Super Administrator

[spax83]

Salve a tutti!! Vi scrivo perchè sono rimasto molto colpito dalla poca sicurezza che può avere joomla 1.5...
Un amico per il quale ho fatto un sito (web giornale, joomla 1.5.25) ha dato, credo, le credenziali del sito di hosting, e penso anche quello del mysql.
Ora io avevo impostato in joomla un account utente con dei permessi limitati (tramite il componente community acl).
Nella divulgazione delle credenziali, come scritto sopra, ho scoperto che un terzo ha creato un account di super amministratore del sito.
Dato che avevo disabilitato la registrazione degli utenti, e dato che ho messo community acl ed bloccato l'id 62.
Ora mi spiegate come sia stato possibile?? Penso solo tramite il pannello mysql... E come posso ripararmi da eventuali attacchi al mio account di super amministratore?? POsso bloccare la creazione di account di super amministratore o far diventare il mio invisibile??


Spero che qualcuno possa aiutarmi. Anche se credo che questa sia una grossa falla di joomla e spero che per questo problema non debba abbandonarlo definitivamente!!

[mau_develop]

ha dato, credo, le credenziali del sito di hosting
Penso solo tramite il pannello mysql...
Anche se credo che questa sia una grossa

... ma stai parlando di sicurezza o di religione? ... una sono dati l'altra parole e fede

 e spero che per questo problema non debba abbandonarlo definitivamente!!
---------------------------------------------------------------------------------------------------------
io spero di si invece... chi inizia disprezzando ciò che non conosce mi da sempre un po' fastidio

M.

comunque puoi provare ad usare versioni aggiornate, la .25 non lo è
... e mantenute, la 1.5 non lo è più

[spax83]

Credo che vedere nel tuo sito un altro super administrator, creato non si sa come ne quando, che avrebbe potuto tagliarti fuori dopo 2 anni di lavoro, credo che farebbe pensare un pò a tutti!!!


Ma il mondo è bello perchè è vario...


Cmq se a qualcuno interessa, ho tentato di risolvere la questione, per chi è interessato può contattarmi...

[frascan]

Ciao spax83,
in base a quello che dici emerge che non ci troviamo di fronte ad una falla di sicurezza.
Se uno mi fornisce le chiavi di casa e mi da libero accesso a casa sua non posso poi parlare di furto.
La procedura per aggiungere un account superadministrator mediante l'accesso diretto al database mysql è ampiamente documentata e nota. Ma servono le chiavi di accesso appunto. E mi pare che tali chiavi d'accesso siano state fornite dal legittimo proprietario e non siano state rubate. Comprendo la tua frustrazione di fronte a questo ma al tuo posto chiederei delucidazioni al tuo amico e non parlerei di falla di sicurezza.

[spax83]

Ciao frascan
Il tuo esempio è giusto (fra l'altro ho seguito il tuo consiglio), però rimane sempre l'incertezza...
In tutti i casi, io penso che potrebbe essere un problema risolvibile, semplicemente creando un id unico per l'account di super administrator (o cmq per un amministratore totale) che possa essere solo lui in cima alla scala dei livelli di autorizzazione.
Tutti gli altri saranno sotto. Magari è risolvibile creando un nuovo account tipo global administrator, associandogli un id univoco e non modificabile, neanche dal db, mantenendo sempre il super administrator con tutti i suoi principi.
Forse così chi crea il sito non si sente attaccato da eventuali disguidi...

[56francesco]

ehh già oramai nella mi personale  statistica stiamo agli estremi della certezza,  vicini al dogma.
I NUMERI PARLANO CHIARO
per fortuna che sempre più nuovi utenti ci aprono gli occhi sui mille bug ed errori e ora anche alla insicurezza vicina al favoreggiamento delle peggiori forme  di incertezza  (forse esistenziali)
per fortuna, grazie grazie grazie non ce ne eravamo mi accorti, grazie grazie.

ragazzi dichiariamo giumbad deceduto come da prove provate e passiamo ad altro.
grazie anche a te spax83 di cuore, fai come è giusto fare passa a wp o drupal che poi ti seguiamo anche noi..


 

[mau_develop]

un id univoco e non modificabile, neanche dal db
------------------------------------------------------------------


M.

[frascan]

Ciao spax83,
il tuo ragionamento non fa una piega 
Visto che lo sviluppo di joomla è aperto e collaborativo potresti metterti all'opera e realizzare questa preziosissima patch di sicurezza. Il devteam di joomla accetta di buon grado tutti i contributi che portano al miglioramento del CMS