Joomla.it Forum
Non solo Joomla... => Sicurezza => : The-BiT 11 Feb 2009, 12:22:10
-
Buon giorno,
a seguito di un attacco ricevuto da un hacker, mi sono accorto che - se un utente utilizza un smtp esterno per l'invio di mail - i dati "username" e "passwrd" rimangono memorizzati nel configuration.php.
Immaginate un hacker che si impossessa di questo file: oltre che ad arrecar danni al nostro joomla, potrò pure entrare nelle caselle mail di quegli utenti che utilizzano un smtp esterno.
Credete si possa segnalare questa specie di bug (che bug alla fine non è) al team ufficiale di joomlam in modo da criptare, magari, questi dati nella versione 1.6?
Cosa ne pensate?
-
Buon giorno,
a seguito di un attacco ricevuto da un hacker, mi sono accorto che - se un utente utilizza un smtp esterno per l'invio di mail - i dati "username" e "passwrd" rimangono memorizzati nel configuration.php.
Immaginate un hacker che si impossessa di questo file: oltre che ad arrecar danni al nostro joomla, potrò pure entrare nelle caselle mail di quegli utenti che utilizzano un smtp esterno.
Credete si possa segnalare questa specie di bug (che bug alla fine non è) al team ufficiale di joomlam in modo da criptare, magari, questi dati nella versione 1.6?
Cosa ne pensate?
Una risposta certa al momento non l'ho, però come diversivo inserisci i permessi del file configuration a 400 cioè il file è in sola lettura dal gruppo proprietario, invece di default sono a 644, con i permessi a 400 è possibile entrare in ogni area del sito senza problemi.
-
Ciao!
Guarda che ci stavo pensando proprio ieri sera.
però come diversivo inserisci i permessi del file configuration a 400 cioè il file è in sola lettura dal gruppo proprietario, invece di default sono a 644, con i permessi a 400 è possibile entrare in ogni area del sito senza problemi.
Mettere in lettura solo per i proprietari non va bene perchè poi si ottiene errore 500.
Ho provato a mettere lettura a tutti mentre scrittura ed esecuzione solo ai proprietari e il sito funziona (almeno sembra) però a livello della sicurezza non è ottimale lo stesso.
Edit: ho detto una cavolata, io mi riferivo al file index.php e non configuration.php quindi va bene avere i permessi impostati a 400 (cioè solo lettura ai proprietari, come detto da Antonello) pardon!
-
E' un problema di sicurezza che mi ero posto, non penso che la criptazione serva a qualche cosa, uno dei primi principi del codice privacy (che poi è soprattutto sicurezza) è quello di non esporre dati non essenziali, (criptati o meno non importa) quindi ho risolto prescrivendo che nel sito web vengano usate solo caselle del tipo risponditore o reindirizzamento..
e ovviamente cambiare le credenziali di accesso (tutte) periodicamente...
-
E' un problema di sicurezza che mi ero ..........ovviamente cambiare le credenziali di accesso (tutte) periodicamente...
Io ultimamente ho cancellato l'utente ADMIN......sostituendo questi con nome di fantasia che può essere "Gio-vani.5874"
in quanto sè qualcuno dovesse trovare la password....diverrebbe difficoltoso trovare il nome dell'admin....conciato in questa maniera.....