Joomla.it Forum
Non solo Joomla... => Sicurezza => : niko_lg 23 Sep 2010, 10:40:34
-
Nell'articolo "Cose da fare per prevenire che il tuo sito venga hackerato" leggo:
Bloccare l’utente 62.
Non sai cos'è l’utente 62? Per farla breve, quando installi Joomla! sul tuo sito, esso crea un account Super Administrator con un già noto username (admin) ed un altrettanto noto ID utente (62). Questa falla è stata utilizzata in passato dai crackers per ottenere l’accesso di Super Administrator ai siti ignari di questa problematica. La cosa migliore da fare è creare un nuovo utente Super Administrator e bloccare o retrocedere al livello Registered quello di default.
Dal momento che con l'utente 62 ho creato tantissimi articoli e vorrei rimanessero di proprietà dell'utente 62, vorrei sapere se retrocedendo al livello Author l'utente 62 rischio comunque qualcosa a livello di sicurezza
Grazie
-
ciao niko_lg,
perchè non vuoi retrocedere a normale utente registrato l'utente con ID 62?
Tutti gli articoli scritti precedentemente da quell'utente rimarranno visibili ed associati a tale utente.
-
Per necessità del mio sito, giornalmente devo modificare gli articoli scritti dall'ultente 62.
Se retrocedo l'utente 62 al livello Registered, devo scegliere un nuovo autore al momento della modifica articolo.
Questo non succede se retrocedo l'utente a livello Author o Editor
Nico
-
ma puoi modificare gli articoli scritti dall'ultente 62 con qualsiasi altro nuovo utente superamministratore che puoi creare.
Ed al momento della modifica potrai lasciare quegli articoli come scritti dall'utente 62
-
Ed al momento della modifica potrai lasciare quegli articoli come scritti dall'utente 62
Ho provato.... ma quando vado a modificare l'articolo, nella lista Author scompare il vecchio autore (utente 62), e nella lista a cascata (sulla destra dell'articolo) compaiono solamente gli utenti con priviledi dall'Author in su...
-
si, hai ragione, è come dici tu.
L'utente 62 deve essere almeno Author per poter mantenere i propri articoli se vengono modificati da altri.
-
Quindi un utente 62=Author può recare problemi a livello di sicurezza?
Mille grazie
-
Consiglio---> Sposta gli articoli ad altro utente e cancella il 62.... :)
-
Ho approfittato anch'io dei consigli, grazie mille!
Guido
-
Una letta a quest'articolo di recente pubblicazione è senza dubbio utile.
http://www.joomla.it/articoli-della-community/4487-cose-da-fare-per-prevenire-che-il-tuo-sito-venga-hackerato.html
-
Ciao Taolo,
l'utente ha giustamente aperto il suo post proprio dopo aver letto quell'articolo. Leggi il suo primo post. :)
-
abbiamo modificato il testo di quel paragrafo provando a renderlo più comprensibile:
"Non sai cos'è l’utente 62? Per farla breve, quando installi Joomla! sul tuo sito, esso crea un account Super Administrator con un già noto username (admin) ed un altrettanto noto ID utente (62). Questa falla è stata utilizzata in passato dai crackers per ottenere l’accesso di Super Administrator ai siti ignari di questa problematica. La cosa migliore da fare è creare un nuovo utente Super Administrator, effettuare il logout, effettuare il login con il nuovo utente Super Amministratore e retrocedere al livello Registered il vecchio Super Administrator con id 62."
abbiamo tolto anche la parte dove diceva di bloccare l'utente, non saprei cosa voleva dire l'autore, forse intendeva spubblicare l'utente, ma non è possibile spubblicare un superadmin.
-
:-[ opss... chiedo venia. Ho raggiunto questa discussione da ultimi post inseriti e mi era scappata l'inizio discussione.
-
Saluzione parzialmente* trovata :
1) Creare nuovo utente amministratore
2) Declassare a Registered l'utente 62 (vecchio utente amministratore)
3) Per riassegnare tutti gli articoli scritti al nuovo amministratore o ad un qualsiasi utente, come suggerito nel post (link (http://forum.joomla.it/index.php/topic,88792.msg389689.html#msg389689)) inserire tramite phpmyadmin la query:
UPDATE `new_content` SET `created_by` = 100 WHERE `created_by` = 62
100 = id nuovo amministratore o utente a cui assegnare gli articoli
62 = id vecchio amministratore
a questo punto cancellare l'id 62
*sul mio sito utilizzo un sistema che assegna un punteggio per ogni articolo scritto, riassegnando gli articoli il punteggio viene resettato!
-
credo che tu abbia sbagliato ad indicare di creare un nuovo amministratore, ma deve essere creato un nuovo superamministratore.
Poi credo sia da specificare cosa sia il new nella parte "new_content" della stringa che hai indicato.
-
100 = id nuovo amministratore o utente a cui assegnare gli articoli
62 = id vecchio amministratore
---------------------------------------------------------------------------------------------------
se quel 100 lo prendono come uno "standard" diventa inutile, forse è meglio non indicare un numero...imo.
M.
-
avete ragione, quindi ricapitolando:
UPDATE `new_content` SET `created_by` = xxx WHERE `created_by` = 62
Id 62 = id utente superamministratore
Id xxx = id nuovo utente superamministratore (o id utente a cui assegnare la proprietà degli articoli)
new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)
-
new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)
----------------------------------------------------------
...ricordarsi di cambiarlo sia nel db che nel configuration.php
M.
-
ciao mau_develop,
non credo ci sia da cambiare il prefisso nel configuration.php, perchè credi sia da cambiare?
Se un utente ha messo aaa come prefisso, se vuole fare la procedura che ha indicato niko_lg lo sostituirà al prefisso new_ nel comando per il database e così tutti gli articoli precedentemente associati all'utente 62 passeranno al nuovo utente.
-
secondo me tutta questa discussione presenta un po' di confusione.
Ognuno di voi ha detto delle cose giuste ed utilissime, ma si è creata confusione nell'esposizione.
Per cambiare il proprietario degli articoli eseguire una query analoga alla seguente in phpmyadmin:
UPDATE `new_content` SET `created_by` = xxx WHERE `created_by` = 62
Id 62 = id utente superamministratore, è quello predefinito durante l'installazione di Joomla
Id xxx = id nuovo utente superamministratore (o id utente a cui assegnare la proprietà degli articoli)
new_ = prefisso database (da cambiare in base al prefisso scelto in fase di installazione)
Chi ancora utilizzasse il prefisso "jos_" per le tabelle della propria installazione di Joomla, dovrebbe effettuare la modifica verso un nuovo prefisso sia in phpmyadmin sia nel configuration.php
-
si scusate, forse ho generato io questa confusione, ho interpretato l'ultimo come modo di cambiare il prefisso alle tabelle del db,
-------------------------------------
Chi ancora utilizzasse il prefisso "jos_" per le tabelle della propria installazione di Joomla, dovrebbe effettuare la modifica verso un nuovo prefisso sia in phpmyadmin sia nel configuration.php
-----------------------------------------
... questo intendevo...poichè tutte le stringhe di inj contengono lo standard jos_
scusate.:(
M.
-
forse sarebbe utile scrivere un articolo per Joomla.it contenente una semplice guida per cambiare il prefisso delle tabelle al db.
potresti farlo tu mau!
-
beh sì se vi serve la scrivo, il problema è che sono comunque continue duplicazioni di cose che già esistono in rete:
http://www.devshed.com/c/a/MySQL/MySQL-Table-Prefix-Changer-Tool-in-PHP/1/
credo che un buon 50% delle domande presenti su qs forum (come su tutti d'altronde) sono solo frutto di pigrizia e se uno è pigro o gli fai una guida a prova di stupido (..tipo l'ultima di bigham :) ) altrimenti non hai fatto nulla di buono poichè il pigro non la userà e il volenteroso sa comunque come avere l'informazione.
Ma se proprio uno volesse, con phpmyadmin anche a farle una a una a manina ... è un lavoro da 10 minuti, molto meno che aprire un post e aspettare la risposta.... solo che il pigro per principio non si fa la domanda e apre il post ;) :):)
...polemico? ...sì, un po' si...
M.