Joomla non è sicuro

[Fulvio B.]

ragazzi, insieme ad un amico stiamo pensando di migrare un sito in Joomla ma il sistemista che gestirà il web server mi ha risposto così:

Riguardo alle sue richieste, mi permetto di fare un appunto sull’utilizzo di “joomla”, il nostro tecnico evidenzia che l’applicativo è conosciuto come suscettibile di violazione di sicurezza a causa della sua riconoscibilità tramite icone e/o riferimenti  interni alle pagine esposte, per cui da evitare.

Mi aiutate a capire cosa sta dicendo?
Le icone di joomla sono pericolose??? 

[sudoku]

Infatti tutti sono pirla e usano joomla! solo per farsi bucare il sito....Provvederei a cambiare tecnico invece che cambiare software....

[vamba]

Quella è una sua opinione, quindi non una certezza.
Ovvio è che Joomla, come tutte le applicazioni create per il web, sono soggette a possibili intrusioni.
- Può essere colpa del codice
- Può essere colpa delle impostazioni server
- Può essere anche colpa dell'utente stesso che lascia aperte delle finestre dopo aver chiuso a chiave la porta e attivato qualsiasi forma di allarme.

Ma dire a priori che questa o quella applicazione è più sicura di un'altra è come affermare che uno vivrà in eterno.

[mmleoni]

visto che sono sistemista anch'io...

tutti i cms sono facilmente riconoscibili, ma sappi che quasi totalità degli attacchi avviene alla cieca, quindi il fatto che sia riconosciuto o meno non cambia. conta molto il fatto che sia aggiornato e che siano installate solo estensioni note e sicure, poi ognuno ha le sue pecche.

sul security through obscurity poi il discorso sarebbe lungo....

ciao,
marco

[mau_develop]

il nostro tecnico evidenzia
-----------------------------------

...quindi il tecnico cosa suggerisce?

il tecnico dovrebbe sapere che un server ha gli stessi problemi di joomla, è riconoscbile dagli header, dalla risposta agli errori provocati,... l' enumeration e del fingerprint è la prima cosa che solitamente si fa.
Inoltre se il tecnico visitasse strumenti online come robtex si renderebbe conto che persino gli schemi della sua rete non sono così nascosti.

...è un'errore che faccio spesso anch'io quello di aprir bocca troppo presto e riuscire a dimostrare più la mia stupidità che la mia intelligenza.

M.

[Fulvio B.]

grazie Ragazzi, ora SISTEMO il sistemista...

un saluto
Fulvio

[dna]

...mi sa anche a me che ti conviene cambiare sistemista...

[t3cnoSite]

ragazzi, insieme ad un amico stiamo pensando di migrare un sito in Joomla ma il sistemista che gestirà il web server mi ha risposto così:

Mi aiutate a capire cosa sta dicendo?
Le icone di joomla sono pericolose??? 

In informatica non esiste niente che sia sicuro al 100%.

Piuttosto, il sistemista, che ti ha risposto così, potrebbe avere ragione solo in caso tu stia trattando dati molto sensibili, del tipo, il sito serve per gestire i dati di una banca? oppure di un ministero? o cose den genere.
Se invece il sito non riguarda dati così sensibili come la gestione di soldi, di dati di carte di credito etc.
il tuo sistemista "ci ha provato".
Non ti devi preoccupare della sicurezza in questo caso, piuttosto devi preoccuparti di fare backup dei file e del db  affinchè in caso ti buchino il sito puoi faciolmente ed in poco tempo rimetterlo su.
LE operazioni di backup tra l'altro sono molto poco costose (ci sono estensioni che ti inviano per email una copia del db quotidianamente, etc.)

[mmleoni]

Non ti devi preoccupare della sicurezza in questo caso, piuttosto devi preoccuparti di fare backup dei file

 
cortesemente specificare meglio od evitare asserzioni del genere, grazie.

la sicurezza non è mai un qualcosa di  cui non preoccuparsi, ed i timori dei sistemisti di fronte ad indicazioni del genere sono da me ben comprese e condivise.

ciao,
marco

[vamba]

la sicurezza non è mai un qualcosa di  cui non preoccuparsi, ed i timori dei sistemisti di fronte ad indicazioni del genere sono da me ben comprese e condivise.

Concordo

[t3cnoSite]

cortesemente specificare meglio od evitare asserzioni del genere, grazie.

la sicurezza non è mai un qualcosa di  cui non preoccuparsi, ed i timori dei sistemisti di fronte ad indicazioni del genere sono da me ben comprese e condivise.

ciao,
marco

Ho scritto una affermazione un po vaga, l'ammetto, ma ho ben specificato le variabili in base alle quali chi ha aperto questo topic dovrebbe ragionare.

[mau_develop]

i timori dei sistemisti di fronte ad indicazioni del genere sono da me ben comprese e condivise.
--------------------------------------------
  per l'amor diddio! ..infatti il mio non era un giudizio sulla sicurezza o sulle capacità del sys, era un appunto sulla caxata che ha detto... probabilmente proprio per giustificare una paura, ovvero... nulla di concreto e nulla che tu puoi spiegare a un cliente se non dicendo queste scemenze ... però molti ci credono

M.

[t3cnoSite]

i timori dei sistemisti di fronte ad indicazioni del genere sono da me ben comprese e condivise.
--------------------------------------------
  per l'amor diddio! ..infatti il mio non era un giudizio sulla sicurezza o sulle capacità del sys, era un appunto sulla caxata che ha detto... probabilmente proprio per giustificare una paura, ovvero... nulla di concreto e nulla che tu puoi spiegare a un cliente se non dicendo queste scemenze ... però molti ci credono

M.

Mi permetto di appuntare che non è totalmente una scemenza ciò che è stato detto dal sistemista.

Ci sono alcuni casi in cui quella frase può rilevarsi assolutamente vera.
Certamente per un hacker sapere che tipo di CMS è la prossima vittima  semplifica estremamente il suo lavoro. Gli è più facile fare un attacco.

Ripeto, se Fulvio B. specificasse che dati tratta il sito in questione probabilmente potremmo rispondere meno vagamente.

[mau_develop]

io sono convinto che tu ce la metti tutta e sono io che mi spiego male:

non può difendersi dicendo che joomla è facilmente identificabile quando il suo server lo è molto di più.
Poi joomla è 1 applicazione e ci sono solo due o tre modi di violarla , sul suo server ci sono n servizi e quindi n possibilità in più di passare, e di trovare tutto comodamente in rete.

Ha detto una caxata... punto.

M.

[t3cnoSite]

io sono convinto che tu ce la metti tutta e sono io che mi spiego male:

non può difendersi dicendo che joomla è facilmente identificabile quando il suo server lo è molto di più.
Poi joomla è 1 applicazione e ci sono solo due o tre modi di violarla , sul suo server ci sono n servizi e quindi n possibilità in più di passare, e di trovare tutto comodamente in rete.

Ha detto una caxata... punto.

M.

- i server si contano sulle dita di una mano, non ci vuole molto a identificarli; esistono modi anche facilissimi per identificare il server, ma il server può essere tranquillamente impostato in modo che l'identificazione che da di se stesso non corrisponda alla verità
- i modi per bucare joomla ci sono eccome. Non è detto che siano due o tre, a volte basta una semplice estensione non sviluppata benissimo che si può bucare il sito. Quindi potrebbero essere anche di più di due o tre
- la sicurezza del server è molto più curata rispetto alla sicurezza di estensioni sviluppate da un qualsiasi pinkopallino
-

Ha detto una cazzata? Dipende. Punto.

[jeckodevelopment]

evitiamo polemiche cortesemente.
Se la discussione dev'essere costruttiva continuate pure, ma fate in modo che i toni restino sempre abbastanza pacati.

[mau_develop]

toni restino sempre abbastanza pacati.
-----------------------------------------------------
...no problem.. chiamala pure "tesi animata"

ma nn continuo per molto, perchè tanto mi sto ripetendo...

ma il server può essere tranquillamente impostato in modo che l'identificazione che da di se stesso non corrisponda alla verità
---------------------------------------------------------------------------------------------------------------------------------
dicevo sopra ".....e del fingerprint è la prima cosa che solitamente si fa" ....  uno si può pure travestire da donna o da uomo ma se gli dai una pedata in quel posto chi urla più forte è l'uomo... questo è il fingerprint

- i modi per bucare joomla ci sono eccome. Non è detto che siano due o tre, a volte basta una semplice estensione non sviluppata benissimo che si può bucare il sito.
-----------------------------------------------------------------------------------------------------------------
non aumentano con l'aumentare di chi scrive estensioni, se ti scarichi il plugin di mmleoni capisci cosa voglio dire

la sicurezza del server è molto più curata rispetto alla sicurezza di estensioni sviluppate da un qualsiasi pinkopallino
------------------------------------------------------------------------------------------------------------------------------------------
http://www.spazioalchimia.it/laboratorio-di-sperimentazione/3-ce-sempre-un-perche/87-vulnerabilita-hosting-condivisi

...nessuno escluso.

M.

[Fulvio B.]

per rispondere alla domanda "di che sito stiamo parlando"
vi informo che il sito sarà quello di un'associazione e che quindi non tratta nessun dato sensibile ma semplicemente avrà contenuti puramente informativi.

Un normalissimo sito insomma tutto qui.

Vi ringrazio molto per tutte le risposte che mi avete dato ed, infatti, il sistemista è già bel che sistemato 
 
Grazie ancora a tutti!
Fulvio

[mau_develop]

visto che avete un dialogo con chi ospiterà l'applicazione, stabilite con chiarezza chi fa cosa e quando riguardo i vari backup.

M.