Back to top

Autore Topic: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?  (Letto 7959 volte)

Offline nixthepix

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
Ho installato su Joomla il componente Virtuemart 1.0.13a.
Configurato il SEF ed inserito il file .htaccess nella root principale.
Mi chiedo se sia possibile, per aumentare la sicurezza del componente, dato che presenta vari forms per l'introduzione di variabili, quindi anche per evitare possibili attacchi XSS Cross Site Scripting dal lato del componente VM, se è possibile inserire il file .htaccess nelle cartelle di VM oppure comunque dalla sola Root controlla  gli accessi?
E poi sarebbe utile introdurre il file php.ini (che per altro trovo sul mio host che è joomlahost su /etc/php..) anche in tutte le cartelle che contengono files con estensione.php come consigliato su qualche altro forum. Ma anche quando ciò a che servirebbe in termini pratici?

Offline GiorgioBlu

  • Abituale
  • ****
  • Post: 861
  • Sesso: Maschio
  • Utente dal: 23/06/2004 Susegana - TV - Italy
    • Mostra profilo
Bella domanda, anche se sto ancora cercando di capirla  ;D

Puoi spiegarti meglio?

Hai paura che qualcuno posa leggere il contenuto dei file sul server o che qualcuno possa modificare il DB in maniera non autorizzata?

Scusa, non sono un espertissimo, ma mi interessa approfondire la cosa...

Offline nixthepix

  • Nuovo arrivato
  • *
  • Post: 19
    • Mostra profilo
insomma se voglio evitare iniezioni sul SQL:
1 inserire nelle cartelle di Virtuemart .htaccess
2 inserire nelle cartelle di Virtuemart php.ini

AIUTA   ??????????  o NO  ??????????

Offline GiorgioBlu

  • Abituale
  • ****
  • Post: 861
  • Sesso: Maschio
  • Utente dal: 23/06/2004 Susegana - TV - Italy
    • Mostra profilo
Per quel che ne sò non centra una mazza con le "iniezioni sul SQL"...

Ragionando terra, terra...

Il client fa una chiamata ad Apache all'indirizzo www.tuosito.it

Apache risponde con delle pagine web (php + query al DB).
Apache sa che deve leggere (se esiste) il file .htaccess che c'è nella root della chiamata www.tuosito.it

(es. nel mio caso /home/miosito/public_html/.htaccess)

NON esiste (che io sappia) che Apache vada in cerca di file .htaccess presenti in altre sotto cartelle
(come ad esempio /home/miosito/public_html/administrator/components/com_virtuemart/)

A meno che, quella sotto cartella non sia anche un dominio di 3livello (ad es. http://virtuemart.miosito.it)
Ma allora a questo punto la chiamata deve avvenire da questo indirizzo)

Non so se riesco a spiegarmi...  ;D

Per quanto riguarda invece il file php.ini anche qui rientriamo in un discorso simile...

Ripeto comunque, NON sono un esperto in materia!


Pertanto, se qualcuno ha delle correzioni/suggerimenti da dare, si faccia avanti!

Grassie  ;) ;D
« Ultima modifica: 25 Gen 2008, 12:07:09 da GiorgioBlu »

Offline marco0906

  • Nuovo arrivato
  • *
  • Post: 49
  • Sesso: Maschio
    • Mostra profilo
Ciao ragazzi,
questo potrbbe esservi molto utile(anche se non so se è quello che cercate esatamente)
http://trucchiinformatica.blogspot.com/2008/01/proteggere-directory-web-su-apache-con.html

io utilizzo l'.hataccess per proteggere anche sottocartelle e funziona egregiamente! :)
L'unica cosa che non accenna l'articolo che vi ho linkato è che se il vostro sito gira su server linux/unix le password nell'.httpasswd potrebbero dover essere criptate in md5 per essere riconosciute

ciao
Guarda tutti i tuoi video e film preferiti e scoprine di nuovi.. Veedeo ti permette di visualizzare di video aggregandoli dai migliori media provider della rete. Buon divertimento !

 



Web Design Bolzano Kreatif