Autore Topic: allow_url_fopen on  (Letto 2555 volte)

Offline ziocuca

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo
allow_url_fopen on
« il: 30 Dic 2010, 14:23:54 »
Ciao a tutti,
sono  nuovo all'installazione/amministrazione di Joomla e sto cercando di mettere in sicurezza il mio sito.
Ho capito alcune regole fondamentali:
- backup, backup, backup
- aggiornare Joomla e estensioni
- poche estensioni, quelle strettamente indispensabili.
Come aiuto per capire i problemi di sicurezza ho installato GuardXT e mi ha avvisato che sul mio server la direttiva allow_url_fopen è impostata su on, che è sconsigliata per Joomla.
Ho due domande:
è una falla grave?
posso mettere una pezza con un file php.ini locale?
grazie a tutti in anticipo!!!

Offline ziocuca

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo
Re:allow_url_fopen on
« Risposta #1 il: 30 Dic 2010, 16:09:06 »
mi è venuto un dubbio, devo spostare il topic nella sezione dedicata ai server?
Per favore datemi una mano.
Grazie

mau_develop

  • Visitatore
Re:allow_url_fopen on
« Risposta #2 il: 30 Dic 2010, 16:25:11 »
per mettere in sicurezza il sito deve essere sicuro il server.
Nessuna configurazione o direttiva è sbagliata a priori se c'è un workaround.
Basarsi sui tool disponibili per giudicare la sicurezza di un sito non è possibile in quanto ragiona senza considerare il lavoro a monte; ..anzi può essere dleterio seguirne i "suggerimenti" se non si ha coscienza di ciò che si fa.

Direi comunque che hai centrato il problema: backup! ... perchè?
Siamo abituati a fare dei mischioni di ciò che apprendiamo poichè non possiamo avere "cultura" su tutto.
I "veri" attacchi hackers non vengono diretti al cms. Ciò che può interessare un hacker sono server che supportano applicazioni, non certo server condivisi e magari su sgarabau. Bucare un qualsiasi sito su un server condiviso è solo questione di pazienza, poichè i setup solitamente sono permissivi per dare all'utente più possibilità con meno errori e per non intasare il sysadmin su servizi da 20 euri l'anno, e anche gli aggiornamenti vengono fatti con paurose latenze.

Mentre per neutralizzare un qualsiasi attacco al proprio sito è sufficiente un backup, nel caso di un sito come Microsoft, ...beh nn è proprio così... devi occuparti di infinite più cose, il backup diventa importante ma ciò che preme è la Business Continuity.

Se attacchi Ms non è certo per mettergli l'avatar in homepage o per dirgli all'admin che ha un buco nell'appz :) ... attacchi la Business Continuity, mandi il server in dos o gli occupi tutti i thread negando l'accesso al loro vero business.
Ti può interessare parzialmente questo discorso se ad esempio usi virtuemart o comunque un commercio elettronico, stare fermi un giorno può essere una perdita.... ma mai come i milioni di euri che costa a Ms.

... così... avevo voglia di chiacchierare un po' ;)

M.

Offline ziocuca

  • Nuovo arrivato
  • *
  • Post: 8
    • Mostra profilo
Re:allow_url_fopen on
« Risposta #3 il: 30 Dic 2010, 16:50:05 »
quindi, essendo su un server condiviso, non posso fare più di tanto perché comunque tutti dipende dall'admin del server?
Nel mio caso posso sopportarlo, è un sito personale...

mau_develop

  • Visitatore
Re:allow_url_fopen on
« Risposta #4 il: 30 Dic 2010, 18:04:50 »
no, non è che tutto dipenda dal server, ovviamente la tua applicazione non deve divetare un vettore di attacco per il server ne esserne la vittima, per cui tenere aggiornato il cms e gli addons e fare una periodica manutenzione è basilare.

Ovvio, non puoi pretendere più di tanto, tutto è sempre in proporzione a ciò che paghi ( :( ) , .... e quì diventa essenziale il backup più aggiornato possibile.

...tanto, malgrado a ciò che apparirà nella tua mailbox o nel tuo sito, non sarài mai vittima di un hacker (degno di qs nomignolo) ma soltanto di un ragazziono che il massimo che riuscirà a fare è sfruttare qualcosa di già pubblico e quindi anche a tua conoscenza, se vuoi.

M.

 

Host

Torna su