Abbiamo perso sin troppo tempo oggi per un problema incomprensibile e pensavo di accennarne qui nella speranza di aiutare qualcun altro che possa sudare la medesima problematica.
Il nuovo sistema di interfacciamento con Banca Sella introdotto quest'anno prevede l'uso di un sistema WebService (SOAP) per la validazione dell'acquisto.
Sul commercio elettronico di un cliente basato naturalmente su Sar-At, però, non arrivava il parametro B, cioè il messaggio di conferma. Zero, vuoto, come se non ci fosse.
Dopo molti grattacapi siamo arrivati a capire dove stava il busillis. Sui nostri server, ben carrozzati e mantenuti aggiornati da un sistemista espressamente dedicato alla sicurezza, è installato tra gli altri uno strumento chiamato Suhosin che impedisce una serie di comportamenti contrari ai protocolli e alle usanze, ma che alcuni hacker utilizzano per cercare falle nella protezione.
Una delle cose che fa Suhosin è impedire agli hacker di mandare parametri molto lunghi ai programmi che girano sui server. Si standard, li limita a 512 byte. Nel caso del nostro cliente, Banca Sella ne inviava 555 e Suhosin bloccava la ricezione.
Per risolvere è stato sufficiente aggiungere questa riga al php.ini e riavviare Apache:
suhosin.get.max_value_length = 1024;
L.A.
Nuove funzionalità e miglioramenti
* Nel commercio elettronico, se l'importo a pagarsi da parte dell'acquirente è zero (per esempio, perché il buono sconto utilizzato raggiunge o supera il costo dei beni acquistati) allora l'acquirente non viene mandato all'istituto bancario a confermare una spesa di zero euro come avveniva nelle versioni precedenti (PayPal in questo caso restituiva un errore). Il carrello viene chiuso con successo e l'acquisto confermato in modo diretto.
* Nel sistema di amministrazione delle newsletter è ora possibile esportare gli esiti con filtri più variegati, utili e significativi. L'amministratore del sito può esportare un elenco dei soli destinatari che hanno aperto la newsletter o dei soli destinatari che pur avendola ricevuta non l'hanno letta -- in modo da fare un recall.
* Il sistema di gestione degli eventi aggiunge un nuovo tipo di evento, BULK-DELETE. L'evento viene scatenato se un gruppo di pagine (record) viene cancellato simultaneamente. Questo attualmente può accadere in due casi. Primo, quando il proprietario del sito distrugge una intera sezione del sito stesso. Secondo, quando un amministratore importa nuove pagine (record) da un file esterno e nel farlo sovrascrive o distrugge molte pagine esistenti
* Aggiornata la libreria Jquery UI all'ultima versione disponibile, 1.8.13
* Aggiornata la libreria CKEditor all'ultima versione disponibile, 3.6
Bug fix e ottimizzazioni
* L'evento SALE non veniva correttamente recepito nei siti creati con Sar-At versione 8 e precedente e poi aggiornati alla versione 9.
* Il commercio elettronico attraverso PayPal ora segnala correttamente all'istituto bancario quale componente del prezzo è dovuta a tasse, quale alle spese di spedizione e quale a sconto.
* Per maggior sicurezza, tutte le transazioni con gli istituti bancari (come Banca Sella e PayPal) vengono loggate da Sar-At e sono accessibili dal menu Ecommerce, voce Status Sistema.
* Sotto Sar-At 9.0 - 9.3.2, se una pagina universalmente visibile ai visitatori del sito era memorizzata nella cache di Sar-At e veniva spostata dall'amministratore tra le pagine visibili solo ai visitatori registrati, in alcuni casi quella pagina restava visibile a chiunque. Questo problema è risolto in Sar-At 9.3.3
Problemi rimasti aperti in Sar-At 9.3.3
I menu a discesa all'interno di Sar-At non si srotolano quando l'amministratore prova a navigarli su iPad o iPhone. Questo problema dipende da un difetto nella libreria Jquery UI che non è stato rimediato a tutt'oggi dagli autori. Si sta lavorando su una soluzione che verrà presumibilmente trovata in occasione del rilascio di Jquery UI 1.9. In quella occasione rilasceremo tempestivamente un aggiornamento di Sar-At che incorpori la nuova libreria.
Poiché la più recente versione di Sar-At è compatibile con MySQL 5.5, il recente aggiornamento al motore di base dati, oggi abbiamo aggiornato su tutti i server direttamente e indirettamente controllati da Accomazzi.net l'elenco delle parole riservate, ovvero i nomi che non è possibile usare per sezioni (tabelle) e pagine (record) del sito. Sono state aggiunte all'elenco le nuove parole chiave introdotte appunto da Oracle in MySQL 5.5. L'unico termine che potrebbe destare qualche sorpresa nei web designer è "general", che da oggi dunque non viene più accettato. L'elenco completo:
GENERAL IGNORE_SERVER_IDS MASTER_HEARTBEAT_PERIOD
MAXVALUE RESIGNAL SIGNAL
SLOW
L.A.
--
Accomazzi.net Srl
Via Antonio Gramsci, 40
20017 Rho (Mi)
Tel. 02.00615556
Fax 02.700537345
Cell. 349.7680116
VoIP sip:5342716@sip.messagenet.it
Skype misterakko
http://www.accomazzi.net
Buongiorno. Volevo avvisarvi che in questi giorni cominceremo l'installazione su tutte le macchine sotto il nostro controllo della nuova versione 9.3.2 di Sar-At. Si tratta di un aggiornamento minore che introduce ottimizzazioni, aggiornamenti e risoluzioni di problemi riscontrati nelle ultime settimane,
Alcune osservazioni di particolare rilevanza.
* La versione 9.3.2 crea indici per le tabelle in modo più efficace (più parco nell'uso dello spazio su disco) e introduce un miglioramento che fa risparmiare memoria nella gestione delle sessioni utente, introdotte in Sar-At 9.3.0
* Sar-At 9.3.2 è pienamente compatibile con mySQL 5.5, la più recente versione del motore di base dati. Le versioni precedenti invece presentano un blocco durante la creazione di un nuovo sito.
* In Sar-At 9.3.1 se un utente faceva log-in con successo, poi tornava nella schermata iniziale e faceva nuovamente log-in usando una username e una password sbagliata restava connesso con le credenziali iniziali. Questo problema è stato risolto.
* È stata risolta una "regressione" presente nella v9.3.1, ovvero l'impossibilità di cambiare il tema (il set di colori) facendo uso della schermata Preferenze. Il menu con i temi disponibili non appariva.
* L'aggiornamento di un sito alla versione 9,.3.x dalla versione precedente rendeva inutilizzabile la funzione " Memorizza vecchie versioni di tutte le pagine" (nella linguetta Proprietà). La versione 9.3.2 risolve il problema, sia per le conversioni eseguite in passato sia per i siti che vengono convertiti alla versione corrente soltanto adesso.
* Le pagine mastro sintetiche ora riportano le vostre informazioni nell'ordine in cui le avete create e non più in ordine alfabetico
* È stata irrobustita la gestione dei privilegi a livello del database, a tutti i livelli -- durante la creazione del sito, durante l'importazione di una sezione e durante la riparazione di una sezione.
L.A.
--
Accomazzi.net Srl
Via Antonio Gramsci, 40
20017 Rho (Mi)
Tel. 02.00615556
Fax 02.700537345
Cell. 349.7680116
VoIP sip:5342716@sip.messagenet.it
Skype misterakko
http://www.accomazzi.net
La nuova release è sostanzialmente un aggiornamento di manutenzione ma porta con sé una nuova funzionalità e diversi miglioramenti.
Le pagine mastro "sintetiche", o "a fil di ferro", ora riportano i campi nell'ordine in cui li avevate creati e non più in ordine alfabetico. Se create una cartella chiamata "saratlo" (Sar-At LayOut) e vi posizionate dentro una copia di una pagina mastro (o più d'una) in cui avete indicato con il tag {SAR-AT-METAMASTER-CONTENT} la posizione in cui va inserito il contenuto principale, allora diventa possibile alla creazione di una nuova sezione scegliere questa pagina come base per la creazione della nuova mastro sintetica. In pratica, la nuova sezione appare del tutto pronta all'uso e pubblicazione, specialmente se si tratta di un modulo.
La schermata "display", che permette di riposizionare i campi dei record, è stata riscritta per garantire compatibilità con dispositivi senza mouse e touchscreen. I campi si possono ora trascinare con un dito in iOS e Android.
La linguetta Modulo nelle sezioni identifica e ripara alcuni possibili problemi nella struttura della sezione.
Tutte le librerie incorporate vengono aggiornate all'ultima versione disponibile. Si tratta di:
JQuery
JQuery UI
PHPExcel
Vi sono poi numerosi bugfix. Vi cito i più significativi.
* I tag speciali di showForm (ONERR, CHECKBOX, SELECTEDIF eccetera) ora funzionano con tutte e tre le possibili modalità di richiamo di showForm, e cioè quando chiedete di inserire un nuovo record al visitatore (showForm.php), quando gli chiedere di aggiornarlo (showForm.php?id=ANY) e quando gli proponete di inserirlo con un valore inizializzato al momento della chiamata (showForm.php?campo=valore)
* Quando viene mandata una mail riepilogativa formattata HTML all'acquirente di un prodotto in commercio elettronico, il medesimo poteva venire sconnesso (log-out) dal sito. Questo codice è stato riscritto.
* Riscritto e modernizzato il codice che gestisce gli invii periodici
* Ora, se esistono due o più amministratori che possono spedire newsletter, l'uno può annullare gli invii dell'altro.
* Il nome della newsletter in spedizione ora può raggiungere una lunghezza superiore
* Quando state editando una pagina (record), la pressione del pulsante ANTEPRIMA libera l'ingresso in scrittura a un altro amministratore vostro collega.
* Risolto un problema di arrodondamenti con i pagamenti di pochi centesimi in PayPal
È immediatamente disponibile per partner e clienti una nuova versione di Sar-At.
Le principali nuove funzionalità di Sar-At 9.3:
È possibile impostare un layout di riferimento per il sito (meta-pagina mastro). Da quel momento, quando create una nuova versione per il vostro sito Sar-At genererà automaticamente una pagina mastro per essa e il contenuto dinamico ne erediterà istantaneamente l'aspetto.
Quando preparate una sezione per accogliere dati anagrafici, è ora possibile definire un campo testuale come "validazione: comuni italiani". Sar-At ora contiene una tabella di comuni italiani aggiornata con gli ultimi dati Istat e costantemente mantenuta da Accomazzi.net Srl. La tabella contiene sia la nomenclatura di lingua italiana che quella di lingua tedesca per i comuni della provincia di Bolzano. All'interno di Sar-At si attiva automaticamente un sistema di autocompletamento, che aiuta i redattori a normalizzare i nomi (Reggio Emilia o Reggio nell'Emilia? Eccetera). L'autocompletamento pò venire implementato anche nel sito visibile ai visitatori e la tabella può venire usata dagli sviluppatori anche per validare province e regioni (documentazione su richiesta).
Abbiamo interamente ridisegnato il sistema di menu di Sar-At, che ora occupa meno spazio a video, è più elegante ed è perfettamente compatibile con tutti i trenta stili disponibili sotto Preferenze. In passato gli stili con il testo chiaro su fondo scuro potevano risultare poco leggibili. Anche la grafica del sistema di editing al vivo è stata interamente rivista per offrire maggiori funzionalità in uno spazio più contenuto.
Quando si crea o edita un amministratore, è possibile assegnargli il privilegio "statistiche". I collaboratori della redazione che sono dotati del privilegio "statistiche" possono accedere nel menu Sito alla schermata dei report e delle statistiche, che in precedenza era riservata al proprietario del sito, e a tutte le sue funzionalità compresa l'esportazione dei report in formato Excel e PDF.
Il sistema di commercio elettronico con Banca Sella è stato interamente riscritto per ammodernarlo e ora utilizza il nuovo sistema di webservices recentemente rilasciato dall'istituto bancario per l'interfacciamento sicuro senza la necessità di caricare periodicamente le password usa-e-getta. (I clienti che usano commercio elettronico Banca Sella devono aggiornare a Sar-At 9.3 o successivo entro il 2011, poiché il vecchio sistema verrà dismesso entro l'anno dall'istituto biellese).
Ai sistemi incorporati di calcolo delle spese di spedizione per commercio elettronico se ne aggiunge uno nuovo, denominato "waiver". Col sistema waiver, al cliente viene addebitato un contributo fisso di spese di spedizione, ma se il valore totale del carrello supera un valore di siglia da voi stabilito la spesa si azzera (e risulta a carico del venditore).
Modifiche e miglioramenti minori ma significativi:
Quando un visitatore registrato del vostro sito invia a un suo amico una URL (un link) diretto a una pagina interna riservata agli iscritti, Sar-At tradizionalmente reagisce chiedendo al browser di mostrare una finestra che richiede username e password (ecco un esempio). La versione 9.3 vi permette di disegnare una pagina HTML ad hoc. L'utente viene invitato a fare log-in su di essa e poi viene automaticamente rimandato alla pagina del sito il cui indirizzo aveva inizialmente cliccato o digitato (ecco un esempio). La nuova pagina speciale per fare login può venire selezionata dal menu Sito, voce Gestione errori.
Sar-At da sempre consente di inserire sino a 65.536 caratteri di testo nei campi di tipo "testo lungo". A partire da questa versione, il tentativo di inserire un testo ancor più lungo viene riconosciuto e il redattore viene avvisato del limite.
Gestione utenti: è ora possibile esportare i membri di un sottogruppo dalla pagina relativa. Quando si prepara una mailing list, in fase di conferma i bersagli vengono mostrati non solo con l'indirizzo e-mail ma anche con il nome e cognome. L'importazione di utenti in massa da file esterno ora genera internamente le password nel nuovo formato ultrasicuro SHA-2 a 512 bit di lunghezza introdotto con la versione precedente.
Da sempre, Sar-At registra authorId l'autore dell'ultima modifica di ogni pagina del sito (a prescindere dal fatto che si tratti di utente registrato, un redattore, il proprietario del sito o il superamministratore). A partire da questa versione, Sar-At registra separatamente l'autore originale della pagina e l'autore dell'ultima modifica, modifierId. Per chi ne mastica: authorId e modifierId si comportano come creation e lastMod.
Da sempre il carrello della spesa di Sar-At è altamente personalizzabile e a ogni riga d'ordine è possibile associare informazioni extra, come la taglia, il colore, la personalizzazione, la nota di riga o l'impacchettamento desiderato. Da Sar-At 9.3 in su tutto questo diventa possibile senza scrivere una sola riga di codice. Vi basta aggiungere i campi (le colonne) extra desiderate e nel modulo (form) HTML in cui il visitatore seleziona il numero di esemplari potrete aggiungere l'interfaccia utente necessaria a compilare anche queste informazioni. Il metodo standard Sar-At, addToCart, si occupa di tutto.
Abbiamo trovato un errore significativo nel sottosistema di commercio elettronico nella versione 9.2 e per questo motivo sto rilasciando una versione 9.2.3. I cambiamenti di sicurezza introdotti nella 9.2 mi hanno costretto a riscrivere un pezzo di codice importante lì dentro.
Chi sta usando la versione 9 ma non ha un commercio elettronico può ignorare la nuova versione.
Tuttavia, sono riuscito a introdurre una nuova funzionalità. In Sar-At 9.2 l'esportazione di report, statistiche e intere sezioni è possibile in formati multipli (tra cui Excel, PDF e HTML) e se il vostro database contiene immagini allora esse vengono esportate. Nelle versioni sino alla 9.1, delle immagini veniva esportato il nome.
Poiché in alcuni casi è utile che venga esportato il nome (per esempio, se volete cambiare tutte le immagini di una sezione può essere comodo esportare tutto, inserire i nomi delle nuove immagini nella colonna appropriata e reimportare tutto), a partire dalla v9.2.3 l'esportazione presenta una nuova opzione che si presenta come vedete in calce.
La nuova opzione "immagini" appare solo se ci sono immagini esportabili nella sezione (cioè uno o più campi di tipo file con validazione "immagine"). Quando vedrete per la prima volta questa schermata, il pulsante radio preselezionato sarà "immagini incorporate (per visualizzarle)" ma Sar-At ricorda l'ultima scelta da voi fatta e la ripropone nelle esportazioni successive.
Esportazione libri
Formato del file
Excel 5.0, 95, 97, 2003, 2004
Excel 2007, 2008, 2010
CSV (comma separated values)
HTML
PDF
Contenuto del file
Rimuovi formattazione HTML (grassetti, corsivi, immagini incorporate...) ed entità SGML
Includi campi incorporati Sar-At (id, keyword...)
Immagini: Incorporate (per visualizzare) Riferite per nome (per editare)
Accomazzi.net rilascia Sar-At 9.2
Sar-At 9.2 migliora ulteriormente la sicurezza. Ora i dati delle connessioni con i visitatori registrati vengono salvato in un formato protetto da crittografia e non intercettabile. La sessione scade automaticamente dopo un'ora. Il sistema sa sempre chi è connesso (compresi i visitatori non registrati), offre questa informazione agli amministratori connessi al sistema e permette, se lo desiderate, di mostrarlo anche sul sito pubblico.
A partire dalla versione 9.0, Sar-At gestisce le connessioni degli amministratori su protocollo sicuro https, dunque protetto con crittografia. La versione 9.2 consente anche l'uso di certificati autofirmati, che non sono garantiti da un'autorità terza ma offrono comunque la protezione crittata.
Interamente riscritta la funzionalità di report e statistiche, con nuova interfaccia utente più amichevole e comprensibile. I report e le statistiche possono venire esportati in PDF, Excel e HTML. Tutte le esportazioni impaginano il foglio in orizzontale e le colonne dimensionate al meglio, per massima comodità di lettura e stampa.
Tutte le librerie utilizzare in Sar-At, come CKEditor, JQuery e PHPExcel, sono state aggiornate all'ultima versione rilasciata dai rispettivi autori.
Novità per gli sviluppatori di siti: (1) le viste navigabili aggiungono lo pseudotag sar-at-qfound (numero di record trovati); (2) l'esportazione sezioni può escludere i campi incorporati.
Novità per gli sviluppatori di plugin e altro codice PHP integrato in Sar-At: ora Sar-At definisce una nuova funzione chiamata sarat_escape_string() che può venire chiamata al posto delle funzioni PHP come mysql_escape_string() o sqlite_escape_string() ed è sempre ottimizzata per il motore di base dati attualmente in uso.
L'aggiornamento dalle versioni 9.x alla 9.2 è banale e non richiede alcuna precauzione particolare. Di conseguenza, da oggi cessiamo il mantenimento delle versioni 9.0 e 9.1. Il mantenimento delle versioni 8.x è completamente cessato con l'eccezione di gravi problemi di sicurezza che possano venire scoperti.
Ogni volta che un utente registrato fa log-in in un sito Sar-At, il sistema registra in una sessione sicura le sue credenziali. Il browser del visitatore registra tre cookie, ovvero tre prove dell'identità del navigatore. Il primo registra la username, il secondo la password in modo protetto da hash e il terzo il numero caratteristico della sessione.
Scrivo questa mail per avvertirvi del fatto che le cose cambieranno a partire dalla imminente versione 9.1.
Primo: cambia l'algoritmo di hash. Passiamo dall'attuale SHA-1 a 128 bit allo SHA-2 a 256 bit, per garantire la sicurezza dei nostri commerci elettronici a fronte di alcune recentissime scoperte matematiche nel campo della crittografia. (Lo SHA-1 oggi si considera a malapena violabile da parte di chi possieda ingentissime risorse informatiche e qualche mese di tempo-macchina a disposizione).
Secondo: i cookie verranno instaurati al secondo livello di dominio. In sostanza, se oggi voi avete un sito chiamato www.nomesito.com, i cookie sono relativi a www.nomesito.com e automaticamente non vengono utilizzati se voi create un secondo sito chiamato newsletter.nomesito.com.
A partire dalla versione 9.1, i cookie verranno creati relativi a nomesito.com e si applicheranno sia al sito www.nomesito.com sia al sito newsletter.nomesito.com. Questo cambiamento ci permette di integrare meglio Sar-At in ambienti misti che usano altri CMS su altri terzi livelli e permette di fare log-in unificato in siti dove il terzo livello indica la localizzazione prescelta (fr.nomesito.com, en.nomesito.com eccetera).
Come sempre noi lavoriamo per non creare malfunzionamenti durante l'aggiornamento, tuttavia volevo fornire anticipazione degli imminenti cambiamenti in modo che i partner che facessero un uso particolare delle log-in possano riflettere con calma e non venire sorpresi dal cambiamento.
L.A.
--
Accomazzi.net di Luca Accomazzi
Via Antonio Gramsci, 40
20017 Rho (Mi)
Tel. 02.00615556
Fax 02.700537345
Cell. 349.7680116
VoIP sip:5342716@sip.messagenet.it
Skype misterakko
http://www.accomazzi.net
P. IVA 04850210966 - CF CCMLST64H08F952C
