Joomla.it Forum
Non solo Joomla... => Sicurezza => : deltafidesign 18 Sep 2013, 08:38:54
-
Buongiorno a tutti,
vorrei discutere qui di come poter risolvere (risolvere... ) una questione sull'accesso a files e cartelle di Joomla.
Allora, se per esempio digitiamo: www.ilsitodiqualcuno.cox (http://www.ilsitodiqualcuno.cox)/administrator/components/com_content/content.xml
possiamo notare che nella maggior parte dei casi viene fuori il contenuto del file che ci dice per esempio la versione utilizzata di Joomla! .
Ora, la cosa più semplice che mi viene in mente è quella di "proteggere" (proteggere...) l'intera cartella administrator da occhi indiscreti con htpasswd.
Poi però mi chiedo, è possibile impostare correttamente permessi in modo tale che la cosa funzioni come su joomla.it senza compromettere la funzionalità di componenti, moduli, plugins, templates? Qui su joomla.it, per esempio, se provate a digitare lo stesso indirizzo di cui sopra viene fuori un messaggio Forbidden.
Come fare?
ADD:
Aggiungo che per esempio:
http://www.joomla.org/administrator/components/com_content/content.xml (http://www.joomla.org/administrator/components/com_content/content.xml) mostra il contenuto
mentre
http://www.extensions.joomla.org/administrator/components/com_content/content.xml (http://www.extensions.joomla.org/administrator/components/com_content/content.xml) da Forbidden.
così, per curiosità... :)
-
così per curiosità cosa ci fai con il contenuto di quel file xml?
Altri ne vedi tipo i php?
-
Ci fai ben poco, guardi solo che versione c'è installata di Joomla! (grossolanamente).
No, i php non restituiscono il codice ma solo una pagina bianca.
Ecco... mi piacerebbe adottare una soluzione "semplice" e indolore per evitare situazioni simili senza utilizzare htpasswd per esempio e senza mettermi a settare singolarmente files o cartelle magari ritrovandomi poi in seguito incasinato con estensioni che danno errori proprio a causa di queste azioni.
Any idea?
-
quindi hai un non problema se ho capito bene. ;)
ma forse vuoi solo passare del tempo.
Non sono un grande esperto, però so che joomla è usato e sviluppato da migliaia di utenti in tutto il mondo.
Ora che solo tu nel mare magum degli sviluppatori abbia "scoperto" questa "falla" mi fa un po preoccupare: forse dovrei passare a wordpress?
-
:) si, credo che sia un non problema che un mio collega definirebbe "sei il solito rompi..."
Ora, come faccio a far si che non sia possibile accedere a quel file? (come ad altri) come su joomla.it per esempio senza pregiudicare funzionalità?
-
non puoi
-
se io ero tuo amico, ti avrei detto: ma non hai altro da fare? ;D
-
Capisco... ???
-
Potrei usare questo nel .htaccess...
<Files ~ "\.xml$">
Order allow,deny
Deny from all
Satisfy all
</Files>
<Files "sitemap.xml">
Order allow,deny
allow from all
</Files>
Però... sarebbe una bella rottura di scatole andarsi a spulciare le sitemap per esempio o altri files da consentire...
Mi sa che non c'è altra soluzione... :(
-
quindi hai un non problema se ho capito bene. ;)
..il vero problema è quello che dice giusebos... stai facendo una fatica della madonna per crearti un problema perchè in realtà sapere che versione hai è un attimo senza leggere quel file e quel file ce l'hanno tutti quindi se uno proprio volesse leggerlo basta che scarica un pacchetto joomla e lo guarda.
-
Si M_W_C, sono daccordo con quello che dici, è assolutamente un "non problema" che non ha senso che mi costruisca.
Vero è che su joomla.it, joomla.org e tanti altri siti questa pratica è applicata (intendo quella di disabilitare tramite .htaccess la lettura dei file .xml o altri eventualmente) e mi ricordo che tempo fa c'era anche un articolo o un avviso a tal proposito, quindi o si saranno posti anche loro inutili problemi, oppure semplicemente hanno scelto di adottare un metodo, più che una soluzione.
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie, per carità, ma mi piace comunque approfondire aspetti e questioni che se da un lato non servono a granchè sono comunque un buon esercizio (oltre che una delle tante varie best practices) che dovrebbero essere applicate come "metodo di sicurezza", consapevole del fatto che la sicurezza non è appunto una questione esclusivamente pratica ma di metodo.
Grazie per la disponibilità sull'argomento, vi auguro una buona giornata! :)
-
:) mi piacerebbe tu continuassi qs pensiero che hai interrotto
-------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie.....
----------------------------------
.... ma serve per.... ?
Dopodichè hanno senso curiosità, tricks, workaround....
in J1.5 c'era qs nell'htaccess:
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
-
Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files. Che poi ci siano altri modi per arrivarci anche se ti impedisco la lettura diretta è un altro discorso... :)
Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...
-
Ho dimenticato di aggiungere, ma qui non sono certo che così facendo sia possibile in qualche modo limitare eventuali xml injection... qui mi fermo per non dire boiate... :)
-
Credo che sia sempre il solito discorso... spranghi tutte le finestre e i portoni e lasci aperta la porta dello scantinato magari...
Non credo, tu stai pensando in senso assoluto e sbagli. Questa è solo una discussione accademica, un esercizio mentale, che per poter continuare deve essere suffragata da test su un sito on line.
Fai dei test, e se riscontri che i tuoi dubbi sono fondati segnalali al gruppo di sviluppo.
-
Ok, grazie per la risposta giusebos.
-
...si ma devi chiarirti le idee però :)
------------------------------------------
Impedire la lettura di file .xml ovviamente non serve ad impedire a conoscere che versione si ha installata di Joomla! o di estensioni varie
----------------------------------------------------------
Serve per impedire di conoscere la versione di Joomla! o di una estensione installata direttamente leggendo quei files.
-------------------------------------------
Una volta che sai la versione di joomla o del componente installato in che modo la sicurezza viene compromessa?
-
Credo di avere le idee chiare su quelle due frasi che hai citato e le ribadisco. Prova a rileggerle bene. Una volta che conosco che hai una estensione non aggiornata perché so quale versione hai e conosco il bug di cui è affetta quella versione credo che possa essere un problema per un eventuale attacco. O sbaglio? Certo potrei anche provare a casaccio... ma se già ti dico dove è la falla... bho... dimmi che mi sbaglio.
-
ti sbagli
--------------------------------------
Una volta che conosco che hai una estensione non aggiornata
----------------------------------------
questo è un problema di sicurezza, ....allora perchè non cerchi un sistema per rimanere sempre aggiornato piuttosto che cercare tappeti sotto cui mettere la polvere?
e visto che ammetti che non è l'unico modo per vedere se hai questi problemi nel caso tu avessi comunque un estensione bucata non hai eliminato il pericolo
Non ha nemmeno senso vista dalla parte del malvagio a meno di avere il must di non lasciare log, allora il fingerprinting può essermi utile; ma stiamo parlando di un malvagio con un target e dei paletti precisi... capita alla NASA...
Altrimenti vedo che un sito è fatto in joomla, so ad es. che con un option=com_content&category=ti_buco esploito il sito, chi me lo fa fare di vedere che versione hai e se l'estensione è aggiornata? ... mica mi hai assunto per un report... lancio l'esploit e se va va sennò vedrò un errore.
Chi è quel pazzo che si va a spulciare gli xml di un sito per vedere se è vulnerabile quando hai già la risposta lanciando l'esploit?
-
Si... sono ipotesi assurde... ma possibili. Grazie ancora per le risposte. Buona serata.