Autore Topic: Domanda su Utente 62 (Letto 10230 volte)

niko_lg · « **il:** 23 Set 2010, 10:40:34 »

Nell'articolo "Cose da fare per prevenire che il tuo sito venga hackerato" leggo:

Bloccare l’utente 62.

Non sai cos'è l’utente 62? Per farla breve, quando installi Joomla! sul tuo sito, esso crea un account Super Administrator con un già noto username (admin) ed un altrettanto noto ID utente (62). Questa falla è stata utilizzata in passato dai crackers per ottenere l’accesso di Super Administrator ai siti ignari di questa problematica. La cosa migliore da fare è creare un nuovo utente Super Administrator e bloccare o retrocedere al livello Registered quello di default.

Dal momento che con l'utente 62 ho creato tantissimi articoli e vorrei rimanessero di proprietà dell'utente 62, vorrei sapere se retrocedendo al livello Author l'utente 62 rischio comunque qualcosa a livello di sicurezza

Grazie

alexred · « **Risposta #1 il:** 23 Set 2010, 10:44:14 »

ciao niko_lg,
perchè non vuoi retrocedere a normale utente registrato l'utente con ID 62?
Tutti gli articoli scritti precedentemente da quell'utente rimarranno visibili ed associati a tale utente.

niko_lg · « **Risposta #2 il:** 23 Set 2010, 10:52:03 »

Per necessità del mio sito, giornalmente devo modificare gli articoli scritti dall'ultente 62.

Se retrocedo l'utente 62 al livello Registered, devo scegliere un nuovo autore al momento della modifica articolo.
Questo non succede se retrocedo l'utente a livello Author o Editor

Nico

alexred · « **Risposta #3 il:** 23 Set 2010, 10:54:27 »

ma puoi modificare gli articoli scritti dall'ultente 62 con qualsiasi altro nuovo utente superamministratore che puoi creare.
Ed al momento della modifica potrai lasciare quegli articoli come scritti dall'utente 62

niko_lg · « **Risposta #4 il:** 23 Set 2010, 11:01:20 »

Citazione da: alexred - 23 Set 2010, 10:54:27

Ed al momento della modifica potrai lasciare quegli articoli come scritti dall'utente 62

Ho provato.... ma quando vado a modificare l'articolo, nella lista Author scompare il vecchio autore (utente 62), e nella lista a cascata (sulla destra dell'articolo) compaiono solamente gli utenti con priviledi dall'Author in su...

alexred · « **Risposta #5 il:** 23 Set 2010, 11:10:18 »

si, hai ragione, è come dici tu.
L'utente 62 deve essere almeno Author per poter mantenere i propri articoli se vengono modificati da altri.

niko_lg · « **Risposta #6 il:** 23 Set 2010, 11:15:09 »

Quindi un utente 62=Author può recare problemi a livello di sicurezza?

Mille grazie

taolo · « **Risposta #7 il:** 23 Set 2010, 11:32:48 »

Consiglio---> Sposta gli articoli ad altro utente e cancella il 62....

guido57 · « **Risposta #8 il:** 23 Set 2010, 11:35:49 »

Ho approfittato anch'io dei consigli, grazie mille!
Guido

taolo · « **Risposta #9 il:** 23 Set 2010, 11:42:02 »

Una letta a quest'articolo di recente pubblicazione è senza dubbio utile.
http://www.joomla.it/articoli-della-community/4487-cose-da-fare-per-prevenire-che-il-tuo-sito-venga-hackerato.html

alexred · « **Risposta #10 il:** 23 Set 2010, 11:53:08 »

Ciao Taolo,
l'utente ha giustamente aperto il suo post proprio dopo aver letto quell'articolo. Leggi il suo primo post.

alexred · « **Risposta #11 il:** 23 Set 2010, 11:59:53 »

abbiamo modificato il testo di quel paragrafo provando a renderlo più comprensibile:
"Non sai cos'è l’utente 62? Per farla breve, quando installi Joomla! sul tuo sito, esso crea un account Super Administrator con un già noto username (admin) ed un altrettanto noto ID utente (62). Questa falla è stata utilizzata in passato dai crackers per ottenere l’accesso di Super Administrator ai siti ignari di questa problematica. La cosa migliore da fare è creare un nuovo utente Super Administrator, effettuare il logout, effettuare il login con il nuovo utente Super Amministratore e retrocedere al livello Registered il vecchio Super Administrator con id 62."

abbiamo tolto anche la parte dove diceva di bloccare l'utente, non saprei cosa voleva dire l'autore, forse intendeva spubblicare l'utente, ma non è possibile spubblicare un superadmin.

taolo · « **Risposta #12 il:** 23 Set 2010, 12:04:47 »

opss... chiedo venia. Ho raggiunto questa discussione da ultimi post inseriti e mi era scappata l'inizio discussione.

niko_lg · « **Risposta #13 il:** 23 Set 2010, 12:39:11 »

Saluzione parzialmente* trovata :

1) Creare nuovo utente amministratore
2) Declassare a Registered l'utente 62 (vecchio utente amministratore)
3) Per riassegnare tutti gli articoli scritti al nuovo amministratore o ad un qualsiasi utente, come suggerito nel post (link) inserire tramite phpmyadmin la query:

UPDATE `new_content` SET `created_by` = 100 WHERE `created_by` = 62

100 = id nuovo amministratore o utente a cui assegnare gli articoli
62 = id vecchio amministratore

a questo punto cancellare l'id 62

*sul mio sito utilizzo un sistema che assegna un punteggio per ogni articolo scritto, riassegnando gli articoli il punteggio viene resettato!

alexred · « **Risposta #14 il:** 23 Set 2010, 13:32:27 »

credo che tu abbia sbagliato ad indicare di creare un nuovo amministratore, ma deve essere creato un nuovo superamministratore.

Poi credo sia da specificare cosa sia il new nella parte "new_content" della stringa che hai indicato.

mau_develop · « **Risposta #15 il:** 23 Set 2010, 13:46:14 »

100 = id nuovo amministratore o utente a cui assegnare gli articoli
62 = id vecchio amministratore
---------------------------------------------------------------------------------------------------

se quel 100 lo prendono come uno "standard" diventa inutile, forse è meglio non indicare un numero...imo.

M.

niko_lg · « **Risposta #16 il:** 23 Set 2010, 14:08:34 »

avete ragione, quindi ricapitolando:

UPDATE `new_content` SET `created_by` = xxx WHERE `created_by` = 62

Id 62 = id utente superamministratore
Id xxx = id nuovo utente superamministratore (o id utente a cui assegnare la proprietà degli articoli)
new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)

mau_develop · « **Risposta #17 il:** 23 Set 2010, 14:17:23 »

new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)
----------------------------------------------------------
...ricordarsi di cambiarlo sia nel db che nel configuration.php

M.

alexred · « **Risposta #18 il:** 23 Set 2010, 14:30:37 »

ciao mau_develop,
non credo ci sia da cambiare il prefisso nel configuration.php, perchè credi sia da cambiare?

Se un utente ha messo aaa come prefisso, se vuole fare la procedura che ha indicato niko_lg lo sostituirà al prefisso new_ nel comando per il database e così tutti gli articoli precedentemente associati all'utente 62 passeranno al nuovo utente.

jeckodevelopment · « **Risposta #19 il:** 23 Set 2010, 14:52:03 »

secondo me tutta questa discussione presenta un po' di confusione.
Ognuno di voi ha detto delle cose giuste ed utilissime, ma si è creata confusione nell'esposizione.

Per cambiare il proprietario degli articoli eseguire una query analoga alla seguente in phpmyadmin:

Codice: [Seleziona]

UPDATE `new_content` SET `created_by` = xxx WHERE `created_by` = 62
Id 62 = id utente superamministratore, è quello predefinito durante l'installazione di Joomla
Id xxx = id nuovo utente superamministratore (o id utente a cui assegnare la proprietà degli articoli)
new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)

Chi ancora utilizzasse il prefisso "jos_" per le tabelle della propria installazione di Joomla, dovrebbe effettuare la modifica verso un nuovo prefisso sia in phpmyadmin sia nel configuration.php