Sicurezza sito Web

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
Ciao tutti,

questa è la seconda volta che scrivo sul forum per chiedere consigli, visto che se pprima ero nuovissimo del webdesign...ora beh...sono cmq più che nuovo....Visto che sono riuscito a farmi in locale un sito come volevo (più o meno...) e mi avvicino al momento in cui sia tutto pronto per provare ad andare online....
Cmq il mio dubbio di oggi è questo...Spulciando tra gli script nei download ne trovo di dedicati alla sicurezza del proprio sito? Qualcuno può farmi un riassunto di cosa si intende per sito "sicuro"? Diciamo abbastanza visto che in rete di sicuro ci sarà poco credo....
Tipo che il prima che passa entra, fa casino e modifica i contenuti?

La domanda successiva sarà: è opportuno che prenda qualche precauzione per il mio sito? E se si quale?

Grazie a tutti quelli che sono sicuro avranno la pazienza di darmi una mano....
 

alessandro1997

Utente Attivo
6 Ott 2009
5.302
1
0
26
Roma
alessandro1997.netsons.org
Dipende quali tecnologie hai usato per la creazione del tuo sito. Se hai usato dei linguaggi lato server come PHP devi sicuramente stare molto attento. In caso fammi sapere e ti do qualche consiglio. Invece se hai usato HTML e CSS ci sono ben poche precauzioni da prendere, al massimo lì gli unici "buchi" che ci possono essere sono dati da una errata configurazione del Web Server.
 

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
Grazie Alessandro,

ho usato php per il mio sito, in quanto avevo bisogno di integrare qualche semplice script tipo registrazione utenti e commenti....
Se mi sai dare qualche dritta ti ringrazio.... Non tanto per i contenuti che non sono nulla di importante, non mi interessa se la gente copia o roba del genere, però non vorrei che il sito fosse facilmente violabile e danneggiabile buttando così via il mio lavoro....
 

Eliox

Utente Attivo
25 Feb 2005
4.390
3
0
hai utilizzato anche un database per memorizzare i dati?
 

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
No, niente database....ci ho provato....ma alla fine sono alla mia prima esperienza e già ci saranno una sacco di cose da migliorare così....Ho messo su un paio di script semplici che memorizzano utenti registrati e messaggi inviati su file di testo, senza database.
 

lotus

Utente Attivo
5 Mag 2009
543
8
0
Ciao,

a prescindere se utilizzi file di testo o db devi stare molto attento, il motivo è il seguente:
se gli storage dove memorizzi dati contengono informazioni sensibili di persone (nome, cognome, etc.) queste potrebbe essere rubate; se, invece memorizzi solo pareri, resconti, report eccettera questi oltre ad essere rubati potrebbero essere alterati.

Considera l'esempio di un servizio di mailing list in cui le persone inseriscono la propria email e si iscrivono automaticamente (con memroizzazione della loro email su un file di testo).

Un malintenzionato potrebbe creare uno script adhoc per inserire nel tuo file di miling list una lista di indirizzi a cui fare spam e tu potresti avere problemi; oppure inidirizzi fittizzi, sbagliati o rubare quelkli validi; insomma i pià svariati scenari.

Considera inoltre, ad esempio uno script di commenti; se non ben fatto potrebbe essere sfruttato per inserire centinaia di commenti offensivi o lesivi visibili sul tuo sito e tu, purtroppo dovresti rispristinare il tutto..

Non sò se ho reso bene l'idea dello scenario.
In ogni caso in mabito web adoperare tecniche di progettazione sicura è NECESSARIO.

Ciao, Ciro
 

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
Grazie ciro, lo scenario è chiaro.

Chiedo scusa perchè sono un neofita ma faccio qualche domanda che potrebbe sembrare banale.....

Per i commenti offensivi è sufficiente un filtro per le parolacce? Per aver diciamo un minimo sindacale di sicurezza.....

Per i dati che raccolto, allora questi andrebbero criptati?

Quali misure minime sarebbe opportuno prendere?

Ma parlando di progettazione sicura si intendono script o parti di script dedicati alla sicurezza o dipende anche da come scrivo il codice?

Ci sono misure di sicurezza garantite dal servizio di hosting?
 

alessandro1997

Utente Attivo
6 Ott 2009
5.302
1
0
26
Roma
alessandro1997.netsons.org
Dunque, diciamo che per quanto riguarda la sicurezza non te la cavi inserendo solamente in alcuni punti delle porzioni di codice. Gli accorgimenti vanno estesi a tutti gli script, anche i più banali. Potresti iniziare passando all'uso di un database, che è sicuramente molto più sicuro di un file di testo. In alternativa, se per diversi motivi (ad esempio se il tuo hosting richiede un costo aggiuntivo per l'attivazione del database) non puoi usarlo potresti passare ai file XML, che non sono semplicissimi da usare, ma PHP fornisce diverse librerie per semplificare la lettura e la scrittura. Se usi dei file di testo potresti limitare l'accesso ad essi solamente al server. Basta raggruppare tutti i file sotto la stessa directory (ad esempio txt) e poi creare un file .htaccess con dentro scritto:
Codice:
Order deny,allow
Deny from all
Allow from 127.0.0.1
A me tempo fa aveva funzionato a meraviglia.

Per quanto riguarda la sicurezza che fornisce l'hosting, essa si può limitare solamente ai parametri di configurazione del file php.ini. Sicuramente la direttiva register_globals sarà disabilitata e magic_quotes_gpc (anche se deprecata) sarà abilitata.

Facci sapere a quale sistema di storage intendi passare e cercheremo di darti una mano! ;)
 

lotus

Utente Attivo
5 Mag 2009
543
8
0
Ciao Tommy,

dunque, se memorizzi informazioni personali, esistono, per legge, delle regolamentazioni da rispettare affinchè i dati delle persone non possano essere rubati e diffusi a terzi.
Nei siti pubblici praticamente lo fanno in pochi, tuttavia, è bene saperlo che la conservazione dei dati va fatta secondo criteri specifici (es critpazione).

Inoltre, esistono varie tecniche software per incrementare la sicurezza degli script ed impedire l'inserimento di dati non corretti oltre ad altre tecniche di sicurezza lato server (backup, configurazione db e application server) che migliorano il grado di sicurezza.

In relatà per poterti aiutare nello specifico dovremmo conoscere maggiori info sul sito realizzato. C'è un link dove è possibile almeno vedere le funzionalità?

Ciao, Ciro
 

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
Ciao ragazzi,

grazie, gentilissimi!!

Allora, cerco di darvi qualche informazione in più. Quello che voglio mettere online io è un sito su un mio hobby. Ho pensato e letto tanto sul webdesign negli ultimi mesi, ma fatto sta che cmq sono alle prime armi e con il tempo mi sono reso conto che mi infilavo a voler fare cose troppo difficili che non mi riuscivano e, pensandoci bene, non erano indispensabili per quello che volevo fare. Il mio sarà un sito prettamente informativo, ma voglio l'interattività dell'utente perchè voglio poter contattare chi condivide il mio stesso hobby....
Quindi ho 4 script in croce che mi consentono di avere:

1-member area per la quale bisogna registrarsi
2-il form di registrazione per la member area che raccoglie le info su un file di testo, sostanzialmente nick, mail e password
3-la possibilità di commentare a pié pagina gli articoli del sito, quindi poi le pagine per vedere lo storico dei commenti
4-un messaggino che saluta l'utente quando connesso

Fine.

Immaginavo fosse meglio avere il database, ma ci ho sbattuto un pò la testa ed il tempo non valeva quello che volevo io....
Diciamo che il messaggino ed i commenti potrei anche toglierli, l'unica cosa che mi serve veramente è la member area...i dati che raccolgo alla fine sono nick, mail e pass....potrei criptarli....oppure modificare giornalemente il file per quanto riguarda le mail lasciando solo nick e pass e quindi anonimato per l'utente....
Se uno mi mette dati fasulli mi frega poco ed alla fine se faccio i backup, se venissero modificati i dati già inseriti potrei ripristinarli facilmente.....

Sui commenti diciamo che non parlo di cose sulle quali la gente penso che litighi...ho capito, mai stupirsi di nulla....ma credo che non siano neppure di interesse per chi naviga ad insultare gli altri....

Dette queste cose che ne pensate? Il fatto dei backup e di rimuovere giornalmente gli indirizzi mail e/o cmq criptare il .txt, unito al fatto che non raccolgo dati personali, può andare bene come cosa?

Sui commenti che ne pensate? Secondo me gli argomenti sono poco soggetti a stimolare insulti reciproci, potrei metter un filtro e cmq moderarli con una certa frequenza....

Poi...tolti gli script....i contenuti veri propri del sito rischiano qualcosa?
 

alessandro1997

Utente Attivo
6 Ott 2009
5.302
1
0
26
Roma
alessandro1997.netsons.org
Diciamo che sarebbe meglio che tu passassi ad un database (dopotutto ci sono molti script per la gestione degli utenti che si appoggiano ad un database, e tu non devi faticare per installarli!) però se vuoi rimanere sui file di testo almeno adotta la soluzione che ti ho proposto qualche messaggio fa, ossia quella di restringere l'accesso solamente al server. In questo modo sei al sicuro (o quasi...) da eventuali furti di dati.

Poi, tolti tutti gli script gli unici problemi che potrebbero sorgere sono quelli relativi ad una errata configurazione del Web Server oppure a password troppo semplici da indovinare. Ti consiglio di fare attenzione soprattutto all'ultima cosa.
 

Tommy1981

Utente Attivo
1 Mag 2010
84
0
0
Grazie Alessandro,

seguirò di sicuro il tuo consiglio per limitare l'accesso solamente al server!
Per il database ne ho fatte di prove con diversi script a disposizione nell'area download....ma non avendo esperienza ho picchiato un pò sul duro..... :hammer: ed allora ho rinunciato...

Va beh dai...ora proverò così, poi vedo se riesco a migliorare ed usare il db!!!
 
Discussioni simili
Autore Titolo Forum Risposte Data
G [PHP] Quali sono tutte le misure di sicurezza che un sito deve avere? PHP 1
giorgiolovecchio [WordPress] Risorsa http invalida sicurezza sito WordPress 2
A Sicurezza sito PHP 0
M creare da soli in sicurezza un sito Offerte e Richieste di Lavoro e/o Collaborazione 4
C sicurezza per comprare sito/dominio Domini 9
I Sito su sicurezza informatica. come guadagnare? Guadagnare col Sito 19
S come certificare sicurezza sito? Leggi, Normative e Fisco 0
B Sicurezza Sito Internet Sicurezza e Virus 3
Leoluca SICUREZZA, GRUPPO DI LAVORO E PROFILI MS Access 2
R Mettere in sicurezza una comunicazione .NET Framework 0
NioMio Aruba Sicurezza certificati e ranking di sicurezza 2019/2020 Hosting 1
E [CERCO] Pubblicità per Ebook tema Sicurezza Informatica Vendere e Acquistare pubblicita' online 1
F [php] sicurezza password form login PHP 2
W [PHP] Un dettaglio di logica e approccio sulla sicurezza di un progetto. PHP 9
K xamp impostazioni di sicurezza Web Server 5
W [C#] Sicurezza Client/Server - SOAP o RESTFull API .NET Framework 0
W Windows vs Linux per la sicurezza su ATM Windows e Software 0
A Retribuito: Sviluppatore Asp classico esperto in sicurezza webserver IIS e SQL Offerte e Richieste di Lavoro e/o Collaborazione 0
matteoraggi Sicurezza di un server apache con uso limitato Apache 0
K [php] due domande sulla sicurezza PHP 1
S [PHP] $_SESSION e sicurezza... PHP 2
KILLERIX Sicurezza dei database nei siti web Database 2
V [PHP] upload di file in cartella e sua sicurezza PHP 137
romeocharly nuove norme di sicurezza paypal Guadagnare col Sito 3
M Formazione per diventare uno specialista di Sicurezza Informatica Sicurezza e Virus 3
P Errore Codice Sicurezza Guestbook Supporto Mr.Webmaster 0
L Paypal - aggiornamenti alla sicurezza PHP 5
L Sicurezza login e limitazione accessi PHP 3
A Non riesco più a visualizzare il codice sicurezza nel forum Supporto Mr.Webmaster 3
A sicurezza wp login failed WordPress 5
R Security Ninja Core Scanner Plugin Sicurezza WordPress 5
I Problemi di sicurezza php PHP 1
voldemort Sicurezza login $_SESSION attacchi XSS CSRF PHP 0
C Sicurezza Textarea PHP 1
F sicurezza script login PHP 3
Akuma consiglio sicurezza per soluzione problema apici PHP 0
filippino phpBB: spam nonostante captcha e domanda di sicurezza phpBB 0
A consiglio sulla sicurezza PHP 5
E [RISOLTO]Sicurezza attacchi con $_session: come viene gestita nella trasmissione server client ? PHP 5
A ricavare il path alle cartelle e sicurezza PHP 5
M Codice di sicurezza su modulo Classic ASP 25
G MyBB: Sicurezza della pagina e del suo contenuto CMS (Content Management System) 2
L problema gestione utenti e sicurezza persone PHP 3
asevenx problema con codice di sicurezza captcha PHP 2
M Sicurezza dati form per insert e select in database PHP 11
M Sicurezza delle sessioni PHP 25
F Richiesta pillola su sicurezza jQuery 5
B Sicurezza php/mysql form PHP 2
L Database esterno e sicurezza Database 2
J Come usare certificato SSL per la sicurezza PHP 2

Discussioni simili