Autor Tema: Plantilla Jachym (Meteotemplate)  (Leído 440893 veces)

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #810 en: 21 de Mayo del 2020, 14:37:40 pm »
Hola kocher, te comentaba lo anterior porque tengo los radares de España y Europa instalados en la plantilla ,y el de españa solo sale la barra de avance y el de Europa dice que no lo encuentra.
Por eso pensaba que podría haber cambiado algo.
En cuanto a descargar block y plugins, le doy a descargar pero no aparecen por ningún lado, por eso preguntaba donde los guarda.
Gracias.

Saludos jomag

Es cierto, con los radares, está habiendo algún problema, En mi humilde criterio, puede deberse a que muchas direcciones han cambiado de http a https
.
Aunque no lo puedo asegurar.

En cuanto a la descarga de los blocks, si estás en modo Administrador, al pinchar en descargar el que tu quieras, la instalación es automática y, además, te aparecerá una nueva página informando del éxito de la opración.

Si todo te falla, siempre tienes la opción de ir a la página de meteotemplate, elegir el block o el plugin que te apetezca, y descargarlo manualmente. Luego lo subes a tu web, respetando los caminos que te he indicado.

Ya nos contarás.

Un abrazo

kocher





“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-

Desconectado Panocho

  • Full Member
  • ***
  • Mensajes: 166
    • Ver Perfil
    • Meteo istan
  • Estación: Istán (ESAND2900000029611A)
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #811 en: 30 de Mayo del 2020, 23:50:10 pm »
Nueva versión de la plantilla Meteotemplate.



              http://kocher.es/meteotemplate/

Creo que tampoco te funciona el RadarES

Desconectado Panocho

  • Full Member
  • ***
  • Mensajes: 166
    • Ver Perfil
    • Meteo istan
  • Estación: Istán (ESAND2900000029611A)
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #812 en: 31 de Mayo del 2020, 00:10:56 am »
A mí tampoco me funciona el Radar de España 

Desconectado jomag

  • Full Member
  • ***
  • Mensajes: 171
    • Ver Perfil
  • Estación: CORONA-SABI ESARA2200000022600B
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #813 en: 12 de Junio del 2020, 17:51:19 pm »
Hola buenas tardes, no me había olvidado pero he estado ausente 15 días.
Comento, el block radarEU que yo tengo es versión 1.2
La versión actual es 3.1.
El problema es que cuando en la pagina de meteotemplate le doy a descargar, no dice nada ni se si lo descarga ni donde lo guarda.
Hay algún problema con la descarga?
Gracias

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #814 en: 12 de Junio del 2020, 20:14:05 pm »
Saludos jomag

Efectivamente, eso ocurre con el navegador Chrome, pero no así con Edge; donde aparece una ventana en su parte inferior, diciendo que quieres hacer con ese archivo: guardar ..etc



“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-

Desconectado Panocho

  • Full Member
  • ***
  • Mensajes: 166
    • Ver Perfil
    • Meteo istan
  • Estación: Istán (ESAND2900000029611A)
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #815 en: 13 de Junio del 2020, 11:51:53 am »
Le he escrito a Jachym con respecto a Radar y con respecto al bloque GFS, y esto es lo que me ha contestado:

Hi Salvador,

yes the radarES block is not working, the data source changed so it stopped working I will need to update this one, but I cannot say when I will get to it. With regards to GFS, the map was removed in the last version because the data source also changed and the map is no longer available.

Traducción (más o menos):
Hola Salvador,

Sí, el bloque del radar no funciona, la fuente de datos cambió, así que dejó de funcionar. Necesitaré actualizar este, pero no puedo decir cuándo lo haré. En cuanto a GFS, el mapa fue eliminado en la última versión porque la fuente de datos también cambió y el mapa ya no está disponible.


Para información a los interesados


Desconectado jomag

  • Full Member
  • ***
  • Mensajes: 171
    • Ver Perfil
  • Estación: CORONA-SABI ESARA2200000022600B
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #816 en: 15 de Junio del 2020, 09:59:26 am »
Hola buenos días, por fin he podido descargar el radar de europa, ha sido con internet explorer, con edge tampoco lo veía.
Gracias por vuestras aportaciones

Desconectado Mariete

  • Newbie
  • *
  • Mensajes: 7
    • Ver Perfil
  • Estación: En Proyecto
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #817 en: 25 de Agosto del 2020, 23:38:37 pm »
Hola.

No sé si sabéis que la plantilla Meteotemplate tiene una vulnerabilidad de open redirect bastante grave que hace que los malos utilicen nuestros sitios para hacer sus fechorías.

He comprobado varias de vuestras webs (de las que aparecen en este hilo) y están afectadas.

Lo reporté hace ya tiempo en el foro de Meteotemplate, pero nadie le ha hecho caso.

http://www.meteotemplate.com/forum/viewtopic.php?f=52&t=1908&p=9448#p9448

Un efecto colateral es que Google ve que hay montones de enlaces de p*rno, v1agr4, y ese tipo de cosas a vuestras webs con lo que eso supone para el SEO.

Los que tengáis un WAF (Web Application Firewall) seguramente podáis configurarlo para que no puedan explotar la vulnerabilidad.

Un saludo.
Mario

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #818 en: 26 de Agosto del 2020, 09:05:20 am »
Saludos Mariete

Ya había visto tu intervención en el foro de Meteotemplate.  Gracias por avisar.
Jachym no ha comentado nada (parece ser que está preparando una nueva versión).

Una vez conocidos los archivos que pueden crear problemas, el asunto fundamental es como solucionarlo.

¿Que posibilidades tenemos de evitar este problema?, teniendo en cuenta que la inmensa mayoría no tenemos conocimientos sobre servidores web.

Obviamente, podemos eliminar el archivo que puede crear ese problema ..


¿Recomiendas algo en especial?

¿Puede tener una solución mediante PHP?.

¿Otro tipo de solución?

Creo que la gente no hemos respondido porque, insisto, los temas sobre servidores, nos producen temblores  :;

Muchas gracias por haber levantado la liebre.

Saludos




“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-

Desconectado Mariete

  • Newbie
  • *
  • Mensajes: 7
    • Ver Perfil
  • Estación: En Proyecto
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #819 en: 26 de Agosto del 2020, 11:46:21 am »
Buenas.

La verdad es que no tengo ni idea de cómo se puede solucionar.

Me parece que tiene que ser modificando Meteotemplate, pero eso tendrá que hacerlo Jachym, no creo que se pueda hacer mediante configuración del servidor (o a lo mejor se puede mediante el fichero .htaccess, no lo sé).

Hasta donde he podido ver, el fichero php donde está la vulnerabilidad lo usa para cambiar entre la versión de escritorio y la móvil de Meteotemplate. Me suena que Jachym dijo que estaba trabajando en una versión "semi-responsive". A lo mejor la nueva versión ya no necesita redirigir al usuario, no lo sé).

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #820 en: 26 de Agosto del 2020, 12:08:28 pm »
Muchas gracias mariete

He encontrado esto en Internet, parece que puede ser de ayuda.
Creo que se trata de editar el archivo "redirect.php" mediante un sencillo código PHP o javascript:

PHP:

   
Código: [Seleccionar]
<?php
/* Redirect browser */
header("Location: http://www.mysite.com");
/* Exit to prevent the rest of the code from executing */
exit;
?>

JavaScript:

Código: [Seleccionar]
response.sendRedirect("http://www.mysite.com");

Este es el enlace en que se explica todo:  https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet.html


Aunque todavía no se muy bien como ponerlo en acción en Meteotemplate; por ejemplo, el código PHP ¿hay que ponerlo dentro del header de la página?.

El código javascript parece muy fácil de instalar, pero ..¿que dirección debemos poner en http://www.mysite.com")

Quizás lleguemos a solucionar este mal asunto.

¿Que opinaís?


« Última modificación: 26 de Agosto del 2020, 14:13:26 pm por kocher »



“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-

Desconectado jmviper

  • Investigación
  • Hero Member
  • ******
  • Mensajes: 4.576
  • "Vortex Complex"
    • Ver Perfil
    • www.meteoarchena.es
  • Estación: Archena - ESMUR3000000030600B
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #821 en: 26 de Agosto del 2020, 13:48:33 pm »
Buff

Pues un peligro ese script sin validar la URL... cualquiera puede poner de parámetro URL la dirección que quiera y ponerlo como un enlace que enlace (valga la redundancia  *+*) a la página que quiera.

Generalmente se hace en emails donde se dan enlaces que llevan a la web falsa que quiere robar tus datos.

En cualquier caso, veamos:


Creo que se trata de editar el archivo "redirect.php" mediante un sencillo código PHP o javascript:

PHP:

   
Código: [Seleccionar]
<?php
/* Redirect browser */
header("Location: http://www.mysite.com");
/* Exit to prevent the rest of the code from executing */
exit;
?>

JavaScript:

Código: [Seleccionar]
response.sendRedirect("http://www.mysite.com");

Este es el enlace en que se explica todo:  https://cheatsheetseries.owasp.org/cheatsheets/Unvalidated_Redirects_and_Forwards_Cheat_Sheet.html


Aunque todavía no se muy bien como ponerlo en acción en Meteotemplate; por ejemplo, el código PHP ¿hay que ponerlo dentro del header de la página?.

El código javascript parece muy fácil de instalar, pero ..¿que dirección debemos poner en http://www.mysite.com")

Quizás lleguemos a solucionar este mal asunto.

¿Que opinaís?


Kocher en ese enlace pone el ejemplo con Java, no con Javascript. Aunque puedan tener en común lo de Java son muy diferentes en cuanto a cómo se ejecutan y no tienen los mismos comandos o sintaxis. Además JavaScript funciona sólo del lado del cliente y esta redirección se hace a nivel de servidor (con redirect.php)

En PHP header debe de ponerse antes de cualquier inicio de código HTML (y de PHP):

https://www.php.net/manual/es/function.header.php

al inicio de ese archivo. Si ponemos ese código que has puesto se redireccionará a la dirección que pongamos en http://www.mysite.com y se saldrá del script no ejecutando lo que queda de código, por lo que no redireccionará a lo que se le ponga en el parámetro url.

Lo que ocurre es que todos los enlaces que funcionen con ese script PHP llevarán a la página que le hayamos puesto evitando que cumpla con la función que debería hacer.





Archena, Valle de Ricote (Murcia). 120 msnm. 19.622 hab.
Davis Vantage Pro2 Plus

www.meteoarchena.es

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #822 en: 26 de Agosto del 2020, 14:11:21 pm »
Saludos jmviper

Como siempre, tienes toda la razón; se trata de Java (no javascript) .., ¡hayyy, mis neuronas! je je je

En cuanto a lo de PHP, parece claro que hay colocarlo dentro del header

Pero, efectivamente, si ponemos la dirección (completa) de nuestra web, deja de realizarse el script.

Entonces .. en tu opinión, ¿cual puede ser la solución definitiva?

Gracias por aclarar




“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-

Desconectado jmviper

  • Investigación
  • Hero Member
  • ******
  • Mensajes: 4.576
  • "Vortex Complex"
    • Ver Perfil
    • www.meteoarchena.es
  • Estación: Archena - ESMUR3000000030600B
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #823 en: 26 de Agosto del 2020, 15:13:21 pm »
Hola kocher y saludos ;)

Por lo que he visto por Google de ese tal archivo redirect.php al cual no tengo acceso a su código PHP al no tenerlo yo (imposible ver código PHP de un archivo en el navegador) es una especie de redirección "bonita" con efectos CSS y un loading o cargando que como digo queda más bonito que una redirección simple.

El script recogerá del query de la URL el campo url (creo) que lleva a la url a la que redirige sin comprobar que pueda ser "maliciosa".

Por ejemplo si ponemos http://nuestraweb.com/redirect.php?url=webmaliciosa.com nos llevaría a esa web falsa que podría ser fraudulenta.

La solución (creo que la mejor y la que debería de hacer Jachym si no la ha hecho ya) es poner una lista de direcciones url confiables (tanto internas del servidor o externas) o lista blanca para que sólo pudiese redirigir a esas urls confiables.

Viendo un poco el tema por google aquí en este hilo de stackoverflow aparece la solución que yo digo:

https://security.stackexchange.com/questions/121643/is-it-safe-to-redirect-to-url-parameter-without-filtering

En Whitelisting or validation o Referer check se pone el ejemplo de filtrar ese parámetro que lleve a la url redirigida sólo con archivos o direcciones confiables.
Serían las urls a las que se llama en ese redirect.php en la web de meteotemplate (ignoro a todas las que se llaman) para crear ese efecto de redirección "bonito" las que pudieran solamente ser redirigidas.

Como he dicho, no sé en la web de cada uno de meteotemplate cuáles son esas url redirigidas para hacer una lista blanca y debería ser Jachym en futuras actualizaciones (si no lo ha hecho ya) el que lo hiciese.

No sé si lo he explicado bien pero los tiros van por ahí  *+* *+*


« Última modificación: 26 de Agosto del 2020, 15:17:27 pm por jmviper »


Archena, Valle de Ricote (Murcia). 120 msnm. 19.622 hab.
Davis Vantage Pro2 Plus

www.meteoarchena.es

Desconectado kocher

  • Moderador Global
  • Hero Member
  • ******
  • Mensajes: 976
    • Ver Perfil
    • Meteo San Sebastian - Arriola
  • Estación: San Sebastian, Arriola ESEUS2000000020018A
Re:Plantilla Jachym (Meteotemplate)
« Respuesta #824 en: 26 de Agosto del 2020, 20:03:45 pm »
Muy interesante.

Hasta donde yo se, Jachym no ha cambiado el archivo responsable de este problema; al parecer está trabajando en la publicación de una nueva plantilla.

Te adjunto el código de la página problemática:

Código: [Seleccionar]

<?php

############################################################################

# Meteotemplate
http://www.meteotemplate.com
Free website template for weather enthusiasts
Author: Jachym
#           Brno, Czech Republic
First release: 2015
#
############################################################################
#
# Loading Spinner
#
A script which shows a loading spinner while redirecting.
#
############################################################################
# Version (change log - http://meteotemplate.com/blog/?page_id=42)
#
v6.0 Blueberry 2016-04-09
#
############################################################################


include("../../config.php");
include($baseURL."css/design.php");
include($baseURL."header.php");
$address urldecode($_GET["url"]);
?>

<html>
<head>
<?php metaHeader()?>
<style>
#loading{
background-color: transparent;
height: 100%;
width: 100%;
position: fixed;
z-index: 1;
margin-top: 0px;
top: 0px;
}
#loading-center{
width: 100%;
height: 100%;
position: relative;
}
#loading-center-absolute {
position: absolute;
left: 50%;
top: 50%;
height: 200px;
width: 200px;
margin-top: -100px;
margin-left: -100px;

}
.object{
-moz-border-radius: 50% 50% 50% 50%;
-webkit-border-radius: 50% 50% 50% 50%;
border-radius: 50% 50% 50% 50%;
position: absolute;
border-left: 5px solid #FFF;
border-right: 5px solid #FFF;
border-top: 5px solid transparent;
border-bottom: 5px solid transparent;
-webkit-animation: animate 2s infinite;
animation: animate 2s infinite;
}

#object_one{
left: 75px;
top: 75px;
width: 50px;
height: 50px;
}

#object_two{
left: 65px;
top: 65px;
width: 70px;
height: 70px;
-webkit-animation-delay: 0.1s;
animation-delay: 0.1s;
}

#object_three{
left: 55px;
top: 55px;
width: 90px;
height: 90px;
-webkit-animation-delay: 0.2s;
animation-delay: 0.2s;
}
#object_four{
left: 45px;
top: 45px;
width: 110px;
height: 110px;
-webkit-animation-delay: 0.3s;
animation-delay: 0.3s;

}

@-webkit-keyframes animate {


50% {
-ms-transform: rotate(180deg);
-webkit-transform: rotate(180deg);
transform: rotate(180deg);
  }
 
100% {
-ms-transform: rotate(0deg);
-webkit-transform: rotate(0deg);
transform: rotate(0deg);
  }  

}

@keyframes animate {

50% {
-ms-transform: rotate(180deg);
-webkit-transform: rotate(180deg);
transform: rotate(180deg);
  }
 
100% {
-ms-transform: rotate(0deg);
-webkit-transform: rotate(0deg);
transform: rotate(0deg);
  }  
}
</style>
</head>
<body onload="redirectpage()">
<div id="loading">
<div id="loading-center">
<div id="loading-center-absolute">
<div class="object" id="object_four">
</div>
<div class="object" id="object_three">
</div>
<div class="object" id="object_two">
</div>
<div class="object" id="object_one">
</div>
</div>
</div>
</div>
</body>
<script>
function redirectpage(){
window.location.href = "<?php echo $address ?>";
}
</script>
</html>

Las direcciones posible para que funcione este script, son:

index.php
indexSummary.php
viewData.php?parameter=T
viewData.php?parameter=D
viewData.php?parameter=A
viewData.php?parameter=H
viewData.php?parameter=P
viewData.php?parameter=W
viewData.php?parameter=G
viewData.php?parameter=R
viewData.php?parameter=S.php


Ahora habría que ver como elaborar esa lista blanca  :;







« Última modificación: 26 de Agosto del 2020, 20:18:28 pm por kocher »



“La mente es como un paracaídas… Solo funciona si la tenemos abierta”.

“La formulación de un problema, es más importante que su solución”.

“Si buscas resultados diferentes, no hagas siempre lo mismo" . -Albert Einstein-