm .pasoDos #ciudad').autocomplete('/registro-geo.php', { minChars: 2, width: 298 }).result(function(event, data, formatted){ registro.datos['ciudad_id'] = (data) ? data[1] : ''; registro.datos['ciudad_text'] = (data) ? data[0].toLowerCase() : ''; if(data) $('#RegistroForm .pasoDos #terminos').focus(); });*/ mydialog.procesando_fin(); }); //Load recaptcha $.getScript("http://www.google.com/recaptcha/api/js/recaptcha_ajax.js", function(){ Recaptcha.create('6LcXvL0SAAAAAPJkBrro96lnXGZ56TBRExEmVM3L', 'recaptcha_ajax', { theme:'custom', lang:'es', tabindex:'13', custom_theme_widget: 'recaptcha_ajax', callback: function(){ $('#recaptcha_response_field').blur(function(){ registro.blur(this); }).focus(function(){ registro.focus(this); }).attr('title', 'Ingrese el código de la imagen'); } }); }); </script>

      Cambiar por:       
      <script type="text/javascript"> // $.getScript("{$tsConfig.js}/registro.js{literal}", function(){ //Seteo el pais seleccionado //registro.datos['pais']='MX'; //registro.datos_status['pais']='ok'; //registro.datos_text['pais']='OK'; // registro.change_paso(1); //Genero el autocomplete de la ciudad /*$('#RegistroForm .pasoDos #ciudad').autocomplete('/registro-geo.php', { minChars: 2, width: 298 }).result(function(event, data, formatted){ registro.datos['ciudad_id'] = (data) ? data[1] : ''; registro.datos['ciudad_text'] = (data) ? data[0].toLowerCase() : ''; if(data) $('#RegistroForm .pasoDos #terminos').focus(); });*/ mydialog.procesando_fin(); }); </script> <script src="https://www.google.com/recaptcha/api.js" async defer></script> <script type="text/javascript"> $.getScript("{$tsConfig.js}/registro.js{literal}", function(){ registro.change_paso(1); mydialog.procesando_fin(); }); </script>

       m.admin_configs.tpl     --> default/templates/admin_mods/m.admin_configs.tpl            
       m.admin_configs.tpl     --> V6/templates/admin_mods/m.admin_configs.tpl    
              
      Buscar:   
      <dl> <dt><label for="ai_xat">Xat ID:</label><br /><span>Por defecto puedes agregar un chat de <a href="http://xat.com">Xat</a> para tu web, solo crea tu grupo he ingresa el nombre.</span></dt> <dd><input type="text" id="ai_xat" name="xat" maxlength="20" value="{$tsConfig.xat_id}" /> </dd> </dl> <hr />  

      Añadir debajo:
      <dl> <dt> <label for="pkey">reCaptcha pública</label> <br /><span>Clave pública de <a href="https://www.google.com/recaptcha/admin">reCatpcha</a>.</span> </dt> <dd> <input type="text" id="pkey" name="pkey" value="{$tsConfig.pkey}" /> </dd> </dl> <dl> <dt> <label for="skey">reCaptcha secreta</label> <br /><span>Clave privada de <a href="https://www.google.com/recaptcha/admin">reCatpcha</a>.</span> </dt> <dd> <input type="text" id="skey" name="skey" value="{$tsConfig.skey}" /> </dd> </dl> <hr />  
       
       
      Y con eso ya la tienen funcionando,saludos.


       
       
       
       
       

              
           
       
    • By Isidro
      ¡Muy buenas! Después de un tiempo, y como no se obtiene ningún beneficio actualmente de ningún lado, he decidido liberar gratuitamente la versión Alfa 2.0 de Risus, por si alguno quiere extraer algún complemento -o su idea- y actualizarlo a la versión 1.3. Entiendo que ha pasado suficiente tiempo desde la última compra como para que aquellos que la compraron no se sientan molestos por liberarlo gratis, ya que al igual que ocurre con otros servicios y productos, con el tiempo pierden valor y algunos se ofrecen gratis. Igualmente agradezco su adquisición.
       
      Como siempre he mencionado, esta versión es anterior a la versión 1.3 (y 1.2) de Risus, por lo que no recomendamos su uso en producción, es posible que ni siquiera funcione correctamente en las últimas versiones de PHP. Pero se pueden extraer sus complementos e ideas; que quizá eran más originales en su momento que ahora.
       
      Las novedades de esta versión las pueden ver en los topics anteriores:
       
      Descarga:  phpost_risus_alfa_20_free.zip
    • By Medwar_Majin
      Buenas noches... necesito ayuda de ustedes porque se que conocen mucho sobre esto., yo soy mas que novato.
      Resulta que subi a internet un clon de taringa basado en la version PHP RISUS 1.2... resulta que anda y todo (por cierto esta es la direccion del mismo sitio Taringa php ) pero al momento de querer registrar un usuario el capcha (el "verificador de que no sos un robot") no funciona..., se queda congelado.
      (Tengo el addblock desactivado por si lo preguntan).
       
       
      Necesitaria saber, en el caso de que no sepan como solucionarlo, que archivo o linea debo eliminar para anular esta verificación y asi pueda registrarse la gente., gracias.
    • By Miguel92
      Tema orginal "Cralke"
      Jquery 1.7.1
      Captcha v1
       
      Tema actualizado "Cralke"
      Jquery 3.3.1
      Recaptcha v2
       
      Actualizador automático + instalación del theme, solo te queda borrar el cache!
      (lo que quiero decir que no tienes que ir a administración -> temas -> e instalarlo desde allí, el upgrade ya lo instala y lo activa)
       
      PANTALLA DEL REGISTRO

       
      PANTALLA DEL UPGRADE (1)

       
      Seleccionan "Realizarlas automáticamente" y luego presionan realizar instalación
       
      PANTALLA DEL UPGRADE (2)

       
      Si esta en verde, quiere decir que ya las ejecuto!
      Si esta en rojo, quiere decir que la línea esta duplicada o hay un error...En el caso de esta esas 2 estan duplicadas...
       
      MODO 1: Crakle(theme+archivos):
      Contiene el theme completo + los 5 archivos del directorio class (c.borradores.php, c.core.php, c.cuenta.php, c.posts.php y c.registro.php)
      Descargar: Crakle(theme+archivos)
       
      MODO 2: Crakle(completo):
      Contiene el theme completo + directorio inc completo(versión 1.3)
      Descargar: Crakle(completo)
       
      La descomprimen dentro de la carpeta raíz, luego en el navegador web lo usan así https://www.tu_web.com/upgrade/
       
      PASO OLVIDADO:
      Buscar en templates/modules/admin_mods/m.admin_rangos.tpl y borrar
      {literal} <style> #colores {width:200px; position:absolute; right:50px; padding:15px 8px 10px 10px; border:1px solid #ccc; background-color:#fafafa;} #cerrar {position:absolute; right:5px; top:3px; z-index:2} #colores .title {position:absolute; left:10px; top:0px; z-index:2; font-weight:bold} #colores span {display:block; float:left; cursor:pointer; border:1px solid #FFF; border-width:1px 1px 0 0} /* ADMIN NEW LABEL */ fieldset tr.newLabel td{text-align:left;} fieldset tr.newLabel label{ float:none; width:80px; padding:0; text-align:center; cursor:pointer; } tr.newLabel label.yes:hover { background-color:#86F786; } tr.newLabel label.no:hover { background-color:#EFB0B2; } </style> {/literal}  
      Luego más abajo buscar
      <dd><input type="text" id="rColor" name="rColor" value="{$tsRango.r_color}" style="color:#{$tsRango.r_color}; font-weight:bold;width:30%"/></dd> y reemplazarlo (en realizar al input se le agrega class="jscolor")
      <dd><input type="text" id="rColor" class="jscolor" name="rColor" value="{$tsRango.r_color}" style="color:#{$tsRango.r_color}; font-weight:bold;width:30%"/></dd>  
    • By jocker01
      amigos les are una simple pregunta quería saber cuantas web actualmente están usando el script y siguen activas..
      por favor dejen sus URL  así las visito a ver que tal están todas y cuanta actividad tienen
       
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Patrocinador



  • ×