sfLive2011: Introducción al UserBundle de FriendsOfSymfony

Viernes, 4 de marzo de 2011

“Introducción al UserBundle de FriendsOfSymfony” fue una presentación realizada por Jeremy Mikola durante la conferencia Symfony Live Paris 2011.

Ver presentación en Google Docs

Guardado en seguridad, sflive2011, symfony2

1 comentario »

Symfony2 será el framework más seguro

Lunes, 7 de febrero de 2011

La comunidad de Symfony lo ha vuelto a conseguir. Hace menos de un mes, los responsables del proyecto Symfony iniciaron una campaña para solicitar donativos para encargar una auditoría de seguridad del código de Symfony2 y de Twig. En total se necesitaban 6.000 euros para pagar el trabajo de la empresa SektionEins.

Hoy se anuncia en el blog oficial de Symfony que la campaña se ha cerrado con un rotundo éxito, recaudando más de 9.500 euros en total. Gracias a la generosidad de la comunidad, se ha conseguido dinero suficiente para auditar el código de Symfony2, Twig y también el de Doctrine2.

Esta iniciativa es una buena demostración de los beneficios que se obtienen cuando diferentes proyectos colaboran entre sí:

  • El proyecto Symfony se  ha beneficiado de contar con un ORM excelente llamado Doctrine 2 y que funciona en Symfony mejor que en cualquier otro framework. A cambio Doctrine 2 recibe de regalo una auditoría de seguridad en su código valorada en 4.500 euros.
  • phpBB 4 se beneficia de Symfony2 al contar con un framework excelente para crear la próxima versión del software de gestión de foros de discusión. A cambio, Symfony ha recibido una generosa donación de 5.000 euros por parte de la empresa responsable de phpBB.

Ahora la presión recae sobre la empresa SektionEins, que se juega su prestigio auditando un código utilizando por cientos de miles de personas en todo el mundo.

Fuente: We’re secure! (or getting there)

Guardado en doctrine, seguridad, symfony2

4 comentarios »

¿Pagarías para que Symfony2 fuera más seguro?

Miércoles, 12 de enero de 2011

Symfony2 no sólo se ha propuesto ser el framework completo más rápido del mercado, sino que también pretende ser el más seguro. Para ello ha decidido contratar los servicios de la empresa alemana SektionEins.

Esta empresa especializada en seguridad informática realizará una auditoría de todo el código fuente del framework Symfony2 y del motor de plantillas Twig. Los análisis incluirán pruebas contra todos los tipos de ataques conocidos relacionados con los sitios web, incluyendo los famosos ataques XSS, CSRF y de inyección de código SQL.

El único problema es que las auditorías de este tipo son carísimas y por eso el proyecto Symfony solicita tu ayuda. En la página symfony-project.org/donate puedes realizar una donación económica en tu nombre o en el de tu empresa para colaborar a que Symfony2 sea el framework más seguro del mercado.

Nosotros ya hemos hecho nuestra pequeña aportación y desde aquí os animamos a que colaboréis si os es posible. También podéis tratar de convencer a vuestros jefes para que tu empresa haga una aportación.

Actualización 13 de enero: el blog oficial de Symfony ha publicado un artículo con los detalles de la solicitud de donaciones. Lo más relevante es que la auditoría les va a costar 6.000 euros. (Muchas gracias a todos los que nos habéis avisado a través de los comentarios)

Guardado en seguridad, symfony2

6 comentarios »

Se publican las actualizaciones de seguridad 1.3.6 y 1.4.6

Viernes, 2 de julio de 2010

Un problema de seguridad descubierto en las ramas 1.3 y 1.4 de Symfony ha obligado a adelantar la publicación de sus versiones de mantenimiento. Se recomienda actualizar inmediatamente todas las aplicaciones que utilicen symfony 1.3 y 1.4.

La vulnerabilidad descubierta está relacionada con la forma en la que se guardan las plantillas en la cache. Los parámetros GET de la URL de la plantilla se utilizan para determinar el directorio en el que se guarda la plantilla.

El problema es que estos parámetros GET de la plantilla no se limpiaban antes de generar la ruta donde se guardará la plantilla. La consecuencia es que un atacante podría utilizar parámetros GET especialmente preparados para almacenar las plantillas en algún directorio por encima del directorio de la cache de la aplicación.

Como siempre, para actualizar tu versión de Symfony:

  • Si usas el sandbox, te lo tienes que bajar otra vez.
  • Si lo has instalado mediante el archivo comprimido de Symfony, te lo tienes que bajar otra vez desde www.symfony-project.org/installation/1_3www.symfony-project.org/installation/1_4 y debes descomprimirlo en el mismo directorio dentro de tu proyecto.
  • Si lo has instalado mediante PEAR, ejecuta el comando pear upgrade symfony/symfony-1.3.6pear upgrade symfony/symfony-1.4.6
  • Si lo instalas mediante Subversion, ejecuta el comando svn checkout http://svn.symfony-project.com/tags/RELEASE_1_3_6/svn checkout http://svn.symfony-project.com/tags/RELEASE_1_4_6/

Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización mediante los siguientes comandos:

Si utilizas Doctrine:

$ php symfony doctrine:build --all-classes
$ php symfony cache:clear

Si utilizas Propel:

$ php symfony propel:build --all-classes
$ php symfony cache:clear

Fuente: Security Release: symfony 1.3.6 and 1.4.6

Guardado en seguridad, symfony

Comenta este artículo »

Se publican Symfony 1.3.5 y 1.4.5

Miércoles, 2 de junio de 2010

Los responsables de Symfony acaban de publicar las nuevas versiones de mantenimiento 1.3.5 y 1.4.5. Además de las habituales correcciones de errores, estos son los cambios más importantes:

  • Los formularios basados en Doctrine y Propel contenían un fallo de seguridad que permitía a un usuario actualizar el valor de un registro de la base de datos diferente al que muestra el formulario. El fallo se encontraba en los validadores generados por Symfony para las claves primarias.
  • Se ha actualizado Propel a su versión 1.4.2 y la librería de pruebas lime a su versión 1.0.9.
  • Ahora se puede utilizar la tarea doctrine:clean para borrar los formularios generados para los modelos en los que se ha deshabilitado la generación de formularios.
  • La clases de los widgets de fecha y hora utilizan correctamente la opción id_format.

Como siempre, para actualizar tu versión de Symfony:

  • Si usas el sandbox, te lo tienes que bajar otra vez.
  • Si lo has instalado mediante el archivo comprimido de Symfony, te lo tienes que bajar otra vez desde www.symfony-project.org/installation/1_3www.symfony-project.org/installation/1_4 y debes descomprimirlo en el mismo directorio dentro de tu proyecto.
  • Si lo has instalado mediante PEAR, ejecuta el comando pear upgrade symfony/symfony-1.3.5 opear upgrade symfony/symfony-1.4.5
  • Si lo instalas mediante Subversion, ejecuta el comando svn checkout http://svn.symfony-project.com/tags/RELEASE_1_3_5/svn checkout http://svn.symfony-project.com/tags/RELEASE_1_4_5/

Independientemente de cómo lo actualices, no olvides borrar la caché de cada proyecto después de la actualización mediante los siguientes comandos:

Si utilizas Doctrine:

$ php symfony doctrine:build --all-classes
$ php symfony cache:clear

Si utilizas Propel:

$ php symfony propel:build --all-classes
$ php symfony cache:clear

Fuente: symfony 1.3.5 and 1.4.5

Guardado en seguridad, symfony

4 comentarios »