Nozioni Base di Sicurezza

**mossss** · 05-05-2006, 16:26

In questo topic saranno descritti i punti principali per avere un forum "sicuro"

1. Principio Base
un forum sicuro al 100% non esiste, per essere sicuro al 100% da attacchi esterni dovrebbe essere off-line

e di conseguenza non sarebbe utilizzabile quindi qui vedremo di trovare il giusto compromesso per fornire un servizio sicuro

2. Mantenersi Aggiornati

Eseguite l'aggiornamento completo il prima possibile sulla vostra vBulletin con la nuova versione disponibile e se potete mantenete aggiornata anche la parte server con le ultime versioni sicure di PHP e MySQL

3. Importanza del codice

All programs are buggy (assioma di Murphy)
quattro parole che ci danno lo spunto...

3.1 Legge dei programmi lunghi
I programmi lunghi hanno piú bug di quanto si possa immaginare in base alla loro dimensione

3.2 Limitarsi ai servizi essenziali
Le macchine esposte dovrebbero eseguire meno programmi possibile, e comunque programmi piú corti possibile.

questo topic verrà prolungato man mano... ora accontentatevi della prima lezione di sicurezza

**Sergio** · 05-05-2006, 16:47

Originariamente Scritto da mossss

In questo topic saranno descritti i punti principali per avere un forum "sicuro"

1. un forum sicuro al 100% non esiste

Ok, chiudo il post ?

**Sergio** · 05-05-2006, 16:48

Scherzi a parte, aggiornate sempre la versione del vostro forum e fate si che voi o chi per voi aggiorni anche le versioni del PHP e MySql.

**mossss** · 18-07-2006, 16:25

aggiornati punti 1-2
aggiunto punto 3

**colin** · 18-07-2006, 16:33

perche' non spieghi come aggiornare php e mysql non ho la piu' pallida idea grazie mossss e scusami

**mossss** · 18-07-2006, 16:53

Originariamente Scritto da colin

perche' non spieghi come aggiornare php e mysql non ho la piu' pallida idea grazie mossss e scusami

certo si può fare, lo preparo

**Sergio** · 18-07-2006, 19:34

Originariamente Scritto da colin

perche' non spieghi come aggiornare php e mysql non ho la piu' pallida idea grazie mossss e scusami

Dipende se hai il server tu o se lo hai in gestione.
Se sei presso un hosting devi mandargli una mail con scritto :"Huey ragazzi, lo vogliamo aggiornare qusto server o no ?"

Se il server è il tuo lo dovresti sapere, ma in generale varia da macchina a macchina, se è un Windows c'è solitamente un installer, poi un minimo di configurazione del file PHP.INI, delle extension, dll per l'Apache se hai l'apache, modo CGI, ci sono molte opzioni, conviene discuterne volta per volta se il problema si presnta.
In Linux stessa cosa, fai l'upgrade con rpm o con un gestore pacchetti e poi finisci di configurare.

Attenzione ai passaggi da PHP4 a PHP5, ovvero grossi cambiamenti.

**colin** · 18-07-2006, 19:46

capito ok no non e' mio..............

**y2ksw** · 19-07-2006, 00:10

vBulletin è abbastanza sicuro da solo, nessun hack e mod e plugin installato, e se strikes (5 tentativi di login, poi blocco di 15 minuti) sia abilitato.

L'ho fatto provare (versione 3.0) da un hacker professionale dagli USA - sul mio sito, e dopo 3 giorni si è arreso. Naturalmente è richiesto che il sistema operativo sia sempre aggiornato e che le password siano sicure, e inoltre, per evitare che un eventuale key-logger prenda le vostre credenziali, il copia-incolla della password al login, da un programmino che tiene le vostre password. Infatti il copia-incolla delle password è latino per i key-logger

Ogni volta che si installa un plugin, è (quasi) dovere di controllare il codice, perché potrebbe nascondere delle sorprese anche molto pesanti. Con un prodotto ganzo potreste permettere ad un hacker di installarvi una serie di funzionalità che gli permettono di tenere traccia della vostra attività, e dei vostri utenti, senza che vi accorgirete, ed accedere illimitatamente al database e fare letteralmente quel che vuole, compreso la cancellazione di tutte le tabelle.

Mi sono reso conto di questo potenziale pericolo, quando ho visto il codice di 'Chi era connesso oggi'. Il codice di questo prodotto è innocuo, ma effettua una modifica alla tabella 'user' (aggiunta e rimozione indice sul timestamp delle attività utente), che ha accesso una lampadina di allarme sulle potenzialità di un hacker senza scrupoli.

Vediamo un po' cosa potrebbe fare di veramente dannoso:

Inviare l'elenco delle email di tutti gli utenti a uno spambot. Richiede circa 1 secondo per 5000 indirizzi.
Inviare username, salt e i digest delle password; a quel punto gli account diventano parecchio deboli.
Cambiare i dati per il destinatario delle sottoscrizioni a pagamento.
Iscriversi alle sezioni protette, ad esempio al settore della vostra azienda.
Cambiare il login dell'amministratore (al suo).

Vi basta?

Quindi controllate prima il codice, e se non capite cosa c'è scritto, datelo a qualcuno che si intende e di cui vi fidate.

**Sergio** · 20-07-2006, 16:55

Originariamente Scritto da y2ksw

Naturalmente è richiesto che il sistema operativo sia sempre aggiornato e che le password siano sicure, e inoltre, per evitare che un eventuale key-logger prenda le vostre credenziali, il copia-incolla della password al login, da un programmino che tiene le vostre password. Infatti il copia-incolla delle password è latino per i key-logger

Questo viene fatto sul computer che si usa come client vero ?

E' un punto infatti che molti mi avevano fatto notare, spesso si rende sicuro un sistema Linux quando poi ci si collega da remoto con un Win completamente sotto controllo.

Discussione: Nozioni Base di Sicurezza

Strumenti Discussione

Nozioni Base di Sicurezza

Segnalibri

Segnalibri

Permessi di Scrittura