Joomla.it Forum
Joomla! 1.0.x (versione con supporto terminato) => Le voci di Joomla.it (solo per versione Joomla 1.0.x) => : validon 09 Jan 2007, 10:21:57
-
ciao
per il discorso "politiche di sicurezza",come impedire l'accesso alla dominio.it/administrator/ ?
Cioè. l'accesso al backend può essere "nascosto".come hanno fatto a farlo in www.programmiperpc.it? e a nascondere la visualizzazione del codice sorgente della pagina?
grazie per qualsiasi aiuto
-
???
Ma non è nascosto.
Ed il codice sorgente non lo vedi comunque.
-
???
cioè, se digiti www.programmiperpc.it/administrator/ ti si presenta la videata di accesso al back-end?? a me no!
E se clicchi col destro sulla pagina e "visualizza sorgente pagina" ti fa vedere il codice html? a me no?
su questo sito lo vedo...eccome! uso firefox
why?
-
Hai preso un esempio poco indicativo perchè il dominio fa solo un redirect al vero spazio web.
-
si puo sempre mettere una password aggiuntiva alla cartella administrator
-
Hai preso un esempio poco indicativo perchè il dominio fa solo un redirect al vero spazio web.
ahhh... ecco :( :( :(
però il fatto di non poter cambiare il nome alla cartella "administrator" mi sembra limitativo (per carità... con tutto quello che fa joomla, non sia mai che voglia muovere un acritica!!!)
adesso, io non sono un hacker e mai avrò le capacità per esserlo....ma, se la cartella è sempre administrator, se l'utente è sempre administrator (io almeno quello l'ho cambiato :P), un bruteforce, non può arrivare a scoprire la password di accesso al back-end?
Sto scrivendo da ignorante, ripeto, magari non è tecnicamente fattibile. Chiedevo!
-
però il fatto di non poter cambiare il nome alla cartella "administrator" mi sembra limitativo...
adesso, io non sono un hacker e mai avrò le capacità per esserlo....ma, se la cartella è sempre administrator, se l'utente è sempre administrator (io almeno quello l'ho cambiato :P), un bruteforce, non può arrivare a scoprire la password di accesso al back-end?
Anche se un hacker sa che esiste la cartella "admin" e sa che lo user "admin" ha i privilegi di admin non se ne può fare nulla, se la password impostata è forte; questo perchè il numero di combinazioni (quindi il calcolo computazionale) di una pass lunga, alfanumerica, con maiuscole e minuscole, segni speciali e quant'altro è altissimo.
Il brute-force non viene praticamente mai utilizzato per fare attacchi web da remoto; senza contare che cracker come "John The Ripper" attaccano i file delle password che devono risiedere nella stessa macchina o al massimo nella stessa LAN (ad es. etc/passwd in Unix).
Gli attacchi portati a Joomla! sono di altro tipo e riguardo ad essi posso dire che un'ottima politica è quella di settare bene i permessi su file e cartelle.
-
però il fatto di non poter cambiare il nome alla cartella "administrator" mi sembra limitativo...
adesso, io non sono un hacker e mai avrò le capacità per esserlo....ma, se la cartella è sempre administrator, se l'utente è sempre administrator (io almeno quello l'ho cambiato :P), un bruteforce, non può arrivare a scoprire la password di accesso al back-end?
Anche se un hacker sa che esiste la cartella "admin" e sa che lo user "admin" ha i privilegi di admin non se ne può fare nulla, se la password impostata è forte; questo perchè il numero di combinazioni (quindi il calcolo computazionale) di una pass lunga, alfanumerica, con maiuscole e minuscole, segni speciali e quant'altro è altissimo.
Il brute-force non viene praticamente mai utilizzato per fare attacchi web da remoto; senza contare che cracker come "John The Ripper" attaccano i file delle password che devono risiedere nella stessa macchina o al massimo nella stessa LAN (ad es. etc/passwd in Unix).
Gli attacchi portati a Joomla! sono di altro tipo e riguardo ad essi posso dire che un'ottima politica è quella di settare bene i permessi su file e cartelle.
perfetto. a questo riguardo ho letto una risposta di Napo sul discorso permessi ai file e alle cartelle che citava il 755 sui file i il 644 sulle cartelle. ho provato a leggere nel sito Wiki, la guida, ma non è presente.
io non avevo questa ipostazione e chiedo: una volta impostati è corretto applicarla ai file esistenti nel sito o si rischia di dare troppe restrizioni su alcuni tipi di files?
E' meglio valutare caso per caso, cartella per cartella via FTP?
Grazie ancora
-
In generale direi che è corretto applicarli a tutti i file e a tutte le cartelle; ovviamente dovrai ricordarti di cambiarli temporaneamente quando dovrai installare nuovi componenti/moduli o modificare i file di configurazione. :)
-
ecco la risposta che fuga ogni dubbio. ok grazie!!
mo cerco anche di capire bene la storia del register_global=on.
php.ini del provider, htaccess, php.ini nella root del sito.... mi sono un pò perso...
-
L'unica cartella che deve avere i permessi in scrittura per il resto del mondo è la cartella "cache"...
ecco la risposta che fuga ogni dubbio. ok grazie!!
mo cerco anche di capire bene la storia del register_global=on.
php.ini del provider, htaccess, php.ini nella root del sito.... mi sono un pò perso...
Su questo trovi tonnellate di materiale nel sito! :)