Piero V.

Thunderbird 78+ and OpenPGP secrets

I have used OpenPGP for a while now, usually with GPG. I use it, especially with my password manager on my Debian box. The GNOME folks did a great job with password prompts for it and for the SSH agent.

Recently, I started using encryption and digital signatures also for emails.

I use Thunderbird as a client. With version 78, its authors deprecated the old plugin APIs. Enigmail, the addon that provided OpenPGP with a GPG integration, became incompatible. However, they also decided to support this feature natively.

While most of Thunderbird’s source code is released under MPL, GPG is released under the GNU GPL 3.0 or later. Therefore, they preferred using another library. And so, they also waived the great integrations that GPG already has.

Thunderbird's prompt for the key passphrase

So, what is different in this screenshot from the usual Thunderbird password prompts? … [Leggi il resto]

Gravissimo bug su Flatpress

English Users: read on Flatpress Forums.

Hey utenti di Flatpress, leggete qui perché è importante…

È facilissimo prendere il controllo del vostro blog.

A causa di un bug il controllo del login non fnziona.

Per farlo funzionare dovete modificare il file fp-includes/core/core.users.php, da linea 77 alla 98, la funzione user_loggedin() che deve diventare:

function user_loggedin(){

		global $loggedin, $fp_user;

		if ($loggedin)
			return $fp_user;

		if ( empty($_COOKIE[USER_COOKIE]) || empty($_COOKIE[PASS_COOKIE]) ) {
			$fp_user = null;
			return $loggedin = false;
		}

		$fp_user = user_get($_COOKIE[USER_COOKIE]);

		if (!$fp_user) {
			return false;
		}

		if($_COOKIE[PASS_COOKIE] == $fp_user['password']) {
			$loggedin = true;
			return $fp_user;
		}

		$loggedin = false;
		return false;

	}

Non so se ho fatto bene a pubblicare qui la soluzione al bug… In pratica è descritto anche l’exploit…

Per fortuna dovete conoscere Flatpress, PHP più qualcos’altro per poter applicarlo a fin di male.

Ciò che mi preoccupa per voi sono, oltre ai post e alle statiche, le parti che potrebbero rendere inagibile il vostro sito: i plugin ma anche l’uploader: conoscendo dove vanno i file è facile creare una shell PHP…

Mi raccomando: correggete subito e spero NoWhereMan crei presto una nuova versione di FP.

Comunque anche se riusciste a trovare l’exploit io sono già al sicuro 😁