Google ha rilasciato un nuovo prodotto, Google Code Search, che è capace di indicizzare ed infilarsi attraverso i file archiviati nelle directory contenute nei server web. Stiamo segnalando questo come avviso di sicurezza perché abbiamo scoperto che alcuni amministratori di siti web stanno lasciando archivi e backup nella directory radice loro spazio web. Per questo motivo, Google Code Search può inserirsi negli archivi e leggere i file PHP non interpretati come se fossero testo normale. Perciò alcune informazioni sensibili potrebbero essere accessibili, comprese le password di MySQL e le credenziali SMTP.
Abbiamo ritenuto che era necessario pubblicare un avviso di sicurezza per avvertire siti esposti al pericolo e allo stesso tempo proteggere ed istruire i nostri utenti su alcune pratiche lper mantenere il vostro sito sicuro.
1. Non immagazzinare mai una copia di sicurezza o una versione archiviata del vostro sito Web nelle cartelle accessibili pubblicamente del web server.
2. Non lasciare file nella directory principale se non si vuole che siano letti/indicizzati/scaricati.
3. Se è necessario assolutamente, chiedere al proprio Hosting Provider di disabilitare la generazione dell'indicizzazione della directory per quella directory.*
4. Password per proteggere le directory che contengono le informazioni sensibili.
Ancora, se pensate che le informazioni di accesso al vostro sito siano compromesse in questo modo, prego rimuovete i backup/archivi immagazzinati nella radice dello spazio web, cambiate tutte le password collegate e se necessario, chiede al vostro Hosting Provider di ripristinare il vostro sito da un backup precedente e di essere sicuro che rimuovano l'archivio che hanno usato ristabilire il vostro sito.
Se preferite la protezione più attiva contro l'indicizzazione ed il download degli archivi relativi, guardate questa discussione nel Forum di Sicurezza di Joomla, in cui si sta svolgendo una discussione su come proteggersi da questi problemi.
http://forum.joomla.org/index.php/topic,101880.0.html * L'indicizzazione della directory è una caratteristica di mod_dir, un modulo di Apache che crea una lista di tutti i file in una directory se non esiste index.html /php/etc in quella directory. E' in questo modo che probabilmente saranno trovati i vostri file con Google code Search.
(Tradotto da www.joomla.org)
