Partendo dal presupposto che parlare di pura sicurezza non ha un senso, solitamente si instaura un discorso sulla base dell'accettazione del rischio.
I test di sicurezza, se richiesti, riguardano sempre un capitolo a parte e prevedono test per "valori limite" e per "classi di equivalenza". Qualsiasi componente (inteso come parte di codice incapsulato capace di ricevere un input e restituire un output) viene testato con questi metodi.
Esempio di valore limite è un input di max 10 cifre, quindi da 0 a 10: cosa succede se ne metto -1 o 0 oppure 10 o 11, e anche un valore mediano, quindi 5.
Esempio di classi di appartenenza sarebbe anche per lo stesso esempio cosa succede se invece di 10 cifre sono dieci char o dieci caratteri speciali.
Ogni test viene ripetuto su tutti i livelli dell'applicazione, Joomla come quasi tutti i cms e la maggior parte dei siti web dinamici ne ha 2, l'applicazione intesa come script e il database.
Si considerano failed tutti i test che rivelano non solo una vulnerabilità ma anche un errore non gestito o che impedisce l'esecuzione degli script fino alla fine, blocco dell'appz.
Specificato come, ti potrei dire che joomla è sicuro e questi test li ha superati.... Joomla però, installato da chi sapeva come installarlo correttamente e molto probabilmente con ampie possibilità di intervento anche su server e db.
Le cose sicure non sono web exposed e aggiungono livelli andando ad occupare altre macchine, magari protette da firewall.
Anche l'hosting centra poco, se a quello che hai gli chiedi una sicurezza da fbi lui te la può certamente fornire, ovviamente i costi non sono 20 euro all'anno, e forse nemmeno alla settimana.
Se vuoi inserire un discorso riguardante la sicurezza usa un modo del tipo:
"... sarà nostra cura accertarci che al momento dell'installazione non vi siano vulnerabilità note per il software installato..."
M.
