BUG di sicurezza ... accesso a file riservati

[milux]

Lo so che è superfluo scriverlo:

Codice:

Only registered users can see contents. Please click here to Register or Login.

Temporaneamente può andare bene come toppa per gli hosting linux, ma non tutti hanno la possibilità di gestire e/o creare l'.htaccess nell'host.

[serzio]

Lo so che è superfluo scriverlo:

Codice:

Only registered users can see contents. Please click here to Register or Login.

Temporaneamente può andare bene come toppa per gli hosting linux, ma non tutti hanno la possibilità di gestire e/o creare l'.htaccess nell'host.

Si, certo ... solo che molti utenti sono fissati per gli hosting win .... l'unica soluzione, per ora, è di cancellarlo.

Possibili soluzioni:

• si genera l'indice e si lascia nella cartella del progetto, in locale sul pc con website
• si utilizza un piccolo db mysql online, quindi non accessibile direttamente da internet (localhost) ... ma diventa complicato l'accesso per le esportazioni
• si genera un file PHP con all'interno un array che contiene i dati .... rozza ma funzionante.

[milux]

in uno di quei siti http://www.[-omissis-] e www.[-omissis-] c'era un file pdf in c'erano scritte le password per l'accesso alle aree riservate.. 

[serzio]

in uno di quei siti http://www.[-omissis-] e www.[-omissis-] c'era un file pdf in c'erano scritte le password per l'accesso alle aree riservate.. 

Infatti ho rimosso i link ..... 

[milux]

sarebbe opportuno anche inserire nell' .htaccess

Options -Indexes

per evitare il listing delle directory che non contengono un index.html.

Il problema dell'exploit è relativo a tutti i files (ad esempio i pdf) che vengono inseriti nel sito www con l'utilizzo del programma. Se vengono solo linkati, il nome del file non compare nel versions.xml.

Almeno credo ...

[serzio]

sarebbe opportuno anche inserire nell' .htaccess

Options -Indexes

per evitare il listing delle directory che non contengono un index.html.

Il problema dell'exploit è relativo a tutti i files (ad esempio i pdf) che vengono inseriti nel sito www con l'utilizzo del programma. Se vengono solo linkati, il nome del file non compare nel versions.xml.

Almeno credo ...

Esattamente. 

[serzio]

L'argomento, forse, verrà trattato anche su answers al link <QUI> .... sempre che non venga impostato come protetto, anche se ... si sa .... io sono estremamente contrario a nascondere simili informazioni.

[milux]

però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..

[serzio]

però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..

Non vorrei gettare benzina sul fuoco, come si suol dire ... loro giudicano fondamentale coprire eventuali problematiche, per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio .... ed è anche fondamentale che i problemi vengano risolti prima di subito. In questo modo, anche un problema diventa pubblicità "a favore", evidenziando i pregi di una assistenza rapida ed efficiente, oltre che una certa attenzione verso i propri clienti

[essedi]

però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..

.... per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio ....

Proprio per questo io sarei d'accordo con milux

[essedi]

però secondo me non ha molta visibilità..forse varrebbe la pena di creare un argomento nuovo magari con la traduzione in inglese..

.... per me, invece, è fondamentale che gli utenti sappiano, prima che qualcuno si faccia male sul serio ....

Proprio per questo io sarei d'accordo con milux

Scusate, non avevo visto che Serzio ha già provveduto. Bravo!

[serzio]

Purtroppo ICM ha nascosto il thread, abbiamo decisamente due modi diversi di vedere le cose, quello che per me è "mettere in guardia" gli utenti dai rischi che corrono, per loro è "allarmismo".

Sposto le soluzioni proposte da questa parte, almeno i nostri utenti, devono sapere.

Soluzioni provvisorie in attesa di una soluzione definitiva:

1) applicabile solo su hosting linux:

si inserisce un file di solo testo sulla root del sito web (directory principale) contenente le seguenti righe (ho inserito l'immagine per garantire l'integrità del codice che answers potrebbe non digerire correttamente)


[ Guests cannot view attachments ]


avendo cura di rinominarlo in .htaccess    ..... con il puntino inziale

2) applicabile a tutti

rimozione del file versions.xml dalla root (directory principale, quella che contiene l'index.html, per capirci) del sito web

Unico effetto collaterale è che le esportazioni effettuate successivamente dall'ftp integrato in website non funzioneranno correttamente e costringeranno a riesportare nuovamente tutto il sito web piuttosto che i soli file modificati da una certa data.

3) applicabile a tutti

esportare il sito su una cartella sul disco locale ed utilizzare un client ftp (programma ftp di terza parti .... filezilla, winscp o altri) per effettuare l'upload dei files sulla directory remota (sul sito web online). Solitamente, i client di questo tipo sanno riconoscere i files modificati rispetto a quelli presenti, ma non è un sistema affidabilissimo.

Il riconoscimento può avvenire per data, ma evidentemente le date saranno diverse per TUTTI i files, oppure per dimensione e quindi files modificati ma con la stessa dimensione verranno giudicati uguali .... ad esempio correzioni di lettere invertite o sbagliate sui testi. Ci sono altre varianti, ma occorre prenderci la mano.

PS. Dimenticavo

1) ... al link http://www.serzio.it/dev/evo10/rincus  è presente lo script utilizzato per testare il proprio sito ... tutti gli accessi vengono loggati ... tutti gli abusi saranno punibili ... e potrei decidere di rimuovere tutto se mi accorgo della presenza di "furbetti".

2) non appena qualcuno si rende conto che il problema è stato risolto, mi faccia una segnalazione in modo che io possa declassare questo thread

[serzio]

Con l'aggiornamento 10.1.10.54 odierno, il problema NON è stato risolto.

[lemonsong]

Se vi "strombazzano" in autostrada segnalandovi che il vostro furgone ha il portellone posteriore semiaperto e state perdendo le mozzarelle di bufala che fate?

Vi fermate ringraziando lo strombazzatore magari anche con qualche mozzarella oppure proseguite senza battere ciglio continuando a seminare mozzarelle per strada?

Scusate se sono andato OT (forse), eventualmente cancellate 'sto post.

[essedi]

Ammesso che vogliano e possano correggere l'inconveniente, quale migliore occasione per lanciare una nuova strabiliante versione a 200 euro?
(scusate, ma almeno qui lo posso scrivere).