Aggiornamento a 3.9.3

[claude]

Salve,
dopo l'aggiornamento odierno alla versione 3.9.3 appare il seguente messaggio:

"Da Joomla 3.9.3, Joomla ha delle restrizioni aggiuntive di sicurezza nell'htaccess.txt predefinito e nel web.config.txt. Queste restrizioni disabilitano il cosiddetto sniffing del MIME-type nei browsers. Lo sniffing porta a specifici vettori di attacco, dove verranno eseguiti script in formati di file normalmente innocui (es. immagini), portando a vulnerabilità Cross-Site-Scripting. I team di sicurezza raccomandano di applicare manualmente le modifiche necessarie ai file .htaccess o web.config esistenti, poichè questi file non possono essere aggiornati automaticamente".

A questo messaggio seguono alcune linee da aggiungere al file .htaccess:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff"</IfModule>,

solo che, dopo averle inserite e ricaricate sul sito, questo va in errore "500 Internal Server Error", per cui ho dovuto ripristinare la versione precedente del file .htaccess.

A questo punto cosa suggerite di fare?

Grazie e saluti

Claude

[jeckodevelopment]

Ciao!
Esattamente quanto suggerito nel messaggio post-installazione ed in questo articolo: https://www.joomla.it/blog/8987-migliorare-la-sicurezza-di-joomla-3-9-3-agendo-su-htaccess.html

[claude]

Ciao e grazie per la risposta ma mi sembra anche di avere detto che, dopo la modifica, il sito non era più raggiungibile. La modifica è semplice, ho inserito le linee nel punto indicato, ossia prima di "Mod_rewrite in use", e non credo di aver potuto sbagliare qualcosa.

[jeckodevelopment]

se rimuovi quelle linee il sito funziona normalmente?
potrebbe essere un problema legato all'hosting, ma generalmente dovrebbe funzionare.
Hai il mod_rewrite attivo?
Su alcuni hosting, quando attivi il mod_rewrite devi commentare la riga

+Options FollowSymLinks

[claude]

Ho il mod_rewrite attivo e il commento valido

[balaban]

Buonasera, io ho risolto in questo modo,
condivido due link spero che si può, visto che non riesco a condividere scrivo qui:

Nei diversi nodi web e' stata applicata un'impostazione di sicurezza dove nei file .htaccess viene negato l'utilizzo della direttiva FOLLOWSYMLINKS al posto della piu' sicura SYMLINKSIFOWNERMATCH.

Abbiamo riscontrato che questa nuova impostazione di sicurezza va in conflitto con la caratteristica "URL SEMPLIFICATI" di Drupal (o comunque dell'uso della direttiva FOLLOWSYMLINKS) causando alcuni malfunzionamenti o il blocco della visualizzazione del sito.

E' quindi necessario modificare il file ".htaccess", commentando l'istruzione FOLLOWSYMLINKS, anteponendo un cancelletto davanti ad essa, come segue:


...
...
# Options +FollowSymLinks
...
...
ed inserento la direttiva SYMLINKSIFOWNERMATCH:

...
...
Options +SymLinksIfOwnerMatch
# Options +FollowSymLinks
...
...
(i tre puntini sono esemplificativi di eventuali altre direttive presenti nel file .htaccess).

Abbiamo scritto alla Community di Drupal, segnalando il problema di sicurezza che comporta FOLLOWSYMLINKS negli hosting condivisi e proponendo il supporto a SYMLINKSIFOWNERMATCH.

Speriamo vivamente che questo problema venga risolto, visto che tutti i provider che offrono l'hosting condiviso e permettono il FOLLOWSYMLINKS hanno una falla di sicurezza enorme.


altro punto:
Ricordiamo di inserire sempre la direttiva:
RewriteBase /

dove / e' il path del file .htaccess; pertanto se il file .htaccess si trova nella sottocartella demo dovra' essere:
RewriteBase /demo/