Post

41

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 22:03:07 »

La mia aziena è piccolina, siamo circa 4/5 effettivi, piu' alcuni collaboratori esterni.
56francesco scriveva mi pare in un altro post, che in aziende che hanno fino a 5 dipendenti (dichiarati, e i collaboratori che possono essere occasionali, non sono proprio dipendenti) il DPS non sarebbe nemmeno forse obbligatorio, o quantomeno non è così ufficiale.

Ne parlerò con il mio capo (che ripeto, penso ne sappia meno di me) e vedremo il da farsi se e quando sarà il momento.

Non importa nè il numero di dipendenti nè il fatturato, ma solo ed esclusivamente il tipo di dati trattati.

Puoi anche essere un semplice titolare di partita iva e fare però consulenze in tribunale su crimini informatici e ci ricadi in pieno.

Come puoi essere un'azienda che fattura milioni di euro e non ricaderci nemmeno.

Affidatevi ad un professionista che possa fare una seria analisi dei dati che trattate.

Tanto per fare un esempio banale, se il sito che ho visto è quello della tua azienda, nei vari moduli di raccolta dati siete già esposti a rischio ai fini privacy (preventivo, richiesta informazioni, ecc.).

ale

42

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 21:57:32 »

Ad oggi il DPS è obbligato a farlo per legge solo ed esclusivamente chi gestisce dati sensibili e/o giudiziari con strumenti elettronici (che non sono necessariamente solo computer).

magari fosse così semplice..

bhè... lo è. Le ha chiamate misure di semplificazione proprio il garante della privacy non io.

cfr. documento pubblicato in G.U. del 9/12/2008
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571218

ale

43

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 21:36:43 »

con Joomla francamente (lo so mi vergogno ma purtroppo è così) non so come si fa a modificare e lavorare sul sito in locale.

nessuno nasce "imparato".

e' molto più semplice di quello che sembra:

- ti installi un programma che simula un web server (io per esempio tra i tanti che ho provato, prediligo wamp)

- ti installi il sito in locale

- a quel punto il tuo sito sarà localizzato in: http://localhost/miosito

e ci lavori esattamente come lavoreresti sul sito su web

se hai intenzione di farlo, installati wamp o similare e poi prova a giocarci un po', in ogni caso male non fa.

Quest'ultima parte mi sfugge...a prescindere dal fatto che nemmeno il capo era a conoscenza dell'esistenza di questa esigenza, se non ho capito male, dalle tue parole in un caso o nell'altro bisogna rivolgersi a un professionista...ma chi sono i professionisti che fanno i DPS? Cioè a che struttura bisogna rivolgersi?

è solo un mio pensiero. in ogni caso i professionisti sono persone (o società) che per campare si occupano proprio di quello.

Comunque chi se ne dovrebbe occupare nella tua azienda, è il titolare dei trattamenti, e magari dovrebbe saperne qualcosa anche il rappresentante sindacale nel caso dei trattamenti riguardanti il personale.

ale

44

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 17:58:40 »

In effetti a questo non avevo pensato...ma questo vale per tutti o solo per chi fa attività online tipo la compravendita, la vendita...che so cose così?

Ad oggi il DPS è obbligato a farlo per legge solo ed esclusivamente chi gestisce dati sensibili e/o giudiziari con strumenti elettronici (che non sono necessariamente solo computer).

Tutti gli altri soggetti titolari di trattamenti di dati personali che NON gestiscono informaticamente i dati sopra, sono esentati dall'obbligo (che è quello che dice la legge, non quello che io personalmente reputo meglio che sia).

Tra l'altro, digitando DPS nel motore di ricerca, escono fuori alcuni programmi (a pagamento naturalmente) che ti creano un DPS ad hoc e sembra che siano (a detta degli sviluppatori) molto facili da configurare e utilizzare. Tu credi che saremmo obbligati ad averne uno?

SE sei costretto per legge a farti il DPS rivolgiti ad un professionista.
SE non sei costretto a farlo per legge, ma lo vuoi fare lo stesso allora, invece, rivolgiti ad un professionista.

ale

45

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 17:47:29 »

Comunque, discorsi a parte, l'unica cosa che non ho capito, è se è sufficiente salvare solo il DB (come pare questo comp...ehm plugin faccia) oppure è meglio fare il back up completo di tutto il sito.

guarda, per avere un backup del sito ci sono ennemila modi, chi più chi meno tutti validi.

dipende anche molto da cosa ci fai tu con il sito, se per esempio è un sito a cui hanno accesso altri utenti per modifica o se lo modifichi solo tu e altre x-mila varianti.

se prendi l'esempio di un sito senza tanti orpelli, il backup è davvero alla portata di tutti.

Ipotizzo un sito dove solo tu (administrator) pubblichi il materiale, modifichi categorie/sezioni/menu ed installi componenti ecc.

nulla ti vieta di apportare le modifiche in *locale* e poi di uppare il sito nel tuo spazio web. A quel punto il backup (dei files e del DB) lo dovrai fare del tuo sito locale ovviamente.

Oppure lavori direttamente sul sito on-line (personalmente sconsiglio questa opzione) e poi scarichi in locale i files ed il DB ( e tene fai un'altra copia di backup vera e propria).

In tutti i casi, solitamente, non ti serve neanche salvare *tutte* le directories, perchè quelle soggette a frequente modifica sono tipicamente la /images, e le directory dove componenti vari permettono di caricare files (es /dmdocuments per DOCMAN).

Quindi ti basterebbe salvare quelle e sei a posto.

In caso, però, tu installi *online* dei componenti, moduli, plugin ecc. allora dovrai backupparti le directory corrispondenti.

Un full backup non lo vedo sempre positivo, e spesso fa perdere più tempo che altro.

se ne hai la possibilità utilizza il sistema inverso, cioè locale->online, è comodo, sicuro, rapido e non ti fa venire troppi mal di pancia.

*ricordati* di farti un backup del sistema locale da un'altra parte che non sia esclusivamente il tuo pc.

Ad esempio poco fa ho tentato via FTP con FileZilla, la copi di tutto il sito che è contenuto in remoto nel mio spazio (files e cartelle), mettendola sul mio disco fisso, ma mentre trasferisce a un certo punto si disconnette con il messaggio di timeout e trasferimento fallito.

Secondo te, perchè accade cio'?

per x-mila motivi, il timeout dipende dal server di solito.
Filezilla manda dei comandi anche quando è "inattivo" per non far cadere la connessione (solitamente i server usano 300 sec. come tempo limite, ma ognuno imposta il proprio).

se il problema persiste contatta il tuo hoster e spiegagli il problema (con dettagli possibilmente, gli faciliterai la risposta).

ale

46

Sicurezza / Re:JBackup System Plugin (nativo 1.5)

« il: 05 Gen 2010, 17:13:21 »

Buongiorno,

chiedo scusa, qualcuno conosce o ha utilizzato di recente questo plugin per il back up dei dati?

Ciao, ti rispondo per quello che so visto che l'ho preso in esame anche io.

E' un plugin (di fatto, una volta installato lo trovi nel menu estensioni/plugin) che si occupa di salvare con tempi da te decisi, il DB di Joomla (non i files).

La configurazione del plugin in se è abbastanza banale, ma occorre farla, altrimenti di default il plugin non fa' nulla (si installa come NON pubblicato).

una volta installato vai in estensioni/plugin e lo "clikki" per entrare in modifica.

nella colonna di destra puoi scegliere sostanzialmente:

- se utilizzare un CronTAB per far eseguire il backup
- se utilizzare un intervallo di tempo per far eseguire il backup
- se utilizzarli entrambi oppure escludere uno dei due

dopodichè puoi dirgli un indirizzo e-mail a cui inviare compresso il file di database (compressione gz classica), oppure, in alternativa, se far salvare in una delle directory del sito il file compresso di database al quale avrai accesso solo tu in base ad un codice da configurare, oppure ancora entrambe le opzioni elencate sopra.

In fondo esiste una finestra di log che puoi impostare, nella quale verranno visualizzate tutte le operazioni di salvataggio ed eventuale rimozione dei file salvati che sono state effettuate nel corso del tempo (log impostabile come quantità di righe conservate).

Ho provato a cercare ma ad oggi *per quanto mi risulti* non ho trovato avvisi attivi di sicurezza per questo plugin.

Un consiglio che mi sento di poterti dare, è di fare una prova di re-installazione in locale utilizzando il backup del DB, almeno le prime volte e poi almeno una volta al mese, in modo da controllare che jbackup faccia sempre costantemente e correttamente il suo lavoro, inoltre verifica anche le dimensioni del file di DB che ti può inviare (lo puoi impostare).

ale

47

Sicurezza / Re:Strategie di Sicurezza di base - considerazioni

« il: 05 Gen 2010, 16:17:43 »

Continuo a ringraziarti, mi sto cercando di fare una cultura molto velocemente in joomla e sulla sua sicurezza e non è semplicissimo.

ciao,

. spostare configuration.php al di fuori dello spazio web
puoi farlo, ma non ne capisco i vantaggi: se php si inchioda uno può leggerlo, ma non penso serva ad un gran chè dato che l'unica informazione interessante è il server sql che solitamente non è raggiungibile dall'esterno. se php gira il file è, e deve essere, raggiungibile da php, quindi qualsiasi hack può leggerlo e modificarlo. inoltre dovresti modificare il codice di joomla per includerlo e ti complicheresti la vita in caso di aggiornamenti ( e non mi parlare di symlink )

ok, ricevuto e digerito, lo lascio dove è con permessi a 644.

. protezione della directory /administrator...
vedi anche questo, meno codice prevede il sistema più e sicuro: [link]http://forum.joomla.it/index.php/topic,90885.msg397946.html[/link]

sto usando un classico:
AuthType        Basic
AuthName        "Accesso riservato"
AuthUserFile    /etc/blabla/blablabla/htpasswd
require user    misterX

. chmod di directory ...
ok, ma ricordati, che serve solo a non commettere errori di programmazione, NON ha alcuna funzione di protezione se non abbinato ad un chown

allora, se ho capito bene, la mia situazione attuale è questa:
utente FTP fa un po' quelo che gli pare sulle directory del suo spazio web
utente apache (joomla) non fa niente su directory in cui non ha permesso di scrittura (es. 755)

Di fatto, da dentro joomla, non riesco neanche ad uploadare una immagine in /images.

Questo non è un problema nei siti dove non ho degli utenti che si loggano nel backend in quanto le modifiche le faccio sempre in locale, comprese le installazioni, verifico il tutto e poi uppo e aggiorno il db online.

caso inverso invece in quei siti dove ho degli admin lato back office, lascio a 775 le directory /images, /dmdocuments e /quellochemiservenelcaso.

tutto il resto è impostato a 755.

. back up
è sempre cosa buona e saggia

oh yeah, dovrebbe essere la prima pietra basilare di chiunque si dedichi all'informatica.

sono riuscito ad oggi ad impostare i backup automatici dei DB, e manuali dei file che mi serve salvare.

. virtuemart assolutamente datato...
verifica che non ci siano problemi di sicurezza nelle note, se no riscrivi le modifiche, il codice del nuovo virtuemart è sicuramente più leggibile di quello per Joomla! 1 ed un upgrade non fa mai male.

forse questo lo bypasso, lo usavano solo come catalogo e anche male, credo mi rivolgerò ad altri componenti, magari più leggeri e senza tante funzioni da portarsi appresso.

grazie ancora.

ale

48

Sicurezza / Re:Strategie di Sicurezza di base - considerazioni

« il: 31 Dic 2009, 16:31:36 »

Innanzitutto grazie per le risposte, in joomla mi sento un novellino e quindi cerco di non fare troppe castronerie.

non ho capito se gli attuali proprietari dei siti potrannno accedere tramite ftp / o web (all'amministrazione)

allora in 1 caso accedono via FTP
in 3 casi via web administrator
sto pensando di iniziare a installare un componente per permettere ACL.
in nessun caso possono loggare da front end

hosting (non hosto direttamente)

1) accesso FTP a directory madre della public_html dove spostare il file di configuration.php
. non ho capito che intendi

mi sono spiegato come un cane. Ho letto ma devo rileggere, di poter spostare il file configuration.php in una directory "fuori" dallo spazio web, e poi includerlo

es. /etc/qualchecosa/configuration.php NON raggiungibile direttamente da web.

2) protezione della directory /administrator tramite .htaccess che setti un utente/psw
. puoi farlo, basta che la password non sia banale, e che l'utente non sia admin
tipicamente i problemi nascono da moduli e componenti scritti con i piedi, raramente da un accesso al back end: forse è meglio se setti pws complesse e ti concentri sul front end.

per le psw ok, diciamo che mediamente le mie sono di 10-15 caratteri, ovviamente .htpasswd NON è in /administrator.

3) protezione dell'url del pannello di controllo di Joomla tramite JSecure
. non conosco jsecure, leggendo velocemente mi pare che non debba avere conflitti, a meno che non usi l'autenticazione http.
mio pensiero: Security through obscurity is not Security anche perchè è scritto da tutte le parti che è Joomla!, non sarà certo nascondere il back end che non lo farà capire...

no, certo, è solo per impedire un facile accesso ad /administrator nel caso venga recuperata una delle psw tramite qualche componente fallato (questo insieme ad .htaccess).

4) chmod di directory a 750 e files a 640
ARGH! non limiti in alcun modo né php né ftp, ma corri il rischio di bloccare altri processi quali backup et cetera...  se non hai un accesso da shell non modificare i permessi, a meno che non siano 777! (in genere non modificare i permessi se non sai come funzionano esattamente, ovvero se non sei pratico di *nix)

si, cancella tutto, ho detto una caxxata. le directory verranno settate a 755 e files a 644, tranne nel caso di:
- images 775
- dmdocuments (Docman) 775
- cache (che pensavo però di non usare) 775
- tmp 775
- eventuali altre directory necessarie per determinati componenti. 775


comunque con oggi ho finito di cancellare tutti i vecchi utenti administrator e sostituirli con nuovi (due administrator per sito nel caso ne venga bloccato uno), ed ho iniziato il processo di gestione dei back up sia manuali che semiautomatici.

Sto pensando di estendere il contratto con l'hosting per prevedere un bkup da parte sua sia di files che di DB il tutto giornaliero ma devo ancora vedere quanto mi chiederà.

Per quanto riguarda i componenti installati ho visto che mediamente essi sono:
- docman
- jevents
- acajoom

in vari stadi delle varie releases.

in un caso ho un virtuemart assolutamente datato ma con modifiche al core e quindi lì devo vedere come migrare (consigli?).

altre cose "volanti" per incrementare la sicurezza ora non me ne vengono, ma sicuramente tornerò con altre domande più avanti.

ale

49

Sicurezza / Strategie di Sicurezza di base - considerazioni

« il: 28 Dic 2009, 16:06:06 »

Ciao a tutti,

mi trovo di punto in bianco a dover gestire vari domini con svariatissime versioni di Joomla (dalla 1.0.12 alla 1.5.15 con moltissime versioni intermedie, praticamente quasi tutte) e con tantissimi moduli e componenti di terze parti anch'essi in varie situazioni di vulnerabilità.

Oltre ad un approccio migratorio verso la ultima release sia del CMS che dei componenti, che porterà via, però, un po' di tempo (23 domini), stavo pensando ad altre soluzioni più rapide e parzialmente tutelative e ne ho piacere di discuterne con voi per trovare conforto e consiglio o anche "bacchettate" nel caso stia scrivendo delle stupidaggini:

numero le azioni che vorrei intraprendere per permettere risposte anche a singoli punti.

lato hosting (non hosto direttamente)
parte veloce
1) accesso FTP a directory madre della public_html dove spostare il file di configuration.php
2) protezione della directory /administrator tramite .htaccess che setti un utente/psw
3) protezione dell'url del pannello di controllo di Joomla tramite JSecure (domanda: cozza con la protezione tramite .htaccess?)
4) chmod di directory a 750 e files a 640 (tutto per adesso, poi vedo cosa sbloccare per permettere un minimo di interazione lato backoffice)
5) cambio di tutte le psw e le utenze di Administrator, di FTP, di DB (attualmente si accede a tutti i domini, spazi FTP e DB con stesso utente/psw, credo vecchio di qualche anno)

lato CMS (amministro direttamente)
parte lenta
- check di tutto quello che è stato installato
- disinstallazione di tutto quello che non è utilizzato
- verifica con i files .XML dei componenti l'effettiva disinstallazione sia di files che di DB
- migrazione dei componenti
- migrazione dei CMS

altro al momento non mi viene in mente, voi cosa ne pensate/suggerite?

grazie a chi ha avuto pazienza di leggere e magari darmi qualche suggerimento.

ale

50

Joomla! 1.5 / Re:DOwnload di documenti con modalità di pubblicazione a tempo

« il: 02 Nov 2009, 22:25:01 »

nessuna segnalazione di qualche componente in particolare?

51

Joomla! 1.5 / DOwnload di documenti con modalità di pubblicazione a tempo

« il: 02 Nov 2009, 13:20:52 »

Buon giorno a tutti,

sto cercando un componente che mi permetta di gestire un'area download per files e che contestualmente si possa configurare un tot tempo di pubblicazione dei files stessi.

Docman non lo fa e remository, sebbene preveda l'opzione, non lo fa lo stesso, nel senso che non è ancora una funzione implementata/funzionante.

Sapete se per caso esistono altri componenti con gestione download che permettano la pubblicazione temporale dei files da scaricare?

ale

52

Gestione e-commerce / Bankpass ma senza VM

« il: 17 Mar 2009, 14:11:54 »

Buongiorno a tutti.

Ho l'esigenza di implementare un pagamento tramite bankpass su di un sito di un hotel per il versamento di una caparra.

Leggendo il forum ho visto che forse esiste qualcosa ma che funziona solo sotto VirtueMart.

A me servirebbe semplicemente un qualcosa che prenda i dati da una form creata da me (con qualsiasi metodo) e li passasse a bankpass. Sapete se esiste già pronto qualcosa di simile? e che non sia obbligatorio installare Vm?

ale

53

Joomla! 1.5 / Re: problema upload immagini ed editor wyswyg

« il: 18 Apr 2008, 09:20:13 »

Ciao, i permessi della cartella images e le sottocartelle le ho messe tutte a 777, quando inzia la procedura di upload la esegue normalmente, la barra di avanzamento scorre indicando la percentuale, alla fine non restituisce nessun errore è come se l'upload fosse avvenuto in maniera regolare, solo che nella cartella non c'è traccia dell'immagine!
Pls help

[AGGIORNAMENTO]

ho provato a disabilitare l'upload in flash
(configurazione -> sistema -> abilita il caricatore flash --> NO)

e per adesso sembra funzionare, certo non è definitivo..

ale

54

Joomla! 1.5 / Re: problema upload immagini ed editor wyswyg

« il: 17 Apr 2008, 17:29:04 »

Ciao, i permessi della cartella images e le sottocartelle le ho messe tutte a 777, quando inzia la procedura di upload la esegue normalmente, la barra di avanzamento scorre indicando la percentuale, alla fine non restituisce nessun errore è come se l'upload fosse avvenuto in maniera regolare, solo che nella cartella non c'è traccia dell'immagine!
Pls help

mi succede esattamente la stessa identica cosa, barra di upload verde e nessun messaggio di errore ma neanche nessuna immagine uppata... qualcuno ha idea da che cosa possa dipendere? (stesso hosting con joomla 1.0.x tutto funza correttamente)

ale