Dubbi sulla sicurezza del CMS

[Crimor]

Buonasera. Mi presento, mi chiamo Davide e sono nuovo di questo forum. E' la prima volta che mi affaccio al mondo di joomla. Arrivo da una realtà simile ma allo stesso tempo, un po' diversa. Ho semrpe usato PHP Nuke per i miei portali, collaborando con le comunità. Ora ho deciso di cambiare e di scoprire il nuovo joomla. Unica cosa che non mi convince: la sicurezza.
Arrivo dal php nuke, prima un CMS non sicuro, ora con le patch di chatserv e con alcuni addons come nuke sentinel è molto piu sicuro da defacciamenti e lamer che si divertono a bucare il sito, a cambiare le passowrd degli admin e a modificare le pagine.
Volevo sapere joomla come sicurezza a che punto sta. Se escono patch e aggiornamenti ogni mese, se ha addons per la sicurezza (tipo nuke sentinel per php nuke). Ho visto che comunque nuove versioni di joomla (e quindi presumibilmjente aggiornate) siano state bucate e attaccate. Qualcuno potrebbe aggiornarmi per quanto riaguarda la questione sicurezzaa? Grazie

[mau_develop]

ora con le patch di chatserv e con alcuni addons come nuke sentinel è molto piu sicuro da defacciamenti e lamer che si divertono a bucare il sito, a cambiare le passowrd degli admin e a modificare le pagine
--------------------------------------------------------------------

chi ti ha convinto di qs cose? Il problema di quel cms è solo il tempo che ci vuole per trovare da dove passare, ma lo trovi...

Joomla non ha nulla a che fare col nuke, logiche diverse...

Se vuoi un cms che nessuno buchi, rinuncia e fai un sito html.

Ho visto che comunque nuove versioni di joomla (e quindi presumibilmjente aggiornate) siano state bucate e attaccate
-----------------------------------------------------------------
dove hai visto questa cosa? da cosa deduci fossero aggiornate?
Come fai a parlare di sicurezza con questa approssimazione?

M.

[mmleoni]

buonasera? 

ciao Crimor,
  benvenuto sul forum!

non conosco più phpnuke, la mia esperienza è ferma a oltre cinque anni fa, quindi non so fare un parallelo tra joomla e la versione attuale,vedo però che advisories ci sono anche per la versione 8  .

Joomla è abbastanza sicuro, è scritto bene ma ovviamente qualcosa può sfuggire, il problema reale sono gli utenti che installano di tutto, senza curarsi di come sia scritta l'estensione; perché al solito questo è il punto dolente dei cms.

ci sono diverse patch di sicurezza, ma la sicurezza è una forma mentis, non una estensione.

ciao,
marco

ps: la mia patch di sicurezza è questa: accedo al server in ssh e cambio owner e permessi a tutte le cartelle non necessarie per la gestione ordinaria del sito: l'utente non può installare niente senza chiedere a me edil sito è 'sicuro' 

[mau_develop]

marco, per curiosità... hai di mezzo un fw quando fai qs cosa?

M.

[mmleoni]

ciao maurizio,
  almeno un pix c'è sempre.

ciao

[mau_develop]

cosa ne pensa il tuo fw dei pacchetti ssh?

M.

[Crimor]

C'è una raccolta ufficiale di patch e addons per la sicurezza di Joomla come nel caso di php nuke? Grazie 

[mau_develop]

no no aspe' ... ufficiale c'è solo il core.

Solo le estensioni presenti nel core sono offerte come parte integrante di Joomla, il resto dipende unicamente da chi li scrive, indipendentemente al fatto di trovarli su un sito joomla.

Le patch di joomla le fornisce Joomla, per le patch delle addons... non è neppure detto che vengano rilasciate, dipende sempre da chi è che scrive.

M.

[Crimor]

ora con le patch di chatserv e con alcuni addons come nuke sentinel è molto piu sicuro da defacciamenti e lamer che si divertono a bucare il sito, a cambiare le passowrd degli admin e a modificare le pagine
--------------------------------------------------------------------

chi ti ha convinto di qs cose? Il problema di quel cms è solo il tempo che ci vuole per trovare da dove passare, ma lo trovi...

Joomla non ha nulla a che fare col nuke, logiche diverse...

Se vuoi un cms che nessuno buchi, rinuncia e fai un sito html.

Ho visto che comunque nuove versioni di joomla (e quindi presumibilmjente aggiornate) siano state bucate e attaccate
-----------------------------------------------------------------
dove hai visto questa cosa? da cosa deduci fossero aggiornate?
Come fai a parlare di sicurezza con questa approssimazione?

M.

Arrivo da una realtà forse diversa, ma ad ogni problema c'è una soluzione. PHP Nuke era il più bersagliato di tutti, bastava cercare con google che si trovavano le stringhe per bucare il sito. Era di una facilità mostruosa. Poi sono nate le patch ( e devo dire che funzionano), appurato che nessun sito è sicuro al 100% comunque sia le patch con nukesentinel erano in grado di proteggere il sito internet dagli attacchi. E lo sono ancora. Te lo dico con certezza perchè ho lavorato per molti anni in comunità italiane dedicate al php nuke.
Io non sono qua a fare paragoni. Non conosco joomla, e sono qui per conoscerlo, provarlo e testarlo come avevo fatto ai suoi tempi con nuke. Quello che voglio capire è se sia davvero sicuro. Se esistano delle patch in grado di coprire i bug che possono essere utilizzati per penetrare dentro il sito, cambiare pwd ed username senza contare i defacciamenti. Ho letto qui, e soprattutto in altri siti dedicati, che persone che hanno installato l'ultimissima versione disponibile siano stati bucati così facilmente da ragazzini turchi che si divertono a fare gare. Con un phpnuke aggiornato, con le varie patch questi tipi di attacchi venivano bloccati all'istante.
La mia non è una critica o un confronto, volevo solo sapere se si erano registrati effettivamente dei defacement con versioni nuove e se esistano delle patch a riguardo. Il problema principale credo che siano i virus al con trario del nuke. Ma comunque qualche defacciamento utilizzanod delle sql injection c'è stato... che poi torno a ribadire nessun sito è sicuro è certo, e sono io il primo a dirlo visto che ci ho lavorato molto a riguardo.

[Crimor]

no no aspe' ... ufficiale c'è solo il core.

Solo le estensioni presenti nel core sono offerte come parte integrante di Joomla, il resto dipende unicamente da chi li scrive, indipendentemente al fatto di trovarli su un sito joomla.

Le patch di joomla le fornisce Joomla, per le patch delle addons... non è neppure detto che vengano rilasciate, dipende sempre da chi è che scrive.

M.

Ok grazie

[mmleoni]

cosa ne pensa il tuo fw dei pacchetti ssh?

risposta rapida perché siamo ot: nessun problema, ma connessioni accettate solo da determinati ip, perché?
ciao

[mau_develop]

perché?
--------
solitamente il ragionamento che si fa un fw è "mhh è criptato, non lo so leggere, è sicuro" con qs basta un mtm con spoof del certificato che "dovresti" passare.... (ma nn volevo fare una disc, altrimenti ti avrei scritto un pm ... solamente stavo studiando un po' qs cosa ed ero curioso)

@Crimor: ci sono un po' di cose che condivido e un po' no.
Sui nukesentinel ammetto al mia ignoranza se ne è uscito uno nell'ultimo anno, negli altri c'erano priv8 ovunque.

----------------------------------------------------------------
Quello che voglio capire è se sia davvero sicuro. Se esistano delle patch in grado di coprire i bug ......
-----------------------------------------------------------------
..quì incomincio a non seguirti.
Cioè, di sicuro c'è solo a morte, joomla core ad oggi non esistono vulnerabilità note, e oserei dire nemmeno non note... te ne rendi conto quando succede qualcosa, i defacement di joomla sono SOLO ed ESCLUSIVAMENTE per vesrioni non aggiornate, addons scritte dal grande puffo che amministra anche il server su cui gira.

... non essendoci buchi... non ci sono patch e cmq nn vengono rilasciate "patch" sulle vulnerabilità ma avanzamenti di subversion.

In qs momento se tu hai nuke, joomla, drupal, vbulletin, ealtri dove è installato un editor FCK, potrebbe essere il sito più sicuro del mondo malo defacci quando vuoi e se trovi il server giusto fai sparire le index anche agli altri coinquilini che magari manco hanno un sito dinamico.
La sicurezza è pura illusione.

se si erano registrati effettivamente dei defacement con versioni nuove
-----------------------------------
...nell'ultima no, altrimenti sarebbe la penultima, c'è sempre e solo 1 versione nuova

M.