Back to top

Autore Topic: Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?  (Letto 2396 volte)

Offline FlowArt st

  • Esploratore
  • **
  • Post: 88
  • Sesso: Femmina
  • <3
    • Mostra profilo
A seguito di un penetration test, mi hanno riferito che serve ch'io disabiliti il link dell'administrator. Ora, per esser chiari, loro intendono che la URL www.miosito.it/administrator non debba essere raggiungibile dal pubblico (ma solo qualcuno che si fa venire un dubbio sull'uso del CMS, andrà ad aggiungere "administrator" alla fine della stringa, perché non ho assolutamente messo link sul sito in questione che riconducano, appunto, all'area di login dell'amministrazione.
Chiarito questo punto (solo con voi, che quelli mica mi capiscono, quando parlo!!), mi chiedevo: È possibile fare in modo che non si possa raggiungere quella URL?  ???
Io ho i miei dubbi...

Offline luketto

  • Abituale
  • ****
  • Post: 1133
  • Sesso: Maschio
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #1 il: 16 Feb 2011, 17:53:34 »
forse, tramite .htaccess la potresti proteggere anche in http... ormai /administrator o /wp-login.php lo mettono tutti x capire quale piattaforma sia...
@LocoLuketto

mau_develop

  • Visitatore
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #2 il: 16 Feb 2011, 18:09:24 »
A seguito di un penetration test, mi hanno riferito che serve ch'io disabiliti il link dell'administrator.
-----------------------------------------------------------------------------------------------------------------------------------

solo due domande, dopo ti dico meglio....

1) chi ha eseguito il test, ovvero che qualifiche o esperienza ha per farlo

2) visto che serve che tu disabiliti il link ti sapranno anche spiegare perchè serve questa cosa,... ma no alla "facciamo felice il parroco" una relazione che dimostri che quello è un punto vulnerabile.

... il resto ... giochi da bimbi...

M.

Offline FlowArt st

  • Esploratore
  • **
  • Post: 88
  • Sesso: Femmina
  • <3
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #3 il: 16 Feb 2011, 18:16:30 »
Il sito cui mi riferisco, è il Geoportale della Provincia di Lecco.
Chi ha eseguito il penetration test è il responsabile alla sicurezza del geoportale in quel di Lecco, quindi se è possibile disabilitare o rendere difficoltoso il raggiungimento della URL d'accesso al beck-end, lo faccio molto volentieri. Evidentemente per loro (parlo al plurale, riferendomi ai signori di Lecco) con la visualizzazione della pagina di login, potrebbe apparire come un sito "debole".
Visto che mi hanno già pagato, mi costa poco fare questa piccola modifica.
Chiaro che se poi non sono felici, io non mi prendo responsabilità di nessun genere!!

mau_develop

  • Visitatore
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #4 il: 16 Feb 2011, 18:28:01 »
trovi vari tutorial in rete
http://www.joomlahackers.net/joomla-tutorials/change-joomla-admin-name-or-path.html

e altrettanti esperimenti su questo sito.

comunque sarebbe interessante sapere il perchè... illuminerebbe l'intera comunità di Joomla e anche i poveri sviluppatori, così sprovveduti da lasciare queste vulnerabilità... ma magari loro non usano Acunxxx come i veri esperti...

polemico?... si ...parecchio! ... ma son problemi miei :)

M.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #5 il: 16 Feb 2011, 18:29:51 »
si può fare con le tante estensioni per la sicurezza  (sicurezza che prima o poi lo stesso admin sfascia tutto o non entra più  :) :) )

ma dovresti farti una idea di cosa vogliono con precisione,  vogliono una ulteriore stringa di sicurezza?  vogliono un lucchetto che si rimuove solo via ftp? vogliono un accesso per determinati ip  e basta? 
insomma  come ogni progetto prima occorre avere le idee chiare, poi basta cercare su www.joomla.org qualche estensione oppure a saperlo fare scrivere qualche riga di codice, ma dove?
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline FlowArt st

  • Esploratore
  • **
  • Post: 88
  • Sesso: Femmina
  • <3
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #6 il: 16 Feb 2011, 18:37:38 »
trovi vari tutorial in rete
http://www.joomlahackers.net/joomla-tutorials/change-joomla-admin-name-or-path.html

e altrettanti esperimenti su questo sito.

comunque sarebbe interessante sapere il perchè... illuminerebbe l'intera comunità di Joomla e anche i poveri sviluppatori, così sprovveduti da lasciare queste vulnerabilità... ma magari loro non usano Acunxxx come i veri esperti...

polemico?... si ...parecchio! ... ma son problemi miei :)

M.

Personalmente non me lo chiedo più e non mi interessa nemmeno più riuscire a capire cosa passa nel loro cervello
Tanto mi hanno fatto delle richieste così ASSURDE che, se potevo fargliele, gliele facevo ed amen
È inutile combattere contro i mulini a vento, no?

adottauncane

  • Visitatore
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #7 il: 16 Feb 2011, 18:39:19 »
So che a mau_develop non piacerà... e nemmeno a 56francesco,  ;)
ma se il problema è solo che se si aggiunge /administrator non si veda la form, può esserti utile questo:
http://extensions.joomla.org/extensions/access-a-security/site-security/login-protection/13919

non serve a nulla, ma credo li renderà felici.

Offline maicolstaip

  • Global Moderator
  • Instancabile
  • ********
  • Post: 17623
  • Sesso: Maschio
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #8 il: 16 Feb 2011, 18:42:21 »
Ciao  FlowArt st,
in ogni caso gli eventuali attacchi mica li fanno da
/administrator
ma usano sistemi un po' più sofisticati o sfruttano vulnerabilità di estensioni scritte male o non aggiornate.
Ma se lo dice il responsabile alla sicurezza del geoportale  ;)

Comunque seguirei il consiglio di Francesco, chiedendo prima ai responsabili cosa vogliono.

EDIT: anche il suggerimento di adottauncane non è mica male  ;)
« Ultima modifica: 16 Feb 2011, 18:46:07 da maicolstaip »
Non si risponde a PM tecnici. Postate sul forum. Grazie.

mau_develop

  • Visitatore
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #9 il: 16 Feb 2011, 18:47:46 »
È inutile combattere contro i mulini a vento, no?
----------------------------------------------------------------
no no ...i mulini a vento anche a testate prima o poi cadono, quello che è difficile è riuscire a farsi spiegare e capire delle cose che l'interlocutore non sa spiegare.
Non ce l'ho assolutamente con te è che qs cose mi fanno girare le scatole perchè non hanno alla base nulla.
se ci fosse saprebbe quanto è inutile quello che richiede, non solo, da esperto di sicurezza dovrebbe sapere che le modifiche sul codice non possono che influire negativamente su una cosa già ritenuta sicura.

@adottauncane
beh... scrivere si può scrivere di tutto :) ...che sia utile poi bisogna dimostrarlo

M.

adottauncane

  • Visitatore
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #10 il: 16 Feb 2011, 23:31:45 »
@adottauncane
beh... scrivere si può scrivere di tutto :) ...che sia utile poi bisogna dimostrarlo


Utile alla sicurezza no, ma se li facesse felici...  ;D

Offline FlowArt st

  • Esploratore
  • **
  • Post: 88
  • Sesso: Femmina
  • <3
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #11 il: 20 Feb 2011, 18:37:34 »
Sono finalmente riuscita a capire cosa vogliono da me
Dunque, il percorso all'amministraizone deve prendere... diversa strada
Ovvero: vogliono che io modifichi la URL www.miosito.it/administrator ; a quanto pare ho la possibilità di scegliere e mettere quel che mi pare, ma personalmente non so come fare.
Chi ha la capacità / pazienza di aiutarmi? :)

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
Re:Mi chiedono: "Disabilitami il link dell'Admin", ma si può fare?
« Risposta #12 il: 20 Feb 2011, 19:03:09 »
Citazione
a quanto pare ho la possibilità di scegliere e mettere quel che mi pare,

questo lo dicono loro, ma non joomla,  ora joomla devi sapere che è un software tradotto in quasi tutte le lingue del pianeta e che gira su miliardi di server in quel modo li,  i tuoi capi invece chi sarebbero?
 :D :D

a parte gli scherzi,  prova con qualche plugin che trovi qui  ma prima fai le copie, e poi fai le copie, e ricordati dove le metti le copie

http://extensions.joomla.org/extensions/access-a-security

ps
dimenticavo: fai le copie prima e mettile al sicuro 
pps
fai le copie prima e non lasciare le copie nel server
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

Offline 56francesco

  • Fuori controllo
  • *
  • Post: 29585
  • Sesso: Maschio
    • Mostra profilo
(uso XP perchè win98 non si installa) 
PS: non sono un dipendente dello sbonzor quindi è necessario un "per favore" alla richiesta e un "grazie" alla risposta, sempre! PPS: non scrivo mai per primo in MP, in caso contrario chiedimi una conferma, Grazie.

 



Web Design Bolzano Kreatif