Salve a tutti,
Alcuni giorni fa io ed un mio collega abbiamo iniziato a sviluppare un sito Joomla su un server web linux.
Lo spazio su questo server è stato creato e viene ora gestito da una persona la quale pur non essendo il cliente finale e dovrebbe fungere solo da figura "ausiliaria" al progetto per ora non ha ancora (implicitamente) voluto concederci i permessi di amministrazione dello spazio in questione.
Nonostante ciò abbiamo iniziato a lavorare e riscontrato sin da subito numerosi problemi tra cui una configurazione errata del PHP.ini, un blocco directory impostato per il sito Offline quando esiste la funzionalità Core di Joomla e ora problemi di
caricamento FTP e installazione componenti/template etc... siccome tale persona ha impostato i permessi di default FTP a 755.
Per poter inserire i file manualmente da ftp e modificare almeno i css abbiamo chiesto al soggetto in questione di settare gli appositi permessi SOLO per la cartella di Joomla.
La sua risposta è stata la seguente:
La soluzione che proponete, cioè rendere leggibile, scrivibile ed
eseguibile qualsiasi file presente sullo spazio web a chiunque
comporta gravissimi rischi per la sicurezza per qualsiasi spazio web
ed è anche chiaramente sbagliata.
Per ovviare al problema che mi hai segnalato ho abilitato in apache
per la cartella il modulo mod_suexec, che permette al server apache di
scrivere in una cartella di cui non è proprietario.
Inoltre ho notato che hai impostato per tutti i file e cartelle i
permessi a 777, cosa che ripropone l'elevato rischio descritto sopra.
Questo come ho già scritto è sbaglio, per cui ho ripristinato i
permessi a 755 che è la situazione standard utilizzata in qualsiasi
server web linux.
Ora tutta sta papela per chiedervi cosa....
Secondo voi è giusto ciò che dice questa persona in materia di sicurezza?
Ed è plausibile tutta questa preoccupazione in fase di sviluppo quasi embrionale?
O potrebbe essere solo un modo per metterci i bastoni fra le ruote?
