Abbiamo riunito tutti gli RSS che parlano di Plone.

Vuoi aggiungere il tuo blog al planet? Invia una mail alla lista italiana.

Ultimo aggiornamento: 28/06/2016 09:15:10

26/02/2016

di Giorgio Borelli 10:31:00

Plone 5: le principali novità.

Ecco le novità più interessanti offerte da Plone 5 ad editor e sviluppatori.

25/11/2015

di Maurizio Delmonte 12:10:00

Plone Open Garden 2016

Giunto alla sua nona edizione, si rinnova il consueto appuntamento organizzato da Abstract per parlare delle molte novità che riguardano il mondo di Plone.

Nel meraviglioso Hotel Mediterraneo di Sorrento, secondo una formula ormai collaudata, i partecipanti potranno:

  • tenere i propri talk (anticipate le vostre proposte scrivendo a plog@abstract.it );

  • approfondire temi e discussioni, nei pomeriggi dedicati all’ open space ;

  • sprintare su idee e obiettivi condivisi con gli altri plonisti.

Il tutto nel consueto relax che la location sorrentina offre ai suoi ospiti.

A proposito: anche quest’anno la partecipazione è gratuita, e siete benvenuti ad arrivare il 28 marzo o prima e ripartire il 2 Aprile o dopo, in modo da fruire a pieno di tutti i giorni del PLOG.

Per tutte le informazioni relative all’evento, per sottoporre proposte di talk o argomenti per gli sprint, per registrarsi, visitate il sito dell’evento .

06/10/2015

di Luca Gentili 16:00:26

HotFix 20151006 - CSRF

 

Natura della vulnerabilità: La patch risolve diverse vulnerabilità agli attacchi CSRF (cross.site request forgery) nella ZMI (Zope Management Interface).

La patch è stata rilasciata Martedì 6 ottobre 2015 alle 15:00 UTC ed è disponibile all'indirizzo: https://pypi.python.org/pypi/plone4.csrffixes

Per informazioni di carattere generale sulle vulnerabilità CSRF potete visitare la pagina (in inglese)  https://en.wikipedia.org/wiki/Cross-site_request_forgery.

Versioni interessate

Tutte le versioni precedenti la 5.x sono vulnerabili.

Questa patch è compatibile con tutte le veriosni di plone supportate (4.x). Plone 5.x è già protetto e non necessita di questa patch.

Regole di blocco proxy per Nginx/Apache

Se usate una versione di Plone precedente alla 4.x, vi suggeriamo di eseguire l'upgrade o di bloccare l'accesso alla ZMI dall'esterno.

Sia che usiate Nginx o Apache le regole che seguono devono essere le prime della lista, prima della regola “location /”.

Usate questa regola di blocco per Nginx:

location  ~ /manage(_.+)?$ {
deny all;
}

Usate questa regola di blocco per Apache:

RewriteRule ^(.*)manage(.*) - [L,NC]
<LocationMatch "^/(manage|manage_main|(.*)/manage(.*))" >
Deny from all
</LocationMatch>

Firewall

Vi suggeriamo anche di utilizzare un firewall che impedisca l'accesso diretto alle porte dello ZEO client, ad es. 8080, 8081, e a qualsiasi porta dello ZEO server, ad esempio 8100.

Potete visitare il link http://docs.plone.org/manage/deploying/production/ubuntu_production.html#step-8-set-up-a-firewall (in inglese) per maggiori informazioni sulla configurazione del firewall per proteggere Plone.

Informazioni su questa patch

Per prevenire i problemi di CSRF incriminati, la presente patch riporta su Plone 4.x il framework di protezione automatica dagli attacchi CSRF incluso nativamente in Plone 5.

 

Questa patch di Plone, a differenza dalle precedenti, non è un semplice prodotto installabile senza rieseguire il buildout.

La protezione CSRF funziona perfettamente su siti Plone di default, tuttavia potrebbe essere eccessivamente aggressiva se fate uso di add-on e personalizzazioni che comprendono quanto segue:

  • l'uso di Zope session storage
  • codice vulnerabile ad attacchi CSRF
  • codice JavaScript non non-jQuery AJAX che non sia protetto da attacchi CSRF
  • codice che effettua write-on-read

 

Dopo aver applicato la patch Plone potrebbe generare degli errori quando incontra il codice menzionato.

Dovrete aggiungere _authenticator a varie URL per impedire gli errori di write-on-read. Per ulteriori dettagli su come fare consultate la pagina: https://pypi.python.org/pypi/plone.protect (in inglese).

Vi raccomandiamo di testare in modo completo i vostri siti prima di eseguire la patch sulle versioni di esercizio.

Mentre verificate in ambiente di test l'efficacia della patch vi raccomandiamo di attivare le regole di blocco per Ngnix e Apache di cui sopra.

La Security Team è consapevole che l'applicazione di questa patch ai siti può essere molto onerosa, ed ha già fatto il massimo per ottenere questo risultato.

Potete contattare la Security Team all'indirizzo security@plone.org per dare suggerimenti relativi a migliorie che possono essere incluse nella patch.

Installazione

Le istruzioni complete per l'installazione (in inglese) sono disponibili sulla pagina di rilascio della HotFix

ATTENZIONE: l'installazione di questa patch richiede l'esecuzione del buildout. Metodi alternativi d'installazione potrebbero non funzionare correttamete, portando al malfunzionamento o alla non persistenza della vulnerabiltà del sito.

Supporto aggiuntivo

Se avete necessità di una consulenza specifica potete trovare una lista delle aziende che offrono consulenza Plone su plone.com/providers plone.org/support/network.

E' disponibile anche un supporto gratuito online attraverso le mailing list Plone e il canale IRC.

Per leggere l'informativa originale (in inglese) potete consultare il link: https://plone.org/products/plone/security/advisories/security-vulnerability-20151006-csrf.

01/10/2015

di Luca Gentili 09:25:00

Preavviso rilascio patch di sicurezza 20151006

La natura della vulnerabilità sarà resa nota martedì 6 ottobre 2015 alle 15:00 UTC, contemporaneamente al rilascio della HotFix che sarà disponibile su https://pypi.python.org.

La patch sarà compatibile con tutte le versioni supportate di Plone.

Per Plone 1.x, 2.x e 3.x saranno fornite indicazioni specifiche per risolvere il problema.

Installazione

Le istruzioni complete per l'installazione saranno fornite nella pagina di rilascio della HotFix.

ATTENZIONE: questa hotfix richiede l'installazione tramite buildout. Altri metodi di installazione utilizzati per le hotfix precedenti non funzionano correttamente e potrebbero risultare in errori o nella permanenza della vulnerabilità sul vostro sito.

Ulteriore supporto

Se avete necessità di una consulenza specifica potete trovare una lista delle aziende che offrono consulenza Plone su plone.com/providers plone.org/support/network.

E' disponibile anche un supporto gratuito online attraverso le mailing list Plone e il canale IRC.

 

Per ulteriori approfondimenti e una lista di FAQ sulla hotfix potete leggere la notizia originale (in lingua inglese).

11/09/2015

di Luca Gentili 10:10:00

URGENTE: Security Hotfix 20150910

Il gruppo che si occupa della sicurezza dei siti Plone ha rilasciato la Hotfix che risolve i problemi di sicurezza riscontrati sui siti che sfruttano l'autoregistrazione degli utenti.

La Hotfix impatta tutte le versioni di Plone, si raccomanda pertanto di pianificarne l'installazione quanto prima.

 

Per ulteriori informazioni consultare i seguenti link (in lingua inglese):

01/06/2015

di Giovanni Giangiobbe 12:07:07

Plone Intranet Consortium: insieme per il futuro di Plone

Una partnership strategica per traghettare Plone verso un approccio che mette al centro del sistema gli utenti e le loro relazioni sociali, ed aggredire il mercato delle intranet con un tool adeguato al Web 2.0

26/05/2015

di Simone Orsi 07:34:44

Come trasformare automaticamente centinaia di file docx e pubblicarli come pagine web con Plone

Libre office, qualche espressione XPath e un pizzico di Python ci hanno permesso di tradurre 500 file word in un database accessibile e ricercabile online.

18/05/2015

di Giacomo Spettoli 13:05:50

Il digital workplace basato su Plone Intranet è prossimo alla prima release

Di ritorno da 5 giorni di lavoro serrato sul progetto Plone Intranet, ecco cosa è già pronto e la roadmap per i prossimi mesi.

05/05/2015

di Maurizio Delmonte 10:03:00

Una cartolina dal Plone Open Garden 2015

Questo video è un enorme ringraziamento per aver partecipato al Plog: ci auguriamo di rivedervi a Sorrento l'anno prossimo!

04/05/2015

di Federico Guizzardi 22:00:00

Plone e Alta Affidabilità

Come realizzare un sito in Plone in Alta Affidabilità in concreto.

27/04/2015

di Giacomo Spettoli 06:14:00

Plone Open Garden 2015 - l'occasione giusta per discutere e pianificare

Il PLOG, alla sua 9a edizione consecutiva, è stato dichiarato un Plone Strategic Summit, con ben 5 giorni per discutere, pianificare e preparare il futuro di Plone nei prossimi 5 anni.

31/03/2015

di Maurizio Delmonte 12:17:01

Il Plone Open Garden è alle porte, prepariamoci per una settimana dedicata a Plone

Il PLOG si svolge a Sorrento dal 7 all'11 Aprile, e l'argomento principale per il 2015 è il Plone Strategic Summit.

04/01/2015

di Maurizio Delmonte 23:00:00

Plone Open Garden 2015: un evento da non perdere!

Torna il PLOG, di nuovo a Sorrento dal 7 all'11 aprile 2015. Quest'anno l'evento ospiterà il Plone Strategic Summit e la festa per i 10 anni di Abstract.

05/12/2014

di Maurizio Delmonte 12:10:17

Plone Open Garden 2015

Giunto alla sua nona edizione, si rinnova il consueto appuntamento organizzato da Abstract per parlare delle molte novità che riguardano il mondo di Plone.

Nel meraviglioso Hotel Mediterraneo di Sorrento, secondo una formula ormai collaudata, i partecipanti potranno:

  • tenere i propri talk (anticipate le vostre proposte scrivendo a plog@abstract.it);

  • approfondire temi e discussioni, nei pomeriggi dedicati all’open space;

  • sprintare su idee e obiettivi condivisi con gli altri plonisti.

Il tutto nel consueto relax che la location sorrentina offre ai suoi ospiti.

A proposito: anche quest’anno la partecipazione è gratuita.

Per tutte le informazioni relative all’evento, per sottoporre proposte di talk o argomenti per gli sprint, per registrarsi, visitate il sito dell’evento.

10/11/2014

di Maurizio Delmonte 08:05:00

Plone Conference 2014: resoconto da Bristol.

Abstract ha partecipato all'evento ospitato da Netsight a fine Ottobre 2014: talk di qualità, social intranet consortium ed energia comunitaria sono stati la cifra dell'incontro.