Autore Topic: Aggiornamento a 3.9.3  (Letto 478 volte)

Offline claude

  • Esploratore
  • **
  • Post: 80
    • Mostra profilo
Aggiornamento a 3.9.3
« il: 13 Feb 2019, 14:12:13 »

Salve,
dopo l'aggiornamento odierno alla versione 3.9.3 appare il seguente messaggio:
"Da Joomla 3.9.3, Joomla ha delle restrizioni aggiuntive di sicurezza nell'htaccess.txt predefinito e nel web.config.txt. Queste restrizioni disabilitano il cosiddetto sniffing del MIME-type nei browsers. Lo sniffing porta a specifici vettori di attacco, dove verranno eseguiti script in formati di file normalmente innocui (es. immagini), portando a vulnerabilità Cross-Site-Scripting. I team di sicurezza raccomandano di applicare manualmente le modifiche necessarie ai file .htaccess o web.config esistenti, poichè questi file non possono essere aggiornati automaticamente".
A questo messaggio seguono alcune linee da aggiungere al file .htaccess:
<IfModule mod_headers.c> Header always set X-Content-Type-Options "nosniff"</IfModule>
,
solo che, dopo averle inserite e ricaricate sul sito, questo va in errore "500 Internal Server Error", per cui ho dovuto ripristinare la versione precedente del file .htaccess.
A questo punto cosa suggerite di fare?
Grazie e saluti
Claude
« Ultima modifica: 13 Feb 2019, 14:14:25 da claude »

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Aggiornamento a 3.9.3
« Risposta #1 il: 13 Feb 2019, 14:15:28 »
Ciao!
Esattamente quanto suggerito nel messaggio post-installazione ed in questo articolo: https://www.joomla.it/blog/8987-migliorare-la-sicurezza-di-joomla-3-9-3-agendo-su-htaccess.html

Offline claude

  • Esploratore
  • **
  • Post: 80
    • Mostra profilo
Re:Aggiornamento a 3.9.3
« Risposta #2 il: 13 Feb 2019, 14:28:12 »
Ciao e grazie per la risposta ma mi sembra anche di avere detto che, dopo la modifica, il sito non era più raggiungibile. La modifica è semplice, ho inserito le linee nel punto indicato, ossia prima di "Mod_rewrite in use", e non credo di aver potuto sbagliare qualcosa.

Offline jeckodevelopment

  • Administrator
  • Instancabile
  • *****
  • Post: 5659
  • Sesso: Maschio
    • Mostra profilo
Re:Aggiornamento a 3.9.3
« Risposta #3 il: 13 Feb 2019, 14:38:38 »
se rimuovi quelle linee il sito funziona normalmente?
potrebbe essere un problema legato all'hosting, ma generalmente dovrebbe funzionare.
Hai il mod_rewrite attivo?
Su alcuni hosting, quando attivi il mod_rewrite devi commentare la riga
Citazione
+Options FollowSymLinks

Offline claude

  • Esploratore
  • **
  • Post: 80
    • Mostra profilo
Re:Aggiornamento a 3.9.3
« Risposta #4 il: 13 Feb 2019, 14:59:15 »
Ho il mod_rewrite attivo e il commento valido

Offline balaban

  • Nuovo arrivato
  • *
  • Post: 46
    • Mostra profilo
Re:Aggiornamento a 3.9.3
« Risposta #5 il: 27 Feb 2019, 20:14:10 »
Buonasera, io ho risolto in questo modo,
condivido due link spero che si può, visto che non riesco a condividere scrivo qui:

Nei diversi nodi web e' stata applicata un'impostazione di sicurezza dove nei file .htaccess viene negato l'utilizzo della direttiva FOLLOWSYMLINKS al posto della piu' sicura SYMLINKSIFOWNERMATCH.

Abbiamo riscontrato che questa nuova impostazione di sicurezza va in conflitto con la caratteristica "URL SEMPLIFICATI" di Drupal (o comunque dell'uso della direttiva FOLLOWSYMLINKS) causando alcuni malfunzionamenti o il blocco della visualizzazione del sito.

E' quindi necessario modificare il file ".htaccess", commentando l'istruzione FOLLOWSYMLINKS, anteponendo un cancelletto davanti ad essa, come segue:


...
...
# Options +FollowSymLinks
...
...
ed inserento la direttiva SYMLINKSIFOWNERMATCH:

...
...
Options +SymLinksIfOwnerMatch
# Options +FollowSymLinks
...
...
(i tre puntini sono esemplificativi di eventuali altre direttive presenti nel file .htaccess).

Abbiamo scritto alla Community di Drupal, segnalando il problema di sicurezza che comporta FOLLOWSYMLINKS negli hosting condivisi e proponendo il supporto a SYMLINKSIFOWNERMATCH.

Speriamo vivamente che questo problema venga risolto, visto che tutti i provider che offrono l'hosting condiviso e permettono il FOLLOWSYMLINKS hanno una falla di sicurezza enorme.


altro punto:
Ricordiamo di inserire sempre la direttiva:
RewriteBase /

dove / e' il path del file .htaccess; pertanto se il file .htaccess si trova nella sottocartella demo dovra' essere:
RewriteBase /demo/



« Ultima modifica: 27 Feb 2019, 20:19:04 da balaban »

 

Host

Torna su