Autor Tema: Plantilla Jachym (Meteotemplate) (Leído 439513 veces)

jmviper · « **Respuesta #825 en:** 26 de Agosto del 2020, 20:57:09 pm »

Código simple....

Probemos este:


<?php

	############################################################################
	# 	
	#	Meteotemplate
	# 	http://www.meteotemplate.com
	# 	Free website template for weather enthusiasts
	# 	Author: Jachym
	#           Brno, Czech Republic
	# 	First release: 2015
	#
	############################################################################
	#
	#	Loading Spinner
	#
	# 	A script which shows a loading spinner while redirecting.
	#
	############################################################################
	#	Version (change log - http://meteotemplate.com/blog/?page_id=42)
	#
	# 	v6.0 Blueberry 2016-04-09
	#
	############################################################################
	
	
	include("../../config.php");
	include($baseURL."css/design.php");
	include($baseURL."header.php");
	$address = urldecode($_GET["url"]);
	
	$arr=["index.php","indexSummary.php","viewData.php?parameter=T","viewData.php?parameter=D","viewData.php?parameter=A","viewData.php?parameter=H","viewData.php?parameter=P","viewData.php?parameter=W","viewData.php?parameter=G","viewData.php?parameter=R","viewData.php?parameter=S"];
	
	$address = in_array($address, $arr) ? $address : "index.php";

?>
<html>
	<head>
		<?php metaHeader()?>
		<style>
		#loading{
			background-color: transparent;
			height: 100%;
			width: 100%;
			position: fixed;
			z-index: 1;
			margin-top: 0px;
			top: 0px;
		}
		#loading-center{
			width: 100%;
			height: 100%;
			position: relative;
			}
		#loading-center-absolute {
			position: absolute;
			left: 50%;
			top: 50%;
			height: 200px;
			width: 200px;
			margin-top: -100px;
			margin-left: -100px;	

		}
		.object{
			-moz-border-radius: 50% 50% 50% 50%;
			-webkit-border-radius: 50% 50% 50% 50%;
			border-radius: 50% 50% 50% 50%;
			position: absolute;
			border-left: 5px solid #FFF;
			border-right: 5px solid #FFF;
			border-top: 5px solid transparent;
			border-bottom: 5px solid transparent;
			-webkit-animation: animate 2s infinite;
			animation: animate 2s infinite;	
			}

		#object_one{
			left: 75px;
			top: 75px;
			width: 50px;
			height: 50px;
			}
									
		#object_two{
			left: 65px;
			top: 65px;
			width: 70px;
			height: 70px;
			-webkit-animation-delay: 0.1s;
			animation-delay: 0.1s;
			}
				
		#object_three{
			left: 55px;
			top: 55px;
			width: 90px;
			height: 90px;
			-webkit-animation-delay: 0.2s;
			animation-delay: 0.2s;
			}
		#object_four{
			left: 45px;
			top: 45px;
			width: 110px;
			height: 110px;
			-webkit-animation-delay: 0.3s;
			animation-delay: 0.3s;
			
			}	

		@-webkit-keyframes animate {
		 

		50% {
			-ms-transform: rotate(180deg); 
			-webkit-transform: rotate(180deg); 
			transform: rotate(180deg); 
		  }
			  
		100% {
			-ms-transform: rotate(0deg); 
			-webkit-transform: rotate(0deg); 
			transform: rotate(0deg); 
		  }	  

		}

		@keyframes animate {

		50% {
			-ms-transform: rotate(180deg); 
			-webkit-transform: rotate(180deg); 
			transform: rotate(180deg); 
		  }
			  
		100% {
			-ms-transform: rotate(0deg); 
			-webkit-transform: rotate(0deg); 
			transform: rotate(0deg); 
		  }	  
		}
		</style>
	</head>
	<body onload="redirectpage()">
		<div id="loading">
			<div id="loading-center">
				<div id="loading-center-absolute">
					<div class="object" id="object_four">
					</div>
					<div class="object" id="object_three">
					</div>
					<div class="object" id="object_two">
					</div>
					<div class="object" id="object_one">
					</div>
				</div>
			</div>
		</div>
	</body>
	<script>
		function redirectpage(){
			window.location.href = "<?php echo $address ?>";
		}
	</script>
</html>

Sólo admitirá la redirección a las direcciones que estén el array $arr y las cuales ya has puesto. Si el parámetro url lleva a otra dirección que no esté en ese array dirigirá al index.php

Si queréis podéis probarlo y ver si funciona bien

kocher · « **Respuesta #826 en:** 26 de Agosto del 2020, 21:27:27 pm »

Je je je, ¡Eres un autentico maestro!

Funciona de maravilla

Espero que todos los usuarios de Meteotemplate adopten esta solución en su plantilla.

El archivo que hay que modificar es "redirect.php" en el plugin Deviations

Muchísimas gracias jmviper

jmviper · « **Respuesta #827 en:** 26 de Agosto del 2020, 22:17:47 pm »

Me alegro

Espero que Jachym adopte una solución como esta para evitar redirreciones no deseadas.

Como medida preventiva nunca uséis este tipo de redirecciones en el query de la URL sobre todo de emails ya que intentan el tan temido "phishing" (pescar) los datos de la gente en una web parecida pero no legítima.

Si se quieren más urls en la lista blanca solamente hay que ponerlas en el array de la manera que están puestas las ya existentes.

Saludos

Mariete · « **Respuesta #828 en:** 27 de Agosto del 2020, 15:46:31 pm »

Muchísimas gracias jmviper!

Lo voy a probar en cuento tenga un momento

Panocho · « **Respuesta #829 en:** 27 de Agosto del 2020, 17:10:45 pm »

Muchas gracias por vuestras aportaciones, avisos y soluciones.

No estaría mal que explicarais el proceso completo de lo que hay que hacer, para los que no tengan / tangamos mucha experiencia en programación, aunque sí algunos conocimientos de informática y ganas de aprender.

En todo caso, GRACIAS

jmviper · « **Respuesta #830 en:** 27 de Agosto del 2020, 19:45:27 pm »

Hola Panocho

Básicamente lo que hay que hacer es cambiar el código que tienes en el archivo redirect.php del plugin Deviations tal como dice más arriba kocher y cambiarlo por el que he puesto más arriba.

Cita de: Mariete en 27 de Agosto del 2020, 15:46:31 pm

Muchísimas gracias jmviper!

Lo voy a probar en cuento tenga un momento

Ok ya contarás si ha solucionado el problema.

Saludos

Mariete · « **Respuesta #831 en:** 28 de Agosto del 2020, 11:40:15 am »

En mi caso he editado el fichero redirects.php que está en http_docs/meteotemplate/mobile/pagesstation/redirects.php

He sustituido el código por el que ha modificado jmviper, unos post más arriba, y, a funcionar!

Mariete · « **Respuesta #832 en:** 28 de Agosto del 2020, 22:12:52 pm »

He preparado en mi blog una entrada acerca de esta vulnerabilidad y su solución para facilitar que la gente encuentre la información (la pondré también en inglés).

Si veis cualquier cosa que pensais que sea bueno poner/quitar/modificar me lo decís, por favor.

jmviper, espero que te parezca bien que haya incluido tu código. Por supuesto, queda clarísimo en el post que el autor eres tú con un enlace a la entrada donde lo pusiste. Muchas gracias, de nuevo.

Versión en español: https://emariete.com/vulnerabilidad-meteotemplate-como-afecta-seo/
Versión en inglés: https://emariete.com/en/vulnerability-meteotemplate-how-affects-seo/

jmviper · « **Respuesta #833 en:** 29 de Agosto del 2020, 00:27:44 am »

Hola de nuevo Mariete

No me importa salir nombrado en tu blog aportando una solución al problema que planteabas de esas redirecciones.

Es un script simple y en PHP se puede hacer lo que yo he hecho de unas cuantas maneras. Celebro que os haya ayudado a kocher, a ti y a algún otro a resolver ese problema (yo no uso meteotemplate y desconozco sus entresijos) pero como ya dije anteriormente ese problema debería de resolverlo su desarrollador, o sea Jachym.

Saludos

jachym · « **Respuesta #834 en:** 30 de Agosto del 2020, 15:35:12 pm »

Hi,

I would love to say "thanks for letting me know" to Mariete, but I cannot.

Let´s make things straight.

You mention you are a former professional in the IT. You should therefore know the rule number one when you find a vulnerability. That rule is - contact the developer privately, give them some time to fix it and then if they do nothing, publish it. This is to prevent anyone from misusing this vulnerability. You know my email because you have repeatedly contacted me in the past and you have also got a reply within hours. It is therefore very strange that you never informed me privately and directly about this and instead you publish it at several forums. Very unprofessional.

I am currently moving flat, dealing with some health issues and finishing up a project at work, I therefore did not have much time to look at this forum, which is primarily intended for users.

Second, this is not a serious vulnerability that would in any way put the user´s page at risk in terms of being hacked. It is not an ideal script and I agree it should be changed, but for someone who does not understand things you make it look as if it was a major problem and sever risk for the page as such.

What is even more concerning is that you went as far as sending emails directly to users you found. This is very strange, you email users, but never me...

Last but not least, it is disappointing to see such behavior especially from you in particular, someone who has told me about their unemployment and other issues, which prevent you from being able to donate towards covering the costs for the development and I have always been understandable about this and sent you the key for free....

I am glad you found a problem and I am glad for making a solution, but the way you went about it was very unprofessional.

This issue will be fixed in v19.

Mariete · « **Respuesta #835 en:** 31 de Agosto del 2020, 23:30:10 pm »

Bueno, me parece que ni le voy a contestar.

Me ha enviado este mensaje por email y después lo ha puesto en dos foros (que yo sepa) con una serie de ataques personales que me parecen de muy mal gusto. No se a cuento de qué tiene que, ya no solo que opinar sobre mi profesionalidad, sino dar información personal, que yo le he dado en privado, sobre mi situación laboral. Me parece que es un tema muy intimo y sensible y no tiene por qué comunicarlo a los cuatro vientos por internet.

¿No se le ocurre que es posible que yo no quiero que se sepa publicamente?

Voy a desinstalar Meteotemplate de mi web ahora mismo y se acabó el problema, o eso espero.

jmviper · « **Respuesta #836 en:** 01 de Septiembre del 2020, 00:11:15 am »

La verdad es que deberíais haber resuelto el problema por privado desde el principio.... a partir de ahora cualquier problema de seguridad o funcionamiento de meteotemplate a su desarrollador por privado, en su foro o como se quiera pero no aquí. Él es quien tendrá que hacer los cambios.

Ubik · « **Respuesta #837 en:** 01 de Septiembre del 2020, 10:25:25 am »

Cita de: Mariete en 31 de Agosto del 2020, 23:30:10 pm

Bueno, me parece que ni le voy a contestar.

¿No se le ocurre que es posible que yo no quiero que se sepa publicamente?

¿No se le ha ocurrido pensar que a él tampoco le ha gustado que usted haya hecho público el problema?

¿No se le ha ocurrido pensar que resulta un poco incongruente que diga usted que no quiere se se sepa cuando ha sido usted el que ha publicado el tema.?

De cualquier manera, lo que ha dicho Jmviper, este tipo de cuestiones no se volverán a tratar aquí.

kocher · « **Respuesta #838 en:** 01 de Septiembre del 2020, 12:28:00 pm »

En primer lugar, lamento como ha terminado este asunto. Está claro que a Jachym le ha sentado realmente mal (quizás, demasiado mal).

Siguiendo con las noticias de la plantilla, Jachym acaba de publicar un cuestionario para sondear la opinión de los usuarios de la plantilla; el objetivo es el de acumular información sobre la opinión de cada uno respecto a múltiples facetas de dicha plantilla.

La finalidad del cuestionario es la de disponer de información suficiente para encarar la próxima gran actualización de la plantilla en la que, al parecer, ya está trabajando:

"Feedback wanted – your chance to give opinion
August 26, 2020 by Jachym (admin)
Hi guys,

I have said in the past that I am thinking of redesigning MT from scratch.

Now it is your turn to tell me what it should look like. Or rather I should say give me some general ideas about your priorities and what you want. I prepared a questionnaire and welcome your replies:

https://docs.google.com/forms/d/e/1FAIp … sp=sf_link

The above form requires a Google account to prevent spam. If you do not have one and do not want to create one, just send me the answers via email to jachymcz@gmail.com.

Thanks!"

Creo que debemos aprovechar esta oportunidad para opinar sobre los aspectos que nos gustaría mejorar.

El enlace para el cuestionario, es:

http://meteotemplate.com/blog/?p=3762

jachym · « **Respuesta #839 en:** 02 de Septiembre del 2020, 12:10:16 pm »

Thanks, as always

Noticias:

Autor Tema: Plantilla Jachym (Meteotemplate) (Leído 439513 veces)

jmviper

Re:Plantilla Jachym (Meteotemplate)

kocher

Re:Plantilla Jachym (Meteotemplate)

jmviper

Re:Plantilla Jachym (Meteotemplate)

Mariete

Re:Plantilla Jachym (Meteotemplate)

Panocho

Re:Plantilla Jachym (Meteotemplate)

jmviper

Re:Plantilla Jachym (Meteotemplate)

Mariete

Re:Plantilla Jachym (Meteotemplate)

Mariete

Re:Plantilla Jachym (Meteotemplate)

jmviper

Re:Plantilla Jachym (Meteotemplate)

jachym

Re:Plantilla Jachym (Meteotemplate)

Mariete

Re:Plantilla Jachym (Meteotemplate)

jmviper

Re:Plantilla Jachym (Meteotemplate)

Ubik

Re:Plantilla Jachym (Meteotemplate)

kocher

Re:Plantilla Jachym (Meteotemplate)

jachym

Re:Plantilla Jachym (Meteotemplate)