Visualizza post

Questa sezione ti permette di visualizzare tutti i post inviati da questo utente. N.B: puoi vedere solo i post relativi alle aree dove hai l'accesso.


Post - danielecr

Pagine: [1] 2 3 4 ... 10
1
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 21:40:11 »
Ti ringrazio per aver partecipato alla discussione intanto. Anche se le probabilità di session hijacking almeno nel mio caso ritengo siano molto remote, credo opterò comunque per la scelta di scrivere files di sessione.

2
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 21:04:41 »
E invece la creazione di files? Magari al livello superiore rispetto alla root del sito. A occhio mi sembra l'opzione migliore..

3
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 19:26:11 »
Ok chiaro.
Ho visto che a livello di firewall esiste un'estensione, che non nomino perché a pagamento, che praticamente cerca se esiste una sessione attiva nel database, e se cambia l'ip o lo user agent cancella la sessione: vero che l'attaccante non entra, ma pure il super user viene sbattuto fuori..

Non sarebbe più sicuro impostare in joomla il session handler su memcached o php al posto che database? Come la pensate?

4
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 17:06:49 »
Si sono d'accordo con quello che dici. Ma vorrei però rimanere in tema e capire se esiste qualcosa che permetta di bloccare direttamente l'hijacking.

5
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 15:37:11 »
Ci sono diversi exploit, vecchi per carità, che permettono il download del configuration.php.
Molto più recente è l'sql injection di joomla 3.7.0: in caso di super user loggato si può rubare dal database l'id della sua sessione e avere accesso al pannello di controllo senza conoscerne la password.

6
Sicurezza / Re:Prevenire il session hijacking
« il: 20 Mag 2017, 15:16:25 »
Con una sql injection ad esempio, oppure tramite il download del configuration.php e accesso al database non da localhost (se è "mal" configurato); insomma, basta che si abbia l'accesso al database in un qualunque degli n metodi.

7
Sicurezza / Prevenire il session hijacking
« il: 20 Mag 2017, 13:53:22 »
Ciao a tutti,
sto cercando una soluzione/estensione per cercare di prevenire il session hijacking: usate o conoscete qualcosa?

NB: non cerco una soluzione per prevenire il login multiplo su un account (quindi la creazione di una seconda sessione attiva), ma qualcosa per prevenire il furto dell'id di una sessione attiva (quella dell'utente super user nel mio caso) che possa essere usato contemporaneamente da una seconda entità.

Grazie

8
  • provate a reimpostare le permissions come indicato qui sopra da jedi o in altra modalità (es. da pannello di controllo dell'hosting oppure da client ftp tipo FileZilla). Ricordo che Joomla (https://docs.joomla.org/Verifying_permissions) prevede l'impostazione a 644 per i files ed a 755 per le cartelle (chiamate anche folder o directory).

Aggiungo una cosa: può capitare, non ne conosco la causa, che il client ftp non riesca a cambiare i permessi (nel mio caso con lo stesso filezilla); se ciò dovesse accadere usate direttamente il pannello di controllo dell'hosting.

9
SEO / Re:.htaccess e aggiunta/rimozione slash a url
« il: 20 Mag 2017, 09:57:31 »
Ho risolto così, magari torna utile ad altri.

Codice: [Seleziona]
RewriteCond %{REQUEST_URI} ^/(en|it)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*[^/])$ /$1/ [L,R=301]
RewriteCond %{REQUEST_URI} ^/(en/|it/)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule .? - [S=1]
RewriteRule ^(.*)/$ /$1 [L,R=301]

10
Joomla! 3 / Re:Possibile falla nel componente com_fields?
« il: 20 Mag 2017, 09:23:00 »
La tua versione è a posto, stai visualizzando il log, quindi i tentativi: ci hanno provato, ma senza riuscirci.

11
Joomla! 3 / Re:Possibile falla nel componente com_fields?
« il: 20 Mag 2017, 08:58:39 »
E' la falla della versione 3.7.0 patchata dalla 3.7.1

12
Joomla! 3 / Re:Disponibile aggiornamento Joomla! 3.7.1
« il: 20 Mag 2017, 08:53:53 »
Perchè lo preferisci rispetto ad un accesso ftp limitato alla cartella?

13
SEO / Re:.htaccess e aggiunta/rimozione slash a url
« il: 19 Mag 2017, 18:01:29 »
Ho provato così ma non va:
Codice: [Seleziona]
RewriteCond %{REQUEST_URI} ^/(en|it)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*[^/])$ /$1/ [L,R=301]
RewriteCond %{REQUEST_URI} !^/(en|it)$
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)/$ /$1 [L,R=301]

se richiedo linkalsito/it (senza slash finale) dà errore di reindirizzamento..Se metto i due spezzoni a sè stanti (solo le prime tre righe o solo le seconde tre righe) fa quello che deve fare..

mmm..ho capito che è la quarta riga che non va..se richiedo it/ levo lo slash, ma va poi in conflitto con la prima riga..

14
Joomla! 3 / Re:Disponibile aggiornamento Joomla! 3.7.1
« il: 19 Mag 2017, 17:33:00 »
Ciao Antonello, io non leggo fraintendimenti (capisco leggendo che ci sono problemi con i file pdf), comunque per fugare ogni dubbio, ci sono dei problemi con i file pdf.

15
SEO / [RISOLTO] .htaccess e aggiunta/rimozione slash a url
« il: 19 Mag 2017, 16:19:16 »
Ciao a tutti,
qualcuno sa che regole scrivere nell'htaccess in modo che:
1- se viene richiesto l'url linkalsito/en oppure linkalsito/it automaticamente aggiunga uno slash finale, in modo che diventi linkalsito/en/ oppure linkalsito/it/
2- tolga lo slash finale in tutti gli altri casi (nel caso in cui venga richiesto dal visitatore un url con slash finale) <-- ora, sia che venga richiesto con slash finale o meno il contenuto della pagina viene visualizzato (possibile problema di contenuto duplicato).

Attualmente ho questa regola per aggiungere lo slash:
Codice: [Seleziona]
RewriteCond %{REQUEST_URI} ^/(en|it)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*[^/])$ /$1/ [L,R=301]

Come implemento il punto 2 senza che vada in loop?

16
Joomla! 3 / Re:Disponibile aggiornamento Joomla! 3.7.1
« il: 19 Mag 2017, 09:40:06 »
Insisto a chiederti di non dare istruzioni fuorvianti e del tutto illogiche che possono procurare più danni che benefici.
La versione 3.7.0 va aggiornata, punto.

17
Joomla! 3 / Re:Disponibile aggiornamento Joomla! 3.7.1
« il: 19 Mag 2017, 09:30:14 »
Ma hai letto sopra????Downgrade alla 3.7.0?Da pazzi...

18
Certo. Ogni 301 è un 15% in di ranking perso (a patto di avere gli stessi contenuti).

Questo una volta, forse era anche un pochino di più del 15%; se poi il redirect 301 coinvolgeva pure il cambio di dominio erano grane per il riposizionamento. Fortunatamente oggi i redirect 301 non portano a nessuna penalizzazione, a patto di avere gli stessi contenuti, come scrivevi.

19
Joomla! 3 / Re:Disponibile aggiornamento Joomla! 3.7.1
« il: 18 Mag 2017, 17:59:43 »
Grazie Alex,
aggiornate al più presto alla 3.7.1 se non lo avete ancora fatto, i dettagli della falla sono ormai pubblici ormai da diverse ore e il bug può portare alla piena compromissione del sito nel peggiore dei casi (testato personalmente, non per sentito dire o letto). Ed è molto semplice sfruttare la falla.
Non rimanete alla 3.6.5: anche questa versione può essere compromessa (anche se non per la stessa falla)!

Aggiornamento: venerdì 19 maggio sono state rese pubbliche sui famosi siti di exploit le istruzioni dettagliate per sfruttare la falla di joomla 3.7.0; ciò vuol dire che gli script kiddies potranno semplicemente fare un copia/incolla per sfruttare la falla, anche senza avere nessuna conoscenza di quello che stanno facendo.

Pagine: [1] 2 3 4 ... 10

Torna su