Sicurezza e normativa sulla privacy

[Gians]

Ciao, reputando Joomla un cms sicuro, ho creato un sito con accesso riservato e, data la finalità cui sarà destinato, ho bisogno di un consiglio sulle norme di sicurezza. In pratica gli utenti caricano degli articoli che possono contenere foto personali ed altri dati sensibili meritevoli del massimo livello di privacy. Tali articoli, essendo destinati a rimanere in modalità bozza, possono essere visti solo dall’utente che li ha scritti e dall’admin. Ovviamente chiunque carichi un contenuto sarà obbligato a leggere ed accettare l’informativa. Aldilà delle consuete norme basilari (ad es. rinominare la cartella “administrator” e lavorare sui permessi), quali altre norme di tutela mi consigliate di prevedere? Sono affidabili, ad esempio, gli url scanner tipo Sucuri? Può servire intervenire su .htaccess e configurationVorrei ridurre al minimo le possibilità di furto dati o falle del sistema, in modo da evitare (per quanto possibile, lo so) problemi e, dato l’argomento, beghe legali su possibili violazioni della privacy. Ho letto già altre discussioni, più in generale vorrei sentirmi rassicurato che un portale in Joomla, ben configurato, aggiornato e con le dovute cautele, sia sufficientemente sicuro per contenere una piattaforma piena di dati sensibili. Grazie!

[tomtomeight]

CiaoQualdiasi risposta che otterrai qui sarà sempre e soltanto un opinione e con le opinioni non otterrai msi la massima sicurezza che cerchi. Ti consiglio di rivolgerti ad un consulente specifico in materia di sicurezza e privacy sr vuoi stare tranquillo.

[radu81]

Nessuno può garantirti la sicurezza al 100%, però con piccoli accertamenti si può migliorare il livello di sicurezza: usa un host serio, certificato ssl, password uniche e complesse e volendo anche autenticazione a due fattori, tieni aggiornato Joomla e i componenti aggiuntivi, cerca di limitare il numero di estensioni installate e usa estensioni da sviluppatori famosi. Io su tutti i siti Joomla uso Admin Tools Pro

Eviterei di rinominare la cartella administrator, admin tools ti permette di farlo ma allo stesso tempo lo sconsiglia. Piuttosto di potrebbe usare una cosa del tipo administrator/index.php?chiave_segreta per accedere.

[Gians]

Grazie, farò così, posso chiederti un'altra cosa? Premetto che ho già cercato ed ho trovato situazioni simili, ma non come quello che serve a me: so come fare per attivare sistemi di protezione supplementari (htaccess, htpassw, via admin, ecc...), ma ho notato che se una persona conosce il percorso assoluto delle immagini, può accedervi anche senza essere registrato o proprietario. Per spiegarmi meglio, quante volte andiamo su un sito, ci piace una foto, clicchiamo col tasto destro e poi andiamo su "visualizza immagine"?. Questo ci apre un nuovo pannello con l'url diretto all'immagine. Nel mio caso, se uno conoscesse l'url, potrebbe vedere la foto anche senza esserne il proprietario o, peggio ancora, senza essere loggato. Ho provato con i file htaccess e htpassword, ho provato ad impostare una password via admin, ma il risultato è sempre lo stesso: la cartella con le immagini viene effettivamente bloccata, le immagini non si vedono nemmeno se si conosce l'url, ma, ahimé, non funziona nemmeno la funzione di richiamo di Joomla, quindi nelle schede non si vedono, nemmeno il proprietario può vederle. In pratica, come potrei fare per far sì che le immagini possano essere viste solo negli articoli in cui sono inserite, ma la sorgente non sia visualizzabile da nessuno nemmeno conoscendo l'url? Grazie

[radu81]

Non so esattamente che tipo di sito intendi realizzare ma potresti valutare l'utilizzo di un forum invece di joomla.
Avresti la possibilità di creare una board e impostare i permessi per gli autori del topic (articolo). Gli allegati hanno i loro permessi e sono collegati ai topic. Quindi se un utente non può vedere un topic non vedrà nemmeno gli allegati (anche se per assurdo può avere i link delle immagini)
Per software di forum ti consiglio xenforo (a pagamento) oppure i classici smf/phpbb che sono gratuiti. Il primo ti permette di sicuro di creare dei topic in una board visibili solo a se stessi,  per gli altri non ricordo, bisogna controllare i permessi. Sempre su xf potresti aggiungere un portale e visualizzare i topic stile blog se la classica visualizzazione forum non ti piace.  Ormai sto andando off-topic, scusate...

[Gians]

Ciao, intanto grazie per il suggerimento, ma in realtà ho fatto talmente tanto che mi sembrerebbe un peccato ricominciare con un altro template. E poi sono sicuro che per quello che mi serve sono talmente vicino... Purtroppo c'è qualcosa che mi sfugge, ma credo che per forza debba esserci un modo per fare in modo che le immagini non si vedano nemmeno conoscendo il link diretto...

[ANTONIO76]

Ciao Gians,
non so quanto sia veramente utile (chiediamo anche ai più esperti), tuttavia nei miei siti più riservati per una maggiore sicurezza impedisco l'accesso all'url miosito.es/administrator tramite un file .htaccess che inserisco nella cartella administrator che ha questo codice

Codice: [Seleziona]

    Order Deny,Allow
    Deny from all
    Allow from xxx.xxx.xxx.xxx

dove xxx.xxx.xxx.xxx è l'IP del mio computer. In questo modo solo dal mio computer posso collegarmi al link miosito.es/administrator


Fai attenzione che se il tuo computer ha un IP dinamico devi aggiornarlo nel file .htaccess in questione.


Ciao!

[Gians]

Ciao, si anche io ho fatto così, il problema è un altro: se per assurdo qualcuno conoscesse il link diretto alle immagini, pur non essendo colui che le ha caricate e, per assurdo, nemmeno registrato, potrebbe vederle. Se io impedisco o limito l'accesso alla cartella delle immagini, beh le immagini non si vedono nemmeno nell'articolo... Io vorrei che le immagini si vedessero nell'articolo, ma chi, ripeto per assurdo, conoscesse il link, non potesse vederle.