Respaldo de CMS Basura Xomol

now browsing by category

 

XOMOL Error de 5 nombres

Aqui no nos referimos a las identidades múltiples de David Guttmann, sino a una simple validación de parámetros.

La siguiente imagen es del sitio XOMOL.NET , si usted selecciona Un idioma (mexican, por ejemplo) y luego solicita otro, eso NO CAMBIA el anterior, sino que añade por segunda vez el parámetro, y si lo hace una tercera, una tercera.

Nuestras pruebas indican que acepta hasta cinco antes de tronarse el browser (IE), que es posible pasar como parametro un idioma no existente, por ejemplo , “hack”, y que se evalua en orden de izquerda a derecha, es decir, en una lista de lang 1, lang 2 y lang 3 pondrá el ultimo. Esto indica que evalua todos los parámetros. Supongo que con el consiguiente problema de variables globales.

Ver en la pantalla que sigue la linea del explorador.

XOMOL – Pruebas de Funcionalidad

ste es el resumen que me envio la documentadora de las pruebas de funcionalidad.

Pruebas de Funcionalidad. mando abajo cinco pantallas con explicación.

================================================================================
1 : Alguien nos aviso que hackeo el sistema y que puso “Xomol Apesta” en nombre de compañia. Encontrar SIN LOGEAR donde aparece “xomol apesta” que es el nombre de la compañia. Links por favor.

No se ve por ningún lado el nombre de la compañía que está en “mi compañía”. En el único lugar en donde encontré los datos de la compañía es en la sección de directorio :

Desarrollo de software:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1211896709

Diseño gráfico:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213820502

Hospedaje web:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804

Redes:

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213828471

Cabe señalar que los datos de las compañías que se ven viene con los datos de ejemplo de otras empresas. Se ven los links de publicidad pero no quienes somos.

Estos links se agrupan en algo que se llama directorio empresarial, que es una tabla que muestra las clasificaciones: Desarrollo de software, diseño gráfico, hospedaje web, redes.

Es curioso que estas categorías son las que muestran los datos de la empresa que se supone es la que esta usuando el xomol para administrador de contenidos, pero dado el caso, tal parece que sólo es un dato del sitio dedicado exclusivamente a xomol.
================================================================================
2 : Cambio desde el sistema de Nombre de compañia (supongamos alguien hackeo y puso XOMOL Apesta y ya entramos a cambiarlo)

1. La actualización de datos se realiza en la opción Mi cuenta/Editar pero cuesta trabajo encontrarlo entre los menúes.

http://tudominio.com/xomol/index.php?op=my_account_pls

2. La información que se cambia aquí sólo se ve, seas usuario o anónimo, desde en lo que es el directorio empresarial, mencionado en el punto 1 de este tema. Por lo que veo, entonces, los usuarios, sólo pueden modificar datos de su cuenta y organización, tal como si fueran gente externa que usa los servicios del sitio xomol, y como beneficios su información se agrega al directorio empresarial.

3. No veo funcionalidad para administrar el sitio como si sustituyeras al propietario que es xomol.

4. Los mismos datos se repiten en cada una de las categorías del directorio, lo que hace innecesario usar categorías. Marca error al tratar de agregar una categoría nueva, y eso como root.

5. En donde pude finalmente cambiar los datos de la empresa es:

http://tudominio.com/xomol/index.php?op=admin&op2=admin_company_info_update

6. El nombre de la empresa SOLAMENTE me lo muestra en el título de la ventana.

7. Al editar los datos de la empresa, en el campo SWIFT, recorrió la caja de texto y el dato capturado lo puso un un espacio de la tabla, al grabar me dejó el dato blanco.

8. como conclusión, a menos que se editen los banners y el tema, el sistema sólo presenta el nombre de la organización o empresa en el título de la ventana del navegador.
================================================================================
3 : Pasos para editar un articulo existente (jeans de 55)

1. Al momento de entrar a la tienda, me deja entrar aunque no tenga artículos.

2. Finalmente el módulo en donde se puede dar mantenimiento es en Administrar módulos, tienda virtual:
http://tudominio.com/xomol/index.php?op=admin&focus=store

3. como no había datos, traté de generar una nueva categoría de productos, para empezar de ahí, en la opción categorías y productos:
http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_cat_view

4. Seleccioné el link “categoría nueva” de los links ubicados en la barra derecha del módulo “Categories and Products” (que viene en inglés a pesar de que el idioma default es “mexicano”.

5. La pantalla de captura tiene la misma distribución que la de categorías del módulo de contenido. Razón por la cual el proceso de captura es el mismo.

6. Seleccioné la opción de “adeherir productos” de la barra de links ubicada en la barra superior derecha de la pantalla. Debiera ser “insertar” “añadir” o alta, pero adeherir no es intuitivo y se descubre por ensayo y error.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_art_add&cat_parent_id=1237760620

7. Se capturan los datos que pide en pantalla:

Categoria
Status
Produccion
Modelo
Precios
Tipo de impuesto
Peso
Tipo de paquete
Default
cant. disponibles
cant. pedido(en camino)
Fecha de disponibilidad

Nota: en ninguno de los campos mencionados, asocia el tipo de divisa que se aplicará al precio. El sistema no es multidivisas.

Nota: Solo si se registran datos para los tres idiomas, aparece una bandera para cada idioma del registro

8. Parece que por default sólo un actículo puede estar activo en la tabla de productos, que estan agrupados por categoría.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_cat_view&focus=1237760620&cat_parent_id=0

9. En la tabla dando un click sobre el icono de lápiz, se puede editar la información de las categorías y los productos.

10. también desde el catálogo se muestra un icono del lapiz, en donde se puede actualizar la información, en mi caso, no me permitió cambiar en la lista de valores la categoría del producto, y eso que era root.

http://tudominio.com/xomol/index.php?op=store&op2=view_details&product=1237764191&cat_parent_id=0

11. En conclusión, los artículos se pueden modificar desde “categorías y productos” o seleccionando el artículo en el catálogo, sin embargo, no deja modificar los siguientes datos: Produccion, Modelo, Precios, Tipo de impuesto, Peso Kilogramos, Tipo de paquete, cant. disponibles, cant. pedido(en camino), Fecha de disponibilidad.

12. Debido a que no deja modificar datos importantes, la opción para poder solucionarlo es borrarlo y crear nuevamente el registro, y perdiendo el historial.

================================================================================
4 : Pasos para Restringir el alta de usuarios nuevos.

1. En el módulo de administración principal, revisé las siguientes opciones:

usuarios

Grupos de usuario (que se presenta duplicada)
http://tudominio.com/xomol/index.php?op=admin&op2=admin_users_view

Derechos de usuario
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights

Nota: El usuario root no tiene derechos para adherir derechos de usuario. Lo que es redundante por que este es un super usuario que debería contar con el permiso para hacerlo tendría que existir un usuario de mayor rango para otorgarle el permiso. -ja

Derechos de usuario/grupo
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights2groups

Nota: presenta una tabla que con una bandera permite otorgar (verde) o quitar (rojo) un permiso. Con el inconveniente que las descripciones de las tablas o procesos, no dicen mucho en sus descripciones, haciendo difícil saber para que sirven, son crípticas y muy diferentes a postnuke, drupal o nuestros propios CMS para clientes. Se necesita ser medium o probar de ensayo y error.

2. No se observa una opción que permitiera desactivar el registro de nuevos usuarios.

Esto significa que cualquier persona puede darse de alta, y no se ve registro de direcciones IP ni nada ligado a seguridad.

3. En conclusión el sistema no cuenta con una opción para desactivar el registro de nuevos usuarios, y si hay alguien masoquista va a poder darse de alta.

No hice pruebas de validación de emails duplicados, por las notas de integridad del anexo de seguridad.

4.1. Creación de un nuevo usuario:
——————————————————

Aquí agrego otra prueba relacionada con el tema de usuarios.

1. Di de alta un nuevo usuario, el cual fué registrado sin validar la dirección de e-mail, que en este caso es falsa. Dejando registrar el usuario normalmente.

2. Al iniciar mi sesión con el nuevo usuario, noto que el sistema nunca me dice el nombre del usuario que esta loggeado en ese momento.

3. El usuario recién creado, no tiene permisos para crear en el sistema, razón por la cual le voy a otorgar permisos, para hacer una prueba de vulnerabilidad.

4. Como administrador, uso la opción usuarios, del módulo Admin usersonline:

http://tudominio.com/xomol/index.php?op=usersonline&op2=admin&op3=xomol_users_view

5. En la tabla que parece ser de usuarios, no se muestran los datos del usuario que acabo de registrar, sin embargo, con sus datos se puede iniciar una sesión de xomol. Parece que lo que me muestra son los departamentos de la empresa y no los usuarios. Es bastante confuso.

6. Fué desde el módulo de administración principal, en donde se encuentra otra opción llamada usuarios:
http://tudominio.com/xomol/index.php?op=admin

7. Edite los datos del usuario desde la opción:
http://tudominio.com/xomol/index.php?op=admin&op2=admin_users_view

8. Ahí, sólo verifico que tenga asignado el grupo “registered”

9. En la opción de derechos de usuario a grupo, le otorgo al grupo “registered”, el permiso para crear noticias.
http://tudominio.com/xomol/index.php?op=admin&op2=user_rights2groups

10. Debido a que no es muy fácil identificar los rubros para otorgarle el permiso para crear contenido o noticias, por deducción otorgo los siguientes rubros:
A_CSS_CATEGORY_ADD
A_CSS_CATEGORY_EDIT
A_CSS_ELEMENT_ADD
A_CSS_ELEMENT_EDIT

11. Al tratar de probar con el usuario, estas tablas, no eran las que daban el acceso para crear noticias =( sino modificar renglones de estilos. Con los nombres que se manejan, no es posible identificar la función a la cual se le otorga permiso al usuario.

Nota: Cabe destacar que esta instalación, se hizo empleando el instalador de xomol.(instalación gamma o 3)

12. Ya que no fué posible darle permisos a un Usuario tipo “registered”, La prueba se completó con el usuario root, se pudo subir un falso jpg al directorio de banners del dominio.

a – No validó el tipo de octet
b – Parece que puede subirse tanto desde categoría como desde el editor Java.
c – No hice pruebas de archivos por tamaño (mi imagen era de 46 bytes pero no creo que valide el límite de 2 mb)

================================================================================
5 : Pasos para añadir a DIRECTORIO HOSPEDAJE WEB, un link a google que sea visible por usuarios no loggeados.

1. En la lista de valores, tipo pop up, que se encuentra en la esquina superior derecha (abajo de link de administración principal), seleccionar la opción “Directorio empresarial”

http://tudominio.com/xomol/index.php?op=directory&op2=admin

2. Seleccionar el botón editar de la categoría “hospedaje web”.

3. Capturar el nombre de la link que se desee capturar, en el cuadro de texto del idioma cuya información será actualizada.

4. Seleccionar en la barra de herramientas de cuadro de texto, la herramienta Link (que se presenta como un mundo con un eslavón de una cadena). Al realizar esta opción, el sistema muestra en pantalla una ventana que se llama Vínculo.

5. Capturar en el campo URL la dirección que se desee insertar en el directorio empresarial.

6. Dar un click en el botón Ok, para que el sistema inserte el link en el cuadro de texto.

Nota: En esta ventana de vínculos, permite ver el servidor y subir archivos al mismo, y permitió: 1) subir un falso JPG, 2)que dejó en la raíz del servidor, y 3)el acceso a ese archivo se agregó como link de sitio. El sistema no hace validaciones y no restringue las funciones de la barra de herramientas de edición, de funciones que no viene al caso manejar en este tipo de contenidos, como es el caso de controles para formularios (Campos de texto, radio botónes, botones), por lo menos drupal no lo hace y el editor no es estandard. Si no se documenta no le veo uso, excepto que el programador presuma de una utilería que vuelve pesada la edición y quien sabe si funcione o no bajo una prueba de cross browsing incluyendo no java.

Link al directorio con el falso jpg

http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804&langx=english&skipupdate=1

Link que abre el falso jpg
http://tudominio.com/xomol/modules/directory/file/holamundo(1).jpg

7. Dar un click en el botón “click para actualizar”

8. En pantalla se muestra los links insertados, siendo un usuario anónimo:
http://tudominio.com/xomol/index.php?op=directory&op2=browse&cat=1213817804

================================================================================
6 : Debido a la demanda vamos a vender un producto coca cola de lata, que podemos comprar en el super o en la comer. Dar de alta en el mismo articulo que ve el cliente los dos proveedores. No es opcion dar de alta un articulo para cada proveedor.

1. El sistema sólo permite asignar un proveedor por producto, en este caso en el sistema se llama a este dato “Producción” y es una lista de valores tipo combo, que sólo permite asignar un valor.

http://tudominio.com/xomol/index.php?op=store&op2=admin&op3=admin_art_edit&product=1237764191&cat_parent_id=0

2. No hay opción de asignar más de un proveedor por artículo. A menos que se creara un artículo por cada proveedor. Cosa que se hace poco funcional.

3. Tampoco se puede especificar si algo es servicio o producto, por lo que para terminos del sistema, sólo existen los productos. =P

================================================================================
7 : Pasos para Publicar un nuevo articulo COMO ADMIN.

1. En la lista de valores, tipo pop up, que se encuentra en la esquina superior derecha (abajo de link de administración principal), seleccionar la opción “Contenido”, para que el sistema muestre la pantalla de categorías.
http://tudominio.com/xomol/index.php?op=content&op2=admin

2. Dar un click en la opción “Adehrir articulo” para que el sistema muestre la ventana de captura correspondiente.

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_art_add&cat_parent_id=&cat=

3. Capturar los siguientes datos:
Categorias
status
Permitir comentarios
Grupo
Escoge un autor
Titulo (mexican)
Descripcion mini (mexican)
Descripcion extensa (mexican)
Titulo (english)
Descripcion mini (english)
Descripcion extensa (english)
Titulo (german)
Descripcion mini (german)
Descripcion extensa (german)
Editar metatags

Nota: En relación al autor, un artículo puede asociarse cualquier usuario del sistema (clasificado como autor), razón por la cual cualquier usuario PUEDE SER SUPLANTADO y no hay seguridad en cuanto a poder identificar quien crea el artículo.

4. Dar un click en el botón “Click para adeherir” Al realizar esta acción, el sistema almacena los datos en la base, y regresa a la tabla de categorías, en donde muestra el artículo registrado.

Nota: Los metatags, si no se registran, el sistema llena todos los espacios con metatags de xomol al volver a editar, bajo Firefox y IE de Windows Vista (la lap que usamos para pruebas de .net) por lo menos.

5. Dar un click en el círculo que se presenta en rojo en la primera columna de izquierda a derecha: “publicación.ok” , para autorizar y que la información se pueda ver en el sitio.

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_art_insert

Nota: La tercera columna de la tabla de categorías, en la sección de artículos, indica si se permite publicar comentarios.

6. Sólo hasta que se ha asingado el estatus de “publicación.ok” el artículo lo pueden ver cualquier usuario del sitio.

http://tudominio.com/xomol/index.php?op=content&op2=view_details&art=1237773747&cat=1214498934

Conclusión : El alta de nuevos contenidos en el CMS es tardada, con muchos datos que es poco probable que se sepan o utilicen, y que lo utilizable no se puede editar.

Segun yo google indexa mas ya por contenido que por metatags, y no me quiero imaginar cuantos pasos son para publicar como usuario de a pie. ESTE ES EL ADMIN, y no puede hacerse un alta rápida.

================================================================================
8 : Salir del sistema y encontrar fecha y hora en que se publico el articulo.

1. Si no se ha configurado, la fecha y hora de la publicación de un artículo no lo puede ver ningún usuario.

2. En la opción configurar, del módulo de “Admin.content”

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_config_view

3. Editar (dando click en el icono del lápiz) para que diga SI, en los siguientes parámetros:
Article Details
Show Autor SHOW_AUTHOR SI
Show Date SHOW_DATE SI

http://tudominio.com/xomol/index.php?op=content&op2=admin&op3=admin_config_edit&configure=11

4. Sólo al activar esos parámetros, el sistema muestra los datos del autor y la fecha:

http://tudominio.com/xomol/index.php?op=content&op2=view_details&art=1237773747&cat=1214498934

9 : Pasos para cambiar como admin el theme usado por default.

1. El skin sólo puede cambiarse a nivel de usuario, y verá sólo su sesión con un skin diferente, no así el resto de los usuarios.

2. El usuario root puede cambiar los “templetes”, pieza por pieza, adivinado de que se trata, y si quiere cambiar el logo, debe usar fireworks o alguna aplicación para editar imagen, que la mayoría de los usuarios no conocen, y rompiendo el tema por lo general.

3. En resumen, es absurdamente complicado, quitar el nombre de xomol y más difícil todavía… que el sitio se vea diferente a otro que use xomol.

4. De los 3 skins que hay cuesta trabajo encontrarlos, dos son iguales y como usuario normal en ocasiones al cambiar, se obtiene un error de ftp o fetch array.

================================================================================
10 : Pasos para deshabilitar los banners para que no los vea el usuario no loggeado.

1. En la opción Administración principal/templetes, deshabilité todos los renglones de la tabla que tenían en su descripción la palabra banner.

http://tudominio.com/xomol/index.php?op=admin&op2=themes_block_active&switch=0&block=225

2. La preuba no resultó, porque aquí no se desactivan los banners.

3. Desactivar el módulo de banner en administración principal/instalación de módulos:
http://tudominio.com/xomol/index.php?op=admin&op2=admin_modules_view

4. El sistema pasa el reglón al final de la tabla, con el estatus de inactivo.

5. Al realizar esta acción y cerrar la sesión, el sistema sólo muestra la imagen del encabezado, sin otro dato. Y ya no es posible accesar a dato alguno del sitio.

6. Como conclusión, el módulo de banners es parte del core, y es imposible que funcione sin publicidad. Por lo que no es un CMS, sino un mostrador de anuncios, porque tampoco se explica como hacer un tema o skin que no use banners.

Xomol es un sistema mal hecho, enfocado a la publicidad, y no puede usarse para cosas sin fines de lucro o académicas, y si alguien quiere banners mejor que use PostNuke (tiene un flujo parecido de lento pero por lo menos funciona)

================================================================================

11 : Impresiones generales de lo que esperabas, contra lo que encontraste.

1. Me encontré con un sistema poco amigable que no es una versión robusta y depurada, que por el contrario, es evidente que no ha sido probado.
2. Es también evidente que no es funcional o intuitivo, porque muchas de las cosas que logré hacer, fué con el método de prueba y error y eso porque conozco PostNuke.

En funcionalidad imita Postnuke, pero es mucho peor , y no le llega a los talones a Postnuke, y mucho menos a Drupal o Joomla.

3. También veo que es un sistema inflexible, que muestra claramente la “forma de pensar”(siendo decente) de su creador, porque el usuario lejos de encontrar un ambiente en donde pueda satisfacer sus necesidades, tiene que adecuar sus necesidades a la estructura rígida de este sistema.

4. Es de cuestionarse que el sistema venga precargado con una serie de datos, que a la larga se convierten en basura para un usuario que pretente instalar este sistema en su propio domino. Lo que hace difícil poder limpiarlo para poder registrar información propia. Ni siquiera cuenta con algun proceso batch para limpiar la base de datos.
5. Aun editando las imágenes, el sistema no hace los cambios en el sitio. No revisé caches pero debe ser algo similar a que actualiza el skin cuando uno se sale.
6. Cuenta con fallas graves de seguridad, como no validar los archivos que se suben al servidor con procesos de upload.
7. Sus barra de herramientas para editar contenidos, no están depuradas, ya que presenta muchas funciones como para construcción y que un usuario no debería tener acceso a ellas, es más nisiquiera debería de verlas, ya que causa confusión y permite agregar basura a las páginas.

Si el usuario quisiera hacer un formulario, lo haría a mano y no con esos botones.

8. En resumen pienso que esta aplicación no es una versión que puede anunciarse como un CMS terminado. Es un proyecto a medias, que no cumple con los estándares mínimos de calidad.

Al 23 de marzo, no hay pruebas de aceptación de XOMOL

Aunque las identidades múltiples de David Guttmann dicen que Xomol es usado en cientos de sitios en internet, buscando en google desde el 17 de febrero 2009 solo se han encontrado cinco sitios comprados por el mismo, y no precisamente bien hechos ni funcionales. Tampoco populares segun ranking de Alexa.

Estos son los criterios que consideramos necesarios para poder HABLAR de una aceptación de XOMOL, evidentemente no se cumple ninguno.
===================================================
1 : Presentar comentarios a favor hechos en foros publicos por usuarios o programadores, en foros de mas de 20 mil mensajes, y escritos por usuarios con mas de 400 mensajes, y con fecha de diciembre 2008 o anterior.

2 : Mostrar dominios hechos con XOMOL que sean propiedad de las identidades multiples de Guttmann, como Rafavaldo Raggatl, y otros, ya que dicen usarlo sin problemas.

3 : Mostrar dominios hechos con XOMOL, que estén entre el primer millón de popularidad del aplicativo Alexa

4 : Mostrar una comunidad de usuarios alrededor de Xomol o de desarolladores de modulos descargables. Esto es porque varias identidades de David Guttmann dicen haber estado buscando módulos de Xomol.

===================================================
23 de marzo 2009 nada.

Tres Escenarios Simples en los que no funciona XOMOL

PRIMERO: SITIO DE DENUNCIA

Una persona como nosotros, desea hacer ràpidamente un sitio sobre un software malísimo llamado XOMOL. Necesita poder crear menús, insertar imagenes en el tema de contenido, bloquear direcciones IP y registro de nuevos usuarios.

El software debe permitir publicar 20 páginas por hora sobre un escrito en word.
——————————————–
Aparentemente es posible crear un menú limitado dentro de categorías, pero no un menú como aquí que se integre a Template.

Se siguieron los 6 pasos para insertar un tema, escrito en word , pero el editor Java resulta pesadísimo si se tratan de insertar cinco o seis imágenes.

No permite consulta y menos bloqueo de Ips. No puede bloquearse alta de nuevos usuarios desde el software, y el hecho que la introducción sea tan tardada, hace completamente inútil para este propósito el software.

NO CUMPLE LOS REQUISITOS.
======================================
SEGUNDO ESCENARIO: TIENDA DE CAFE
Se espera que alguien use el sistema XOMOL, en su función de CMS para hacer un sitio, y tomaremos como tema la evaluación de Marcas de Café. Se necesita una tienda virtual para vender via paypal cuatro productos y un servicio disponibles por paypal. Los cuatro productos dos son en USD etiqueta roja, y dos son en Pesos, etiqueta azul. El servicio que damos es molido de café, y como vendemos mucho café “El Azul” necesitamos poner de dos proveedores.

El primer problema que tenemos es que el webmaster del sitio de prueba se fué sin terminar el trabajo, y tenemos que salir del paso rápido, y conseguir a otro profesional del software XOMOL, con experiencia comprobable.

Se supone que el usuario está usando una instalación ya real, y que tiene conocimiento de OSCOMMERCE y Cpanel como panel de control, asi como de Paypal.

================================================
Fallas :
1 – Todo lo que maneja son productos, no da la opcion a servicios.
2 – No permite estipular divisias ni en que es el precio.
3 – Solo puede haber un proveedor.
4 – Por default usa account y no paypal. Encontrar paypal no se ve facíl, y no se interfase segura con tarjetas. a los usuarios les daría miedo.
5 – Encontramos a un tal David Guttmann, yesno y Rafavaldo, pero nadie puede dar ejemplos de experiencia comprobable en Xomol excepto cinco sitios que son los del servidor de Guttmann. Empezamos a sentir que nadie conoce esta porquería.
================================================

Segundo Problema: En lo que conseguimos a esta persona, tenemos diez pendientes urgentes que no pueden esperar.

(ver http://xomolsucks.com/es/node/20 pero no los cumple )
================================================
Tercer problema: No se consigue a nadie con experiencia comprobable en XOMOL, pero si a un webmaster con experiencia en PHP, asi que pedimos que nos haga una
instalación en limpio por si fue error de nosotros.

Resultado : Al hacer la instalación sigue igual o peor porque tiene que sacar respaldo de la base de datos y no cambia nada a menos que lo ponga en ceros.

Contrato al programador para que me haga algo mas sencillo pero que funcione.

NO CUMPLE LOS REQUISITOS

======================================
======================================
TERCER ESCENARIO :
SEGUNDO: Transferencia de sitio antiguo.

El usuario Pedro Pèrez, necesita transferir un sitio hecho en html, con tablas, css externos y que no se vea el login para que no sepan como hackear. Debe permitir cambiar el tema gráfico por defecto para usuarios no registrados en menos de 2 minutos.

Nota: Se ponen espacios en blanco para que se vea el html en esta página:

< LINK REL=StyleSheet HREF="http://www.tudominio.org/tabla.css" TYPE="text/css" TITLE="Estilo Preview" >

< table class="MasterTable" >
< tr >< td class="menuArea" >1a< /td >< td >1b< /td >< /tr >
< tr >< td >2a< /td >< td >2b< /td >< /tr >
< /table >
< iframe src='http://www.google.com' >

Se ponen varias pantallas de ejemplo que corresponden a este escenario.

Conclusión :
Cualquier usuario puede meter HTML y es muy vulnerable a Iframes , object y posible código Java. No puede desactivarse.

Pero lo que encabrona a Pedro Pérez, que usando chrome no ve el famoso menú Java (y tampoco en firefox), es lo que hace Xomol con sus metatags :

O sea que si pedro quiere corregir unaletra tiene que quitar la publicidad cada vez.
Desenlace probable: Que Pedro mande el programa a la basura, y además Xomol no puede :

a ) ocultar el login
b ) permitir cambiar el tema gráfico por defecto para usuarios no registrados en menos de 2 minutos.

Corolario Uno:

Una empresa como nosotros sabe hacer intrusiones. lo primero que se nota es mal manejo de cachés (largo de explicar) y vulnerable a Java bajo Firefox.

Ya corrimos Codigo java arbitrario:

Esta direccion de correo que se ve es un script java obfuscated.

Es decir, este codigo muestra nuestra dirección de email, pero el hecho que no deje un alert, no significa que sea seguro. Hay mas vectores de ataque aquí, con PHP y RoR pero esta es la prueba simple de concepto.

Algunas preguntas técnicas

egun comenta la persona llamada Raggatl en Sustained reaction (http://sustainedreaction.yuku.com/topic/4979/), es uno de los CUATRO programadores PRINCIPALES de xomol.

Esto suena poco Probable, debido a que Es poco probable encontrar un programador tan malo como David Guttmann, pero cuatro personas que comentan los mismos errores idiotas y que no tengan idea de seguridad (como demostrè antes), es casi imposible. Por otra parte llamarse a si mismos “programadores principales” indica que hay secundarios, asi que todos, los programadores “principales” y “secundarios” probablemente no existen y son identidades de Guttmann. Tanto Raggatl como Rafavaldo aceptan uso de drogas, y Guttmann tambièn por su enfermedad (mal de Yacaré).

Por lo mismo, creemos que Xomol es un sistema escrito por un drogadicto que no tiene idea de programación.

Recordemos que hay un medicamento para PSICOSIS llamado XOMOLIX.

En el mismo tema he hecho estas preguntas , son las primeras 75 de 300.

Todas las preguntas Son relativas a 1.5.2.2 y se espera respuesta en ese contextoo, no se vale contestar la version x ya lo corrige. –

Preguntas para raggatl, ya que dice ser programador . Llevan las originales mas las nuevas al final. Aviso que son las 20 primeras y son mas de 250, pondré unas 20 diarias.

Si hay algun comentario sobre las pruebas de aceptacion(inexistentes) de xomol, estan en este link :
http://www.xomolsucks.com/es/node/29

Nuevas preguntas : 24 marzo 09

1 – Porque deja meter cantidades negativas en precio en las tiendas virtuales?
2 – Porque deja meter “No se” como precio?
3 – Porqué necesita cada usuario tener activo el ftp y al mismo tiempo usa tres logos ?
4 – Porque no puede cambiarse por default el tema para usuarios no logeados en un solopaso?
5 – Porque deja usar correos inexistentes al dar de alta?
6 – Porque son siete pasos para dar de alta un artículo nuevo ?
7 – Porque usa mexican como lenguaje ?
8 – Porque necesitan MAS usuarios de prueba, si supuestamente tienen cientos de usuarios y son programadores profesionales “ustedes”?
9 – Porque usan la imagen del hijo de santo con fines promocionales? ¿Tienen permiso?
10 – Porque al desactivar modulo banners se cae el programa? ¿Ligado al core ?
11 – Porque la recursividad de categorías que con una prueba circular tumba el sistema ?
12 – Porque necesitan dos semanas para corregir un vector simple de ataque java? 13 -¿Es su prioridad proteger a los 100s de usuarios de Xomol?
14 – Porque si son varios programadores experimentados, no dan sanitize ?
15 – Porque si son programadores experimentados, no ponen requisitos de version? 16 – ¿Y porque no hay instrucciones detalladas para migrar de unaversión anterior?
17 – Porque el sistema no lleva control de ips de usuario de manera publica al root?
18 – Porque usan metatags obligatorios ?
19 – Porque creen que es eficiente guardar metatags como tipo text en la base de datos ?
20 – porque si se edita un articulo que no tenia matetags, te ponen xomol ?

Preguntas del 25-mar-09
21 – Porque usa funciones mail en lugar de soporte POP ?
22 – Porque usan pixel.gif en lugar de css para posicionamiento ?
23 – Favor de explicar como cambiar su template que usa pixel.gif Usando el modulo styles. Si no es posible, explicar cual es para ustedes el termino template/templete/skin y porqué no funciona si no haybase de datos (parece que estan mezclando lascapas de programación directa)
24 – ¿Cual es el sitio mas grande que ustedes conocen que use XOMOL?
25 – Porque no deja mover el layout ? (menú solo del lado izquierdo)
26 – Porque le aparecen las opciones de administrador incluso a un usuario de a pie?
27 – Porque no han corregido la ortografia ?
28 – Porque dicen ser multidivisas si no lo es ?
29 – Cual es el caso mas exitoso de su tienda virtual ?
30 – Porque usan diferentes largos en el campo creation ?
31 – Cual es la razón de que su download sea casi 5 veces mas grande que joomla ?
32 – Porque los sitios de seguridad siguen manejandolos como que no han resuelto las vulnerabilidades anteriores ?
33 – Porque no hay una lista todo publica ?
34 – Porque si son “4 programadores principales” todo el credito internamente se lo dan a David Guttmann ?
35 – Porque no esta documentado el código ?
36 – Porque no hacen pruebas en cpanel ?
37 – Porque el editor mide mas que todo Joomla ?
38 – Porque usan un editor que solo funciona en Internet Explorer ?
39 – Que niveles de de W3C y CSS son soportados actualmente por XOMOL ? (1.5.2.2)
40 – Que version de Mysql es la minima necesaria para correr Xomol 1.5.2.2?
26-mar-09
41 – Porque no se permiten editar de productos en store los datos basicos ?
42 – Porque usan como ejemplo pizzas matrca nahual ?
43 – Porque al registrar una nueva cuenta el sistema no valida si la direccion email es posible ?*.test lo perimite
44 – Porque permite cambiar la contraseña sin poner la actual ?
45 – Porque al desactivar el modulo de banners, el sistema se crashea ?
46 – Porque permite contraseñas de un caracter ?
47 – Porque al instalar por instalador desobecece la instruccion de no poner ejemplos
48 – Porque el modulo de banners no permite poner banners a partir de una hora especifica ?
49 – como evitarian ustedes la suplantacion de identidad con el cambio de autores en articulo?
50 – Porque no permiten control de tipos decambio en las divisas ?
51 – Porque porque sus archivos de ejemplo miden mas que todo DRUPAL ?
52 – Porque hay banderas en el directorio lenguajes, a nivel raiz ?
53 – Porque no aparece en nuingun lado el nombre de lacompañia y solo en title bar ?
54 – Porque desaparecen links en panel de control de administracion al ponerse encima ? (hover = background)
55 – Porque las pantallas de idiomas son iguales en un 90% a las de oscommerce ?
56 – Porque su base de datos no esta normalizada ?
57 – Porque no dan nombres normales a permisos de usuarios ?
58 – Porque no existen pruebas de que nadie haya usado versiones 1.5.2.2 o ANTERIORES ?
59 – Porque hablan de modulos de xomol, que ustedes y sus identidades estaban buscando, cuando no se encuentran modulos de descarga xomol en ninguna parte ?
60 – Porque en el directorio empresarial no deja editar las empresas cuando quiere edita un dato de ejemplo ?

61 Por favor Comente proyectos open source en que el hayan participado y donde podamos contactarlos para comprobar que son personas reales
62 Que nivel de CMMI estan cumpliendo en este momento ? (pregunta capciosa)
63 Cual es su nivel objetivo de CMMI para este proyecto ?
64 Cual es su usuario objetivo y que plataforma del usuario?
65 Favor de mencionar el mayor caso de exito de XOMOL en plataforma Windows
66 Explicar brevemente la metodologia de pruebas
67 Cual es la metodología que utilizan para casos de uso en XOMOL?
68 Porque no consideran prioritario una herramienta que monitoree el estado del cambio de estado en el ciclo de publicacion de un articulo
69 Cual es la razon que XOMOL destine mas espacio a los php de states y similares, en lugar de poner los datos en la base de datos?
70 Cual es el requerimiento de memoria RAM para que corra en sistemas SLM ?
71 porque tiene problema de escalacion de directorios en hsphere, direct admin y cpanel ?
72 Cual es su metodología de pruebas en los diferentes paneles de control ?
73 Como llevan control del punto a20 ?
74 Porque no manejan de manera publica Repositorio de errores ?
75 Explicar la metodología de elección de prioridades en la resolución de bugs.

Instalación de Paquete (no documentada en sitio xomol,net)

Estoy consciente que desde fines del 2009 el sitio origen, xomol.net está fuera del aire. Respaldo aqui material que pusimos en otro lugar sobre xomol.

Graficas al final.

Las siguientes pantallas se obtienen cuando se instala el paquete en CPANEL siguiendo los datos de instalar el script desde SSH o desde el PHPmyadmin, que es lo mas comun porque no todos los usuarios de Cpanel son admin del server.

Estos pasos, repetimos, se obtienen cuando usted sigue las instrucciones. Solo que necesita saber programar para instalar el software. Es decir, esta es la INSTALACION DE CAJA, leyendo el manual del software.

Una vez que se suben todos los archivos, se obtiene :

Puro Bla bla bla. Cabe destacar que hay algo estúpido aquí. Al darle click a los botones de idioma (que uno supone le van a traducir bla bla bla a alemán o inglés) empieza un Instalador online que pregunta cosas diferentes, y que contradice la documentación del paquete.

A nuestro webmaster no se le ocurrió sino hasta despuès por accidente apretar uno de esos botones, y después de instalarlo unas 20 veces en diversos servers. En resumen, no es intuitivo y parece una burla.

Esta pantalla aparece cuando ya existen los archivos, pero no todavía la base de datos.

Si usted entra en http://sudominio.com/XOMOLL/ antes de instalar el script de la base de datos, no le dirá que no hay tablas y si existe la base de datos, sino dará todos estos errores. Por otra parte, leer por fetch array reduce legibilidad. Lo extraño del caso es que el SQL Layer no lo hizo Guttmann sino que lo copió de otro lado, y que esta pensado para otros motores de bases de datos, aunque XOMOL solo soporta Mysql , lo que indica que probablemente no tiene idea de como usar la librería.

Una vez que termina la instalación, falla la imagen, le dice que hay mas que cambiar a mano y que hay que borrar el directorio install. No encontramos por ningun lado lo de innovaciones tecnologiacas ni el modo multidivisas.
(Al tratar de dar de alta al mismo tiempo un artículo en pesos y otro en dolares, no resultó intuitivo.

Al dar de alta, pregunta precio y no divisa. Asi que, no es multidivisas.)

n este momento probablemente usted piensa que puede entrar con el correo y el OpenSource que dice en el archivo .txt del paquete. Lamento decirle que no, porque el MD5 es otro.
Si usted quiere hacer esas instalacion debe crear un código con md5(“Nuevacadena”) en php, y cambiarlo a mano.

Bueno, por fin puede entrar. Llama la atención que JA no es un estado válido, que 49300 es Sayula Centro y no “Sayula” a secas, que hay banners por usuario aparentemente, y que el correo no se ve válido.
Además si usted siguió las instrucciones lo que obtiene NO es un sistema listo para usarse, si sigue las indicaciones tiene que limpiar toda la basura a mano y lo mejor para la paz de su alma es borrar el sistema de una vez.

Si usted entra a Mis banners obtiene este error.

La imagen seis muestra una publicidad del hijo del santo (ya lo reportamos al dueño de la marca), cosas “imprecionantes” e imposibilidades físicas: “I am at my Zurich office in Mexio”, asi que aunque digan “los profesionales del internet” no es muy creíble.

Si quieres ver opciones del sistema, encontraras muchos errores como estos de la imagen 7

La primera accion del usuario de prueba uno, fue tratar de quitar los banners para no verlos.
El sistema se tuvo que reinstalar.

Se agregan imagenes 5 a 7 que por algyun razon no se ven correctamente.

Links de autopromoción y vulnerabilidades XOMOL

Descubridor del Exploit original:

http://www.milw0rm.com/exploits/5673 original:
submit[at]milw0rm.com

Fallas de seguridad reportadas previamente al 22 de marzo
http://www.securityfocus.com/bid/29359
http://www.securityfocus.com/bid/29358
http://secunia.com/advisories/product/18791/ contact us
http://secunia.com/advisories/31015/
http://secunia.com/advisories/30374/
http://xforce.iss.net/xforce/xfdb/42631

http://www.vupen.com/english/advisories/2008/1644
contact form

Autopromociones

El usuario “Juan Camaney” se queda con la boca abierta.

http://www.programacion.com/foros/php/presentando_a_xomol_cms_alternativ…

http://px.sklar.com/user.html/id=4166 Ejemplo de autopromoción

“The most advanced CMS is Xomol. It’s modular and independent architecture gives you the ideal conditions for your success on the Web. Xomol is strong, fast, secure, and simple. Entery level programer/webmasters can start publishing and earning money in less than 5 minutes. Advanced programers will find in Xomol the ideal developer plataform. Universal, Independent, Open Source. Get Xomol now and walk the internet like a professional, a real professional!!! Xomol is easy to install and easier to use. It has an universal core engine that let’s you control Users, User Groups and User Rights. With a simple mouse click. At the present stage of the project (we are begining) Xomol offers you… Por el momento tiene todo lo que necesitas para empezar a ganar dinero. * Administration Panel for each and everyone of the Modules * It is 100% multilinugal. (currently supports Mexican, English and German) further languages are comming soon! * Content Module: To setup your Website in seconds, with the simplicity of an Email, with the power of a NYTimes. * Virtual Shop Module (All you need to start you into ecommerce) Unlimited Categories/Subcategories/Products. Multicurrencies support with currencies updater. Product Attributes with downloads, Basket, image upload with autorezice, atico, Ajax Interfase para mayor comodidad. * Contact us Module – Forma de contacto, Con administracion de Departamentos Ilimitados y configurable. * Tell a friend Module – with antispam controler. * Downloads Module – Upload/Download your faborite files (music, video, text, flash, etc). Mmmm… what else could I tell you now… i think I have to write a book if I want to explain all the pocibilities of Xomol. But i won’t, I rather program further. Anyway, Xomol is so simple tu understand that you can learn it in 1 minute! Try it and you will know why!”

Respaldo hojas pequeñas de XOMOLSUCKS

Se pasa a este tema información del sitio xomolsucks por fines de respaldo.

[size=large][color=#FF0000]METODOLOGIA [/size]

Viernes 20 de marzo 2009

Hace unas semanas, a mediados de Febrero del 2009, un sujeto llamado David Guttmann me amenazó de muerte por varias razones. Una de las amenazas era si mencionaba las fallas de seguridad de un CMS llamado XOMOL, que cuando vi por encima unos días antes, me pareció evidente que era muy poco profesional, y que el software era un paquete grande, inspirado en OSCOMMERCE, y que tomaba lo peor de postnuke y otros softwares.

Con el asunto de las amenazas, me pareció interesante buscar si alguien había usado el software y por lo que vi, nadie. Solo encontré textos bastante fuera de lugar, donde se manejaba una evidente autopromoción.

El análisis actual mostró que la versión 1.5.2.2, es altamente inestable, y que hay razones para suponer que el programador del software consume drogas de manera cotidiana, principalmente medicamentos que prodfucen psicosis por padecer el sujeto de la enfermedad de Yacare, y Peyote en una de sus formas, ya que un defensor del software / identidad del sujeto defendió la versión inexistente 1.6 al mismo tiempo de comentar sobre el “venado azul”

Nos limitaremos a hacer una breve semblanza de las capacidades y fuentes de inspiración de David Guttmann, pero siempre de manera secundaria al análisis imparcial del sistema.

Para hacer ese análisis, necesitamos escenarios y una metodología. No es mi intención presentar un trabajo de la misma calidad que entrego a los clientes que pagan los sueldos de mi personal y el mio, pero no es mala idea poner el borrador preliminar,asignando solo una parte de lo que hacemos normalmente. Este sitio es el resultado de unas 20 a 30 horas de trabajo, repartidos a partes iguales entre beta testers, documentadora, y webmaster, mas unas 20 horas de mi propio tiempo, en pasar a Drupal los resultados (publicar un sitio en XOMOL hubiese sido absurdo y diez veces mas tardado). Debe considerarse el presente sitio como un trabajo preliminar, y no definitivo, y en ratos libres le dedicaré algo mas de tiempo.

El costo estimado de mi personal (que trabajó en medio de otros proyectos ), que hubiese cobrado de ser un trabajo por consultoría el tiempo invertido aquí, habría sido unos 50 a 60 mil pesos.

La infraestructura y metodología que utilizamos son las estandares del mercado, y en lo personal llevo mas de 19 años como programador y he utilizado bastante herramientas Open Source. Por lo mismo, en ocasiones mis razones sociales han sido contratadas para evaluar si un paquete cumple lo que necesita una empresa determinada, aunque normalmente nos dedicamos a hacer código para soluciones específicas.

Sin embargo, como este sitio demuestra tenemos experiencia en análisis y el contexto.. un analisis debe considerar la evidencia y los hechos imparciales. La palabra “analisis” sugiere cierto tipo de metodología con la implicación de imparcialidad. así que esta página tiene el propósito de mencionar nuestra metodología, y las evidencias que nos llevan a las conclusiones finales.

El problema específico que presenta XOMOL es entonces, ¿como hacer un análisis objetivo de un sistema que es una basura ?

En las pruebas simples que usamos para evaluar escenarios, realistas, XOMOL obtuvo los peores resultados posibles de rendimiento y usabilidad, por lo que creemos sinceramente que nadie usa XOMOL porque no sirve, desde el diseño.

Ningún sistema de Hardware puede resolver problemas de software Obsoleto y estándares de calidad descuidados, y la variedad de la infraestructura hace completamente imposible probar en todas las combinaciones.

Cuando tenemos que revisar un software de terceros, por lo general hacemos pruebas de varias cosas, pero el manejo de XOMOL es tan malo, que solo podemos hacer una parte.

Por lo mismo, hicimos una serie de análisis que nos llevó a encontrar otro problema de seguridad, y a concluir que David Guttmann, “programador” de Xomol, necesita urgentemente clases de programación básica, y que NO ES UN SISTEMA VIABLE para entornos de producción.

Por lo mismo, lo documentamos en Grandes áreas:

1 Lo que dice la publicidad de XOMOL.

1a Supuestos a comprobar

1b Evaluación de casos de éxito.

2 Evaluación de escenarios que pueden estar interesados

3 Paso a paso de lo que vimos con los escenarios.

4 Fiabilidad de 4p y ciclo de vida ( cuando inició y vida útil )

5 Conclusiones Técnicas

6 Conclusiones Finales.

7 Consideraciones objetivas y justificación de este sitio

Poco a poco el sitio se irá trasladando al Inglés.

Desglose de 5: Conclusiones técnicas.

Análisis de tecnología usada:

Notas sobre el motor de base de datos.

Nivel de normalización

Soporte a browsers Standard (si es web)

Notas específicas de Integridad referencial

Notas específicas de justificación de Triggers

Notas específicas de programación de triggers:

Mecanismos de recuperación de datos

Elección de base de datos

Público Destino y adecuación de la plataforma

Pruebas de usabilidad CMS:

Hechas por tres personas diferentes, usando como referencia principal a una persona de mi equipo, que se dedica profesionalmente a documentar sistemas existentes.

Documentación Técnica:

Secciones:

Documentación de sistema recibido y Notas del Desarrollador / Mantenimiento

Metodología de respaldos de producción

Diccionario de datos (automatizado)

Modelo Físico – Lógico NO

anexo sobre base de datos y acceso a la misma.

Manual de Usuario

Manual de Instalador

Viabilidad:

Necesidad real del software.

Escenarios.

Justificación de Viabilidad y elección de Lenguaje.

Elección de software de desarrollo

Elección de panel de control

Compatibilidad con versiones anteriores

base de usuarios instalada

Características de la Comunidad

Addons y fallas de seguridad

Portabilidad multiplataforma.

Calculo de Vida útil

Notas de instalación.

Requerimientos de Software y hardware.

Forma de instalación del script:

Forma de instalación de base de datos SQL:

Configuración de la base de datos en el código.

Notas Sobre el motor de correo :

Notas sobre el FTP

Comparativos contra equivalentes.

Validez en escenarios de prueba

Problemas de Calidad:

variables publicas

seguridad del lenguaje

Requisitos del sistema destino

Recursividad y redundancia de archivos

Calidad del código.

Sugerencias a futuro:

Realizar estudio de dependencias y normalización ( tablas hijas, etc )

Otros escenarios:

Escenarios arquetipo.

Base de usuarios del software

No haremos:

Trouble Shooting

Entregables de Documentación

Revisión profunda de código

Revisión extensiva Browsers.

Pendiente:

Borrador de limitaciones del sistema y explicación de sus motivos.

Documentar Pruebas de resolución: Usaremos como base 1024*768 asi que las revisiones sobre resoluciones menores serán esporádicas y no tan intensivas.

Se asume:

El sistema dice ser multiplataforma, así que las pruebas se hacen con sistema operativo XP con todas las actualizaciones vigentes en entorno LOCAL.

En entorno de producción se asume CPANEL con PHP y Mysql por ser lo mas común.

[size=large][color=#FF0000]LLAMADAS A MAIL [/size]

Un dato fue que cuando subi los archivos de Xomol al servidor Numero uno, recibí este correo como admin del server.

En pocas palabras, Xomol usa una función MAIL para enviar correo, y la forma en que lo llama en varios lugares indica por un lado que no encapsulan, y segundo, me hizo darme cuenta que no deja configurar envíos de correos. Si la función mail esta deshabilitada, como pasa en la mitad de mis servers, o en instalaciones locales, ya no puede mandar correo.

Note: If this is the first time you received this mail, it contains the history for the entire month so far.

Below are the recently upload scripts that contain code to send email. You may wish to inspect them to ensure they are not sending out SPAM.

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:431:

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:432: // mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/banners/index.php:433: include(‘modules/’.$op.’/thanks.php’);

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:85:

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:86: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/contactus/index.php:87: // mail($strTo2, $strSubject2, $strMailtext2, $header2);


/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:907:

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:908: mail($strTo, $strSubject, $strMailtext, $header)

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:909: or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:460:

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:461: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:462: // or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:907:

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:908: mail($strTo, $strSubject, $strMailtext, $header)

/home/xomolsuc/public_html/XOMOLL/modules/store/index.php:909: or die(“Die Mail konnte nicht versendet werden.”);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:460:

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:461: mail($strTo, $strSubject, $strMailtext, $header);

/home/xomolsuc/public_html/XOMOLL/modules/my_account_pls/index.php:462: // or die(“Die Mail konnte nicht versendet werden.”);

[size=large][color=#FF0000]PRIMERAS IMPRESIONES[/size]

2009-03-22 20:17:27 +0000

Cuando decidí hacer el análisis de Xomol 1.5.2.2 y pasárselo a mi personal, esperaba respuestas negativas, pero no tanta.

Antes de poner los resultados de los comentarios de los usuarios de prueba, webmaster y la documentadora, quiero repetir que no estoy poniendo todos los comentarios negativos. Solo los obejtivos. Cualquier persona que trate de usar Xomol, sentirá ganas de decir dos palabras, que no son precisamente feliz cumpleaños.

Al finalizar la elaboración de las pruebas, pregunté a la hora de la comida a tres personas: Diganme algo rescatable de Xomol.

Silencio.

Unos 20 segundos después, la documentadora dijo “ayyy esta dificil, no se me ocurre nada”

Eso da una idea de la situación.

Como definirias Xomol ?

La respuesta a la que llegaron entre todos fue : Xomol es un mal intento de copiar partes de Postnuke y OsCommerce, es un aplicativo que nadie usa , que no tiene lógica, no es fluido, es difícil de usar, se cae a cada rato o ya no deja entrar, y que aparentemente lo hizo un tipo que no tiene experiencia programando, no hace validaciones elementales, no sirve, se truena, ocupa mucho espacio,no se le entiende y no pasó por control de calidad.

——————————————

Usuario 1:

Uno de mis usuarios de prueba, es la persona que sirve de interfase con los clientes para definir casos de uso en otro software. A los cinco minutos de usarlo me pidió el manual o las especificaciones funcionales. Le dije que no existia ninguno de los dos, y me preguntó si íbamos a documentar por incumplimiento de contrato (es decir, demostrar las fallas para enjuiciar a un proveedor existente ).

Le dije que no.

Unos diez minutos después, me comentó por correo que ya tenía dos formas de hacer que el sistema no funcionara y tener que reinstalarlo, y que además el sistema no funcionaba con un flujo lógico de actor. Me parecieron tan evidentes sus comentarios, que le ped{i que se dedicara a otra cosa. Pero seguro que si lo hubiese puesto un día, encuentra mas.

Usuario Dos:

El usuario numero dos me pidió casos de éxito, para descartar problemas de configuración de nuestra parte como origen de errores de XOMOL. Como no encontramos el dato por ninguna parte, le pedí que validara los resultados de la documentadora y pusiera sus impresiones.

Descubrí que hay cinco sitios que usan el software XOMOL, y que todos están en el servidor del programador 89.110.149.181.

1 tzaulan.net Nahual Communicatios, david Guttman

2 xomol.net

3 sayula.org (David Guttmann direccion)

4 tzaulan.com.mx y

5 masprestamos.com, el propietario es uan Carlos Carranco Sotelo. el admin y el que paga es Fidencio Alvarado Madrue~o y el contacto tecnico David Guttmann Quiroz.

Aunque el autor hace afirmaciones poco creíbles, creemos que el software no lo usa nadie y no es reconocido. Estas son las pruebas de aceptación de Xomol que sugerí:

1 : Presentar comentariosa favor hechos en foros publicos por usuarios o programadores, en foros de mas de 20 mil mensajes, y escritos por usuarios con mas de 400 mensajes, y con fecha de diciembre 2008 o anterior.

2 : Mostrar dominios hechos con XOMOL que sean propiedad de las identidades multiples de Guttmann, como Rafavaldo y otros, ya que dicen usarlo sin problemas.

3 : Mostrar dominios hechos con XOMOL, que estén entre el primer millón de popularidad del aplicativo Alexa

4 : Mostrar una comunidad de usuarios alrededor de Xomol o de desarolladores de modulos descargables. Esto es porque varias identidades de Guttmann dicen haber estado buscando módulos de Xomol.

Usuario Tres:

Para validar la accesibilidad de Xomol en su versión inglés, le pedí a Sandy Jhonson, persona que lleva las ventas de estados unidos de mi empresa de host, que echara un vistazo. Esta Sandy es la misma persona a la que David Guttmann Quiróz amenazó con hacer un sitio pornográfico.

Además de comentar que el software estaba igual de malo en inglés que en español, nos hizo notar que Xomol y su módulo “multilenguaje” es un fusil mal hecho de Oscommerce. Al mismo tiempo, casi todo lo del CMS sigue el mismo flujo que PostNuke y hay puntos en común. El resultado fue el comentario de ser poco intuitivo y de mala calidad.

Asi mismo, salieron muchos comentarios sobre los “themes” y la falta de validaciones de inputs básicos.

Webmaster:

El webmaster siguió el procedimiento de instalación, para descubrir varios dias después por accidente que había un instalador no documentado, que entre otras cosas inserta de todos modos datos de prueba aunque uno le diga que no, y que contradice las supuestas instrucciones de validación.

Haciendo la instalación de base de datos por ambos métodos, descubrimos una falla de seguridad y que no se ha probado en los paneles de controles normales. Ni en las plataformas normales de desarrollo PHP bajo Windows (modos locales).

DBA:

Este soy yo. Revisé por encima los archivos, código, scripts, etc. El código no esta documentado, no hay integridad referencial, 800 archivos duplicados, etc.

Debido a la respuesta de los demás, decidí no hacer mas que una revisión por encima del còdigo. Si el resultado no es funcional, probablemente tampoco el código.

Documentadora:

Le pedí a nuestra documentadora que tratara de realizar los casos de uso simples que definió el usuario número uno, así como hacer 10 pruebas de usabilidad de CMS que ya tenemos.

Por lo visto entendió que debía hacer un análisis completo, pero cuando unos dias después recibí un correo con el “borrador de Reporte de errores de ortografía y sintaxis de Xomol 1.5.2.2, idioma mexican” que iba de ocho páginas, le pedí que no hiciera el análisis completo.

Su recomendación a los dos dias: Si vas a meter datos en el CMS, no uses Firefox.

Y un resultado lateral de sus pruebas, fue encontrar un agujero de seguridad adicional a los tres ya reportados por Security Focus

————-

Xomol es un mal intento de copiar partes de Postnuke y OsCommerce, es un aplicativo que nadie usa , que no tiene lógica, no es fluido, es difícil de usar, se cae a cada rato o ya no deja entrar, y que aparentemente lo hizo un tipo que no tiene experiencia programando, no hace validaciones elementales, no sirve, se truena, ocupa mucho espacio,no se le entiende y no pasó por control de calidad.

Y yo añado, además que tiene fallas de seguridad, no sigue estándares, no es funcional y sirve sobre todo para fines publicitarios del sujeto.

[size=large][color=#FF0000]2664 ARCHIVOS DUPLICADOS[/size]

En esta pantalla se muestran los archivos duplicados encontrados por la utilería CloneSpy, cabe destacar que los archivos repetidos mas grandes son banners que pasan de 70 kb, y los mas comunes banderitas de varios paises que se encuentran hasta 13 veces en una instalación estandard. Otros archivos bastante grandes y repetidos son las imágenes de las pizzas.

Estamos hablando de un pool de 2664 archivos donde se pueden elimitar 731 segun yo. Si son 982 duplicados, esto significa que por cada tres archivos, uno es de oquis.

[size=large][color=#FF0000]COPIA MALA DE OSCOMMERCE[/size]

Después de los comentarios hechos por Sandy sobre el probable origen de XOMOL como copia y pega de codigo de OSCOMMERCE, y POSTNUJE  tomé unas pantallas de las versiones actuales, se adjuntan como ZIP.

Notese que DE NINGUNA MANERA DECIMOS que XOMOL sea parecido a OSCOMMERCE en funcionalidad. OSCOMMERCE por lo menos deja editar los articulos, y como demostró nuestra prueba, XOMOL No.

Cabe destacar que los mensajes de fantastico, del lado izquierdo, se debn a haber deshabilitado las opciones de

allow_url_fopen en el server, procedimiento normal en un server seguro.

En lo personal, casi siempre debemos hacer sitios de ecommerce personalizado para nuestros clientes por razones de integración, pero OSCOMMERCE hace unas preguntas muy simples.

Notese que Pide :

Feccha de nacimiento y pregunta SSL. Xomol No. Pide mas datos de los que un usuario normal da.

Os Commerce supone que usted quiere dar articulo y lo explica de manera clara en el menu con botones Nueva categoría , nuevo artículo y editar(artículo)

Las pantallitas tipicas de idioma que Xomol usa, pero ampliadas a lo tonto (ver el artículo notas de Carrito)

Notese que el uso de status en los circulos de Oscommerce si es funcional, que siguen copias de idioma, pero no los botones simples editar o nuevo producto. Esta pantalla es un ejemplo de porqué Xomol no sirve, y que es lo que espera el usuario, y no me refiero a pantallas parciales de idiomas de Oscommerce.

Como persona que compro casi a diario por Paypal, me parece extraño que XOMOL no lleve un control estimado de tipo de cambio. No siempre el usuario del aplicativo piensa en eso, y no todos los que mantienen la tienda tienen el paypal del dueño.

Notese el manejo de banners de Oscommerce, que son mucho mas funcionales. Pueden desacvtivarse sin que el programa se caiga y no es un menú críptico.

Notese que aunque OSCOMMERCE usa las banderitas (lado derecho) por lo menos indica que son idiomas, y no se pierden en el diseño general.

Aunque la pantalla de OScommerce esta en alemán, permite usar dolares, y en la cadena de linea solo aparece una vez, no cinco. (ver en pantallas varias 5 idiomas)

[size=large][color=#FF0000]DISCLAIMERS[/size]

Disclaimer: This site IS NOT ABOUT the Trade action XOMOL, or any person called XOMOL. Seek yahoo finances for the Good bussiness called Xomol. The only Xomol referred in this site is the CMS Created by “David Guttmann” and available under varieties of GPL License. This website is a derivative, and can be cited giving the credit.

El objetivo de esta página es analizar de manera detallada El CMS o administrador de contenido XOMOL , que es segun las evidencias un software inútil creado por “David Guttmann” o David Guttmann Quiròz, alias Rafavaldo, Juan Camaney y otros.

No se pretende analizar un caso de éxito ni el código de XOMOL, asi como no se pretende analizar las fallas de seguridad ya documentadas o por documentarse, sino un análisis de su viabilidad, ya que todas las referencias externas favorables al CMS son realizadas por el programador del mismo, así que tomamos como base un análisis funcional, porque un análisis detallado exige un marco teórico y documentación, del cual carece XOMOL, y de ninguna manera recomendamos el uso del software, por los resultados mencionados.

Debido a las fallas de seguridad mencionadas antes , sostenemos que XOMOL es un software no listo para producción, y es un suicidio competitivo para quien trate de usarlo.

Sale fuera del ámbito de este sitio analizar o detallar las SUPUESTAS capacidades de David Guttmann como programador, y nos basamos en el análisis de la funcionalidad de la versión 1.5.2.2

Hacemos constar que David Guttmann nos amenazó de muerte antes de hacer este sitio, asi como con hacer sitios pornográficos a nombre de tres mujeres empleadas del autor de este sitio, asi como amenazas de suplantación de Razones sociales constituidas, como Rojo Intenso.

Por lo mismo, además de los problemas funcionales, creemos que el Software no tiene Vida util ni futuro, por ser hecho por un suejto sin moral, que toma medicamentos para el mal de yacaré que producen psicosis, y otra de sus personalidades acepta tomar peyote fuera del contexto religioso, por lo que no hay calidad moral, profesionalismo ni cortesía en el programador de Xomol, o de sus supuestos defensores.

Que nosotros sepamos Xomol no es Marca registrada, y en caso de serlo es propiedad de sus respectivos dueños.

Este sitio es legal por cumplir los estandares de Paypal Vs Paypalsucks, y de Lucent contra LucentSucks, y al ser registrado el dominio con una tarjeta de crédito de Eu, y estar alojado en EU, nos acogemos a la jurisdicción del servidor de Estados Unidos donde está alojado.

[url=https://rojointenso.net/adjuntos/289-xomol_copia_mal_a_oscommerce.zip]https://rojointenso.net/adjuntos/289-xomol_copia_mal_a_oscommerce.zip[/url]   ( click derecho para descargar )

XOMOL – Revisión rápida de base de datos

En la tercera o cuarta instalación del sistema, tuve para variar que borrar todo y copiar el script a mano para que los usuarios beta pudieran hacer su trabajo. Esto me hizo firmarme en el phpmyadmin, y como es natural, no hay esquema de base de datos.

Este es un resumen de irregularidades notadas a simple vista, no es un análisis completo ni de normalización/estandarización.

Estas notas corresponden al numero de pantalla del zip y una descripción de 30 pantallas, que pueden descargarse en zip de aquí próximamente.

01: la instalación completa de Xomol com modulos, crea 181 tablas en lugar de 49 de drupal simple. Siendo 79 sin módulos, se nota un exceso de tablas de todos modos.

02: Son demasiadas tablas por módulo. ya había visto en elscript que no hay integridad referencial, pero 15 tablas de banners son excesivas. Y ademas, muchas columnas de tablas como usersonline tienen que ver con banners. Error fuerte de diseño, y por lo que se ve no tiene idea de normalización.

03: Claro que el store usa MAS 40 Tablas, pero ni siquiera funciona ni es multidivisas.

04: Que estan haciendo Admin metatags, admin lenguajes en usersonline ? Lo mismo que mas de 13 campos inútiles relacionados con banners. Con Razón necesita 200 k para ver quien esta en línea aunque la lógica es que se hace con 10 líneas sin problemas.

05: Instalando desde el script, hay 12484 registros, y eso que son pocos artículos. Eso hace pensar que estan mezcladas en una base de datos mal diseñada, datos a los que no se puede accesar fácil, mucha publicidad, o ambas cosas.

06: Caray, la tabla de styles tiene 1998 registros. Excesivos porque si hablamos de 3 templates. son mas de 650 parámetros por template. No solo se cometen errores de principiante (color de links igual al fondo gris/blanco en menús que se vuelven invisibles al ponerse encima del menú) sino que evidentemente no se usa la parte cascada del concepto cascada, y por lo mismo se lee de base de datos cada vez. Por lo mismo, tampoco hay caché y al ser internos, se carga cada vez. Es decir, miles de lecturas a lo tonto, y que no se cachean.

07: geostates tiene 3840 registros también yno es primoridal en un CMS. Es decir, la mayor parte de geostates y sus derivados, se usan para banners nada mas.

Es raro que use una tabla para modulos y otra para modulos desc, para 11 registros. No solo se crea solo problemas de integridad referencial y mantenimiento, sino que son demasiadas tablas para lo que realmente hace el programa.

08: En my_company_docs viene un texto que supongo se usa para algo. Me interesó el lenguaje mexican, que segun yo no existe.

09: la tabla modules resulta un ejemplo claro de porque no hay integrudd referencial y porque es inmanejable. Ademas de señalar que no sabe programar.

Campo whocanview = ,1,100,102,200 que supongo pertenecen a grupos de usuarios. Por lo mismo no hay integridad referencial, y por la coma inicial se ve que no usa los estándares normales de calidad.

10 y 11: Otro caso estúpido de la integridad referencial, es la pantalla 10. usa un código postal imposible por lo largo (100007), pero también usa un estado nahualtepec, que evidentemente no existe, lo que signifia que es una integridad referencial medio rara contra su propia tabla de 3840 registros de estado. Yconste que dice país México Ciudad aztlan. Es decir, como no hay ciudad aztlan, ni municipio de nahialtepec y el código postal es imposible, significa que sus propios datos de ejemplo, o su integridad referencial, o ambos, son basura.

12: My_Company_info Claro que definir el pais como cadenade 64 caracteres es excesivo. y claro tambien que el código postal es varchar(64), y la calle es de 64. O sea que asigna igual de espacio a TODA LA PINCHE CALLE que al código postal.

Y en la misma tabla, lo hace con otro juego de campos para el banco.

Esta tabla hace pensar seriamente que no tiene la mas mínima experiencia en diseño de datos, o como dijera El primer usuario del sistema, este tipo no sabe.

13: La tabla module_desc y su mención de mexican como llave, preocupa. Si quisiera corregirlo poniéndolo a español, pues no podría. No tiene demasiada lógica la tabla en si. Y sin integridad, menos.

14: Revisando desde la tabla los 1998 estilos de styles, uno se espanta. Cinco lecturas de base de datos, para poner el a:link ??? No solamente es ineficiente, sino confuso y de todos modos el módulo correspondiente me comentaba uno de los usuarios de prueba que puede mostrar valores ilógicos en base a CSS2 (de sintaxis)

15: Styletags es parecido , no documentado y tiene el mismo problema. No solo no se ve mucha comprensión de la CSS, sino que un servidor con 200 a 300 simultáneos se alentaría horrores por tanta lectura.

16: geo_state parece ser no normalizado. State_Country_id está mal, deberia ser country_state_id porque el padre es Country, se supone. Mal diseño.

17: Configure es otra tabla críptica. y que carajos esta haciendo “1 Site Layout” en config_type ? Incluso sin descripción aqui hay tres Campos crípticos e ineficientes.

18: banners usa varchar de 10 para fechas que incican y que terminan, en lugar del mktime. Esto da a entender varios problemas. De entrada los banners deben funcionar por dias completos y no a partir de una hora (venta especial a partir de las 21 horas no se puede), y por otro cálculo de estadísticas en base texto son mas pesadas que en base mktime. Hay que reconocer que yo dejaría campo en cristiano (por legibilidad), pero tendría dos campos mktime por las razones mencionadas.

19: La tabla content_frontpage no es intuitiva, pero el campo creation aqui es de 16 y en otros lados de 32 y 64, creo. No está normalizada y es extraño el diseño.

La llave de author_id(en el indice) no hace mucha logica porque al guest o a muchos usuarios , no va a buscar por contenido escrito por un usuario, sino lo que esta en la página principal(frontpage). Tampoco veo “order” por si son dos o mas ni fecha.

20: targeted_user en content_art es una de las cosas mas raras que he visto. Sin comentarios en un CMS porque si se hiciera target del contenido, que de por sí no es muy buena idea porque sería mas bien nivel de acceso pero esa es otra historia, el targeted debería ser por grupo y no por usuario. Notese que la creation no es mktime.

21: Esta pantalla no solo demuestra porque no hay integridad referencial, sino que no es multilenguaje, sino que lo que se escribe se captura tres veces. Esto tiene varias implicaciones sobre porqué el Esscenario dos falla. También implica un punto de vista raro de los SEO, y que los metatags de Xomol están 15 veces en la tabla.

22: La pantalla tiene como idioma predeterminado el alemán. O sea que es poco probable que se hiciera con mexicanos en mente. PROBABLEMENTE METE METATAGS en todo porque son obligatorios. Otro error de diseño. queda pendiente ver que es el default del campo

23: Logos por usuario es poco comun. Y mas raro que sean user_www_1 a 3, que no es intuitivo y tiene huecos de seguridad. No se hacen verificaciones , y pueden usarse todos los exploits tipo avatar. Verificar como Vector de Ataque de saturación.

24: En la tabla de metatags, a pesar de decir que usa texto en español el lenguaje, el metatag viene de varios idiomas. Mal diseñado, redundante y errores de concepto y de diseño, no solo por los datos basura.

25: store_module_desc da a entender que son modulos de la tienda, pero por el contenido se va mas bien a una descripción de formas de pago, o diccionario, pero de modulo nada.

26: mas de lo mismo.

27: Store manufacturers indica que no se pensó en la necesidad de dos productores de un mismo producto. Normalmente se haría con una tabla puente entre proveedores y articulos, pero aqui no lo consideraron. (Lo mas seguro es que nadie use la tienda virtual, o que metan información errónea. Limtación fuerte de diseño.)

28: mas metatags, parece que todas las tablas tienen metatags, y si son obligatorios peor tantito. Diseño raro y dificil de verificar la integridad.

29: Auch !!!! Los metatags son tipo TEXT !!!!!!!!!! (capaz que estan así en todos) y la tabla no tiene índice

30: Pues por lo menos en esta tabla tambien son text.

Que horror.
=====================================================
No tuve valor para seguir viendo, pero es evidente que David Guttmann no tiene idea de diseño de bases de datos y que es un sistema basado en publicidad.