• Nozioni Base di Sicurezza vBulletin

    vBulletin è abbastanza sicuro da solo, nessun hack e mod e plugin installato, e se strikes (5 tentativi di login, poi blocco di 15 minuti) sia abilitato.

    L'ho fatto provare (versione 3.0) da un hacker professionale dagli USA - sul mio sito, e dopo 3 giorni si è arreso. Naturalmente è richiesto che il sistema operativo sia sempre aggiornato e che le password siano sicure, e inoltre, per evitare che un eventuale key-logger prenda le vostre credenziali, il copia-incolla della password al login, da un programmino che tiene le vostre password. Infatti il copia-incolla delle password è latino per i key-logger

    Ogni volta che si installa un plugin, è (quasi) dovere di controllare il codice, perché potrebbe nascondere delle sorprese anche molto pesanti. Con un prodotto ganzo potreste permettere ad un hacker di installarvi una serie di funzionalità che gli permettono di tenere traccia della vostra attività, e dei vostri utenti, senza che vi accorgirete, ed accedere illimitatamente al database e fare letteralmente quel che vuole, compreso la cancellazione di tutte le tabelle.

    Mi sono reso conto di questo potenziale pericolo, quando ho visto il codice di 'Chi era connesso oggi'. Il codice di questo prodotto è innocuo, ma effettua una modifica alla tabella 'user' (aggiunta e rimozione indice sul timestamp delle attività utente), che ha accesso una lampadina di allarme sulle potenzialità di un hacker senza scrupoli.

    Vediamo un po' cosa potrebbe fare di veramente dannoso:
    • Inviare l'elenco delle email di tutti gli utenti a uno spambot. Richiede circa 1 secondo per 5000 indirizzi.
    • Inviare username, salt e i digest delle password; a quel punto gli account diventano parecchio deboli.
    • Cambiare i dati per il destinatario delle sottoscrizioni a pagamento.
    • Iscriversi alle sezioni protette, ad esempio al settore della vostra azienda.
    • Cambiare il login dell'amministratore (al suo).

    Quindi controllate prima il codice, e se non capite cosa c'è scritto, datelo a qualcuno che si intende e di cui vi fidate.
    Questo articolo era stato originariamente pubblicato nella discussione del forum: Nozioni Base di Sicurezza iniziato da mossss Visualizza Messaggio Originale
    Commenti 2 Commenti
    1. L'avatar di poreddu
      poreddu -
      Questo articolo è molto interessante..Graziespero ce ne saranno altri utili come questo
    1. L'avatar di y2ksw
      y2ksw -
      D'ora in poi, salvo mancanza di tempo o di temi, saranno aggiunti ogni 3-4 giorni articoli di comune interesse, per coprire un po' tutte le tematiche. Non solo riferito a vBulletin, ma anche a Internet in genere, alla moderazione e amministrazione dei forum.