Pensavo che se dovessi consigliare ad un cliente di installarsi qualcosa di opensource e altamente insicuro tipo phpBB, potrei:
1. far girare apache in chroot mode
2. magari utilizzare un hardening di php
3. limitare strettamente i privilegi di accesso al db
4. impostare un buon backup
A questo punto, anche se l’infrastruttura magari si salva, non sarebbero comunque scongiurati attacchi tipo XSS, sql-injection, ecc, dovuti ai bug del software installato…
Secondo voi non c’è soluzione?
Alberto Mucignat
random thoughts around web stuffs (è tutto un equilibrio sopra la follia…)
-
Socialize
4 commenti ↓
plausibilmente, usare qualcosa che non sia phpbb
Ad esempio usando un sw che non sia basato su sql “raw” eviteresti un’ampia gamma di problemi. C’è poi mod_security..
cosa intendi per sql “raw”? il fatto che si presta alle injections?
ciao
intendo fare cose come
$sql = “SELECT “.$pippo.” FROM ” . $table;
cioè andare a scriversi ogni volta le query a manina ravanando con la gestione delle stringhe. Se non ricordo male in phpbb2 si fa ampio uso di cose simili (ed in ogni file c’è contemporaneamente codice sql, php ed html,m ma lasciamo stare..)
Usare un qualsiasi sistema di persistenza o anche un wrapper minimale alla PEAR::Db permette di evitare il 90% delle sql injection, e mi sto tenendo stretto.
Quattro consigli IMHO:
1. Puoi usare PHP come CGI ed lo imposti su di un utente normale.
2. Dai una mano allo sviluppo di phpBB dal lato della sicurezza.
3. Aggiorna phpBB costantemente.
4. Non usi phpBB. Questo però non risolve completamente il problema perché il nuovo software avrà anche lui dei buchi, seppur diversi.
Se te lo puoi permettere, ti consiglio vivamente i primi due.
Usa il terzo se proprio non puoi farci niente.
Se ti stufi davvero di phpBB, procedi per l’ultimo consiglio.
Comunque, il sistema dovrebbe essere sempre reso il più sicuro possibile in base alle tue conoscenze, o a quelle di tuoi eventuali consulenti.
Byez!