Post

1

Joomla! 1.6/1.7/2.5 / Re:L'override aumenta i rischi per la sicurezza?

« il: 15 Set 2013, 04:53:49 »

Grazie per la risposta,

Espongo un ragionamento:
un comando di trasformazione in entità html può essere applicato sul livello controller, quindi il dato può essere "pulito" a monte per poi trasferirlo a livello vista.
Se il passaggio della variabile non innesca, come credo,  meccanismi strani, allora dovrebbe essere vero che l'override è innocuo perchè un eventuale bug potrà sempre essere corretto modificando il controller, quindi mediante aggiornamento,

Però su un foglio di vista sul quale vi è una variabile che viene visualizzata senza sanificazione, può accadere che per un errato progetto ci sia la possibilità di passare una variabile alla vista senza farla passare dal controller, penso ad esempio al metodo get e alla possibilità di passare la variabile tramite url

2

Joomla! 1.6/1.7/2.5 / Re:Sicurezza - file htaccess

« il: 14 Set 2013, 20:47:02 »

Scusatemi, forse non sono stato chiaro. al punto 2) intendevo ce il file htaccess.txt diventa .httaccess
Questa dovrebbe essere una operazione naturale e non rischiosa, spero che non mi sfugga nulla.

Però sarebbe importante (almeno per me) poter capire meglio il tipo di minaccia a cui fa riferimento giusebos.
Qualcuno ha considerazioni in merito?

3

Joomla! 1.6/1.7/2.5 / Re:Sicurezza - file htaccess

« il: 14 Set 2013, 20:33:53 »

Grazie per la risposta, potresti darmi maggiori dettagli? intanto per htaccess intendevo.htaccess.


Ma se fosse per errore htaccess che succederebbe?

.htaccess con l'attivazione delle opzioni seo dal lato amministrativo sarebbe un bug? non è la procedura standard?

Con il fatto che la 1 e la 3 non hanno senso cosa intendi che avere un file htaccess.txt è come non averlo? nel senso che nulla aggiunge e nulla toglie al sistema?

Grazie mille

4

Joomla! 1.6/1.7/2.5 / Re:Sicurezzza con copia di un file php, css, javascript

« il: 14 Set 2013, 19:56:22 »

Pardon, "anche questo a vostro avviso riduce il rischio." Volevo metterci un punto interrogativo, era una domanda.
Ho capito perfettamente cosa intendi. Grazie mille!
Ho aperto un post su eventuali rischi sull'override,  (sotto alcuni punti di vista è un argomento simile) potresti darci un'occhiata e farmi avere un tuo parere. Grazie

5

Joomla! 1.6/1.7/2.5 / Cartella Installation: quando convien cambiare il nome e quando invec eliminarla

« il: 14 Set 2013, 19:50:38 »

Buonasera,
Al termine dell'installazione di Joomla, viene richiesto di eliminare la cartella installation, so che molti consigliano di modificarne il nome affinche il sistema non la veda e si possa concludere l'installazione.

Mi chiedo, lasciano la cartella installation rieditata su un sito già pubblicato online, si hanno problemi di sicurezza?

Perchè può tornare utile rieditare la cartella senza eliminarla? in cosa mi può tornare utile una volta che ho terminato l'installazione?
Grazie

6

Joomla! 1.6/1.7/2.5 / Sicurezza - file htaccess

« il: 14 Set 2013, 19:44:26 »

Buonasera,
supponiamo di non saper apportare modifiche di sicurezza al file htaccess, a parte i vantaggi seo,
a vostro avviso, dal punto di vista della sicurezza, conviene:

1) lasciarlo in formato .txt
2) portarlo in formato htaccess
3) rimuoverlo completamente

Il dubbio deriva dal fatto che alcuni attacchi mirano a modificare il file htaccess. Chiedo gentilmente, per chi rispondesse, se può dare anche una giustificazione cirva l'ottimalità di una scelta e la criticità delle altre due scartate.

Grazie

7

Joomla! 1.6/1.7/2.5 / L'override aumenta i rischi per la sicurezza?

« il: 14 Set 2013, 19:25:14 »

Buonasera,
sottopongo una riflessione: effettuare modifiche mediante override può amuentare i rischi per la sicurezza del sito? il dubbio deriva dal fatto che il file default.php che verrebbe spostato sotto la cartella del template e modificato, non verrebbe sottoposto agli aggiornamenti proprio per non perdere le modifiche, tuttavia il rovescio della medaglia è che se ci fosse una vulerabilità su questo file essa permarrebbe sempre.
Secondo voi, dato il modello MCV, è impossibile che un bug possa essere sul file di vista?

Se penso ad esempio a attacchi XSS che solitamente vengono prevenuti mediante la trasformazione in entità html dell'output, in questo caso è ipotizzabile che il bug possa trovarsi sul file della vista (ad esempio default.php) e non essere mai corretto da futuri aggiornamenti?

8

Joomla! 1.6/1.7/2.5 / Re:Override Maximenu CK

« il: 14 Set 2013, 19:11:41 »

Appunto, lo stile del template viene richiamato per primo e purtroppo per ultimo lo stile del modulo che quindi vince, almeno questo è il risultato delle mie riflessioni e delle mie prove

9

Joomla! 1.6/1.7/2.5 / Re:Override Maximenu CK

« il: 14 Set 2013, 19:06:23 »

Ci avevo pensato/provato, in questo caso però l'important  cozzerebbe con eventuali altri important che spesso, purtroppo ci sono nei fogli di stile installati

10

Joomla! 1.6/1.7/2.5 / Re:Sicurezzza con copia di un file php, css, javascript

« il: 14 Set 2013, 19:04:07 »

Ok, grazie della risposta.
Io tuttavia non le rinomino come  .bak ma le lascio come .php, questo abbassa il rischio?

Inoltre, se la copia viene tenuta sotto la cartella view, anche questo a vostro avviso riduce il rischio.


Immagino che la considerazione si può esetendere anche all'override, ma su questo apro un nuovo topic con un titolo che sia più pertinente.

11

Joomla! 1.6/1.7/2.5 / Sicurezzza con copia di un file php, css, javascript

« il: 14 Set 2013, 08:49:49 »

Buongiorno,
a volte, quando apporto delle modifiche sui files soprattutto php e css ma anche javascript, faccio una copia preventiva del file e la lascio nella stessa cartella: per essere più chiaro: se devo modificare il file default.php dentro view, ne faccio una copia e la chiamo default_old.php lasciandola sotto view e poi apporto la modifica al file default.php. Tale modus operandi mi consente di fare dei test e di ripristinare il files precedente se la modifica non va a buon fine,
La domanda è questa: se consideriamo un sito già pubblicato in rete, la presenza di un file di copia di questo tipo che è stato dimenticato dentro può dare problemi di sicurezza (rispetto ad esempio ad attacchi hacker) o danneggiare il DB. Premetto che NON vengono adottate tecniche per bloccare l'accesso ai file quali ad esempio la modifica del file htaccess e la modifica dei permessi sulle cartelle

Ho fatto l'esempio del file default ma in realtà questa tecnica la adotto anche per altri files e per css e a volte javascript.

Grazie anticipatamente

12

Joomla! 1.6/1.7/2.5 / Re:Override Maximenu CK

« il: 14 Set 2013, 08:29:51 »

Buongiorno,
grazie per la risposta, avveo provato il metodo che mi hai indicato, tuttavia riscontro un problema di priorità degli stilli e purtroppo vince lo stile predefinito rispetto a quello customizzato che viene acodato nel file template.css del template.
Ti segnalo tuttavia che ho ricevuto una risposta sul forum del produttore del maximenu il quale ha illustrato la soluzione (ancora non l'ho provata in verità anche perchè attendo una precisazione). Ti/vi invito a leggere quel post perchè lo ritengo interessante.
In generale credo che la soluzione proposta dai produttori del modulo Maximenu  sia geniale e risolverebbe bene il problema dell'override che funziona bene per l'impaginazione e i contenuti ma a mio avviso affatto bene per lo stile (proprio per il problema delle priorità che segnalavo).

Di seguito il link alla risposta a cui accennavo:
http://forum.joomlack.fr/index.php/4-maximenu-ck/6901-override-maximenu-ck#13530

13

Joomla! 1.6/1.7/2.5 / Override Maximenu CK

« il: 12 Set 2013, 02:50:35 »

Buonasera,
ho necessità di effettuare delle modifiche al modulo Maximenu CK;
Tramite firebug ho visto però che le modifiche andrebbero apportate al file: maximenuhck.php che si trova
sotto il percorso themes/css3megamenu/css: maximenuhck.php. Se modifico direttamente tale file, esso viene sovrascritto dagli aggiornamenti, perdendosi,così, le modifiche.
In questi casi dovrei effettuare l'override, solo che l'override va fatto sul file default.php mentre le mie modifiche sono su maximenuhck.php e se provo a caricare questo file nella cartella html del template (come prevederebbe il metodo override) non funziona. Come posso risolvere?
Grazie