Sicurezza sito Web

[Tommy1981]

Ciao tutti,

questa è la seconda volta che scrivo sul forum per chiedere consigli, visto che se pprima ero nuovissimo del webdesign...ora beh...sono cmq più che nuovo....Visto che sono riuscito a farmi in locale un sito come volevo (più o meno...) e mi avvicino al momento in cui sia tutto pronto per provare ad andare online....
Cmq il mio dubbio di oggi è questo...Spulciando tra gli script nei download ne trovo di dedicati alla sicurezza del proprio sito? Qualcuno può farmi un riassunto di cosa si intende per sito "sicuro"? Diciamo abbastanza visto che in rete di sicuro ci sarà poco credo....
Tipo che il prima che passa entra, fa casino e modifica i contenuti?

La domanda successiva sarà: è opportuno che prenda qualche precauzione per il mio sito? E se si quale?

Grazie a tutti quelli che sono sicuro avranno la pazienza di darmi una mano....

 

[alessandro1997]

Dipende quali tecnologie hai usato per la creazione del tuo sito. Se hai usato dei linguaggi lato server come PHP devi sicuramente stare molto attento. In caso fammi sapere e ti do qualche consiglio. Invece se hai usato HTML e CSS ci sono ben poche precauzioni da prendere, al massimo lì gli unici "buchi" che ci possono essere sono dati da una errata configurazione del Web Server.

 

[Tommy1981]

Grazie Alessandro,

ho usato php per il mio sito, in quanto avevo bisogno di integrare qualche semplice script tipo registrazione utenti e commenti....
Se mi sai dare qualche dritta ti ringrazio.... Non tanto per i contenuti che non sono nulla di importante, non mi interessa se la gente copia o roba del genere, però non vorrei che il sito fosse facilmente violabile e danneggiabile buttando così via il mio lavoro....

 

[Eliox]

hai utilizzato anche un database per memorizzare i dati?

 

[Tommy1981]

No, niente database....ci ho provato....ma alla fine sono alla mia prima esperienza e già ci saranno una sacco di cose da migliorare così....Ho messo su un paio di script semplici che memorizzano utenti registrati e messaggi inviati su file di testo, senza database.

 

[lotus]

Ciao,

a prescindere se utilizzi file di testo o db devi stare molto attento, il motivo è il seguente:
se gli storage dove memorizzi dati contengono informazioni sensibili di persone (nome, cognome, etc.) queste potrebbe essere rubate; se, invece memorizzi solo pareri, resconti, report eccettera questi oltre ad essere rubati potrebbero essere alterati.

Considera l'esempio di un servizio di mailing list in cui le persone inseriscono la propria email e si iscrivono automaticamente (con memroizzazione della loro email su un file di testo).

Un malintenzionato potrebbe creare uno script adhoc per inserire nel tuo file di miling list una lista di indirizzi a cui fare spam e tu potresti avere problemi; oppure inidirizzi fittizzi, sbagliati o rubare quelkli validi; insomma i pià svariati scenari.

Considera inoltre, ad esempio uno script di commenti; se non ben fatto potrebbe essere sfruttato per inserire centinaia di commenti offensivi o lesivi visibili sul tuo sito e tu, purtroppo dovresti rispristinare il tutto..

Non sò se ho reso bene l'idea dello scenario.
In ogni caso in mabito web adoperare tecniche di progettazione sicura è NECESSARIO.

Ciao, Ciro

 

[Tommy1981]

Grazie ciro, lo scenario è chiaro.

Chiedo scusa perchè sono un neofita ma faccio qualche domanda che potrebbe sembrare banale.....

Per i commenti offensivi è sufficiente un filtro per le parolacce? Per aver diciamo un minimo sindacale di sicurezza.....

Per i dati che raccolto, allora questi andrebbero criptati?

Quali misure minime sarebbe opportuno prendere?

Ma parlando di progettazione sicura si intendono script o parti di script dedicati alla sicurezza o dipende anche da come scrivo il codice?

Ci sono misure di sicurezza garantite dal servizio di hosting?

 

[alessandro1997]

Dunque, diciamo che per quanto riguarda la sicurezza non te la cavi inserendo solamente in alcuni punti delle porzioni di codice. Gli accorgimenti vanno estesi a tutti gli script, anche i più banali. Potresti iniziare passando all'uso di un database, che è sicuramente molto più sicuro di un file di testo. In alternativa, se per diversi motivi (ad esempio se il tuo hosting richiede un costo aggiuntivo per l'attivazione del database) non puoi usarlo potresti passare ai file XML, che non sono semplicissimi da usare, ma PHP fornisce diverse librerie per semplificare la lettura e la scrittura. Se usi dei file di testo potresti limitare l'accesso ad essi solamente al server. Basta raggruppare tutti i file sotto la stessa directory (ad esempio txt) e poi creare un file .htaccess con dentro scritto:

Order deny,allow
Deny from all
Allow from 127.0.0.1

A me tempo fa aveva funzionato a meraviglia.

Per quanto riguarda la sicurezza che fornisce l'hosting, essa si può limitare solamente ai parametri di configurazione del file php.ini. Sicuramente la direttiva register_globals sarà disabilitata e magic_quotes_gpc (anche se deprecata) sarà abilitata.

Facci sapere a quale sistema di storage intendi passare e cercheremo di darti una mano!

 

[lotus]

Ciao Tommy,

dunque, se memorizzi informazioni personali, esistono, per legge, delle regolamentazioni da rispettare affinchè i dati delle persone non possano essere rubati e diffusi a terzi.
Nei siti pubblici praticamente lo fanno in pochi, tuttavia, è bene saperlo che la conservazione dei dati va fatta secondo criteri specifici (es critpazione).

Inoltre, esistono varie tecniche software per incrementare la sicurezza degli script ed impedire l'inserimento di dati non corretti oltre ad altre tecniche di sicurezza lato server (backup, configurazione db e application server) che migliorano il grado di sicurezza.

In relatà per poterti aiutare nello specifico dovremmo conoscere maggiori info sul sito realizzato. C'è un link dove è possibile almeno vedere le funzionalità?

Ciao, Ciro

 

[Tommy1981]

Ciao ragazzi,

grazie, gentilissimi!!

Allora, cerco di darvi qualche informazione in più. Quello che voglio mettere online io è un sito su un mio hobby. Ho pensato e letto tanto sul webdesign negli ultimi mesi, ma fatto sta che cmq sono alle prime armi e con il tempo mi sono reso conto che mi infilavo a voler fare cose troppo difficili che non mi riuscivano e, pensandoci bene, non erano indispensabili per quello che volevo fare. Il mio sarà un sito prettamente informativo, ma voglio l'interattività dell'utente perchè voglio poter contattare chi condivide il mio stesso hobby....
Quindi ho 4 script in croce che mi consentono di avere:

1-member area per la quale bisogna registrarsi
2-il form di registrazione per la member area che raccoglie le info su un file di testo, sostanzialmente nick, mail e password
3-la possibilità di commentare a pié pagina gli articoli del sito, quindi poi le pagine per vedere lo storico dei commenti
4-un messaggino che saluta l'utente quando connesso

Fine.

Immaginavo fosse meglio avere il database, ma ci ho sbattuto un pò la testa ed il tempo non valeva quello che volevo io....
Diciamo che il messaggino ed i commenti potrei anche toglierli, l'unica cosa che mi serve veramente è la member area...i dati che raccolgo alla fine sono nick, mail e pass....potrei criptarli....oppure modificare giornalemente il file per quanto riguarda le mail lasciando solo nick e pass e quindi anonimato per l'utente....
Se uno mi mette dati fasulli mi frega poco ed alla fine se faccio i backup, se venissero modificati i dati già inseriti potrei ripristinarli facilmente.....

Sui commenti diciamo che non parlo di cose sulle quali la gente penso che litighi...ho capito, mai stupirsi di nulla....ma credo che non siano neppure di interesse per chi naviga ad insultare gli altri....

Dette queste cose che ne pensate? Il fatto dei backup e di rimuovere giornalmente gli indirizzi mail e/o cmq criptare il .txt, unito al fatto che non raccolgo dati personali, può andare bene come cosa?

Sui commenti che ne pensate? Secondo me gli argomenti sono poco soggetti a stimolare insulti reciproci, potrei metter un filtro e cmq moderarli con una certa frequenza....

Poi...tolti gli script....i contenuti veri propri del sito rischiano qualcosa?

 

[alessandro1997]

Diciamo che sarebbe meglio che tu passassi ad un database (dopotutto ci sono molti script per la gestione degli utenti che si appoggiano ad un database, e tu non devi faticare per installarli!) però se vuoi rimanere sui file di testo almeno adotta la soluzione che ti ho proposto qualche messaggio fa, ossia quella di restringere l'accesso solamente al server. In questo modo sei al sicuro (o quasi...) da eventuali furti di dati.

Poi, tolti tutti gli script gli unici problemi che potrebbero sorgere sono quelli relativi ad una errata configurazione del Web Server oppure a password troppo semplici da indovinare. Ti consiglio di fare attenzione soprattutto all'ultima cosa.

 

[Tommy1981]

Grazie Alessandro,

seguirò di sicuro il tuo consiglio per limitare l'accesso solamente al server!
Per il database ne ho fatte di prove con diversi script a disposizione nell'area download....ma non avendo esperienza ho picchiato un pò sul duro..... :hammer: ed allora ho rinunciato...

Va beh dai...ora proverò così, poi vedo se riesco a migliorare ed usare il db!!!