Re: Aruba, hosting windows, PHP e oggetti COM

On 09:55, venerdì 23 gennaio 2004, Stefano Fiorini wrote:
> Dal momento che le mie richieste al personale tecnico di Aruba si sono
> risolte in una generica risposta "motivi di
> sicurezza e funzionalità delle macchine", 

sulla funzionalità non metto bocca, ma per quanto concerne la sicurezza delle 
istallazioni di PHP su aruba posso assicurarti che di sicuro non c'è 
assolutamente _nulla_ !

> provo a postare la questione qui, magari ho più fortuna....
> La domanda è questa: esiste un motivo legato a "sicurezza e funzionalità
> delle macchine" (appunto!) per cui un sistemista dovrebbe disabilitare
> il suporto gli oggetti COM con PHP 4.3.4 su una macchina Win2000? Sapevo
> che la versione 4.3.2 aveva qualche problema, ma sapevo anche che era
> stato risolto...

V'è lo stesso motivo per cui dovrebbero inibire anche le funzioni exec(), 
system(), passtrhou()....  dato che Aruba ha delle configurazioni del php.ini 
che fanno acqua da tutte le parti la loro motivazione è quantomeno risibile.

> Chiaramente visto che si tratta di un host Aruba"standard" le
> risorse sono condivise con altri domini (utenti), ma dubito che questo
> rappresenti un problema (se lo è perdonate l'ignoranza, ma d'altronde se
> lo sapessi già nn avrei bisogno di domandarlo a nessuno..;)) Qualcuno sa
> darmi qualche info in proposito?(anche perchè c'è la possibilità che
> debba implementare una macchina simile all'interno della mia azienda,
> quindi la questione è abbastanza stringente..).


Vuoi un consiglio?  Evita servizi come Aruba come la peste se tieni alla tua 
privacy e alla sicurezza dei tuoi siti.... ti basti pensare che non è attivo 
ne il safe_mode, ne la open_base_dir ... 

Quando rilevai queste mancanze (che trapparentesi consentono a chiunque abbia 
un hosting su aruba di accedere ai file,TUTTI, di _qualunque_ altro hosting) 
sotto la richiesta di un amico che aveva hosting feci scrivere al loro 
servizio tecnico dal cliente... non hanno provveduto a nessun tipo di messa 
in sicurezza!!!  

Ancora per inciso va notato che se anche _tutti_ gli hosting fossero trusted e 
onesti tra loro, poichè ciascun server ospita decine e decine di siti - anche 
di e-commerce!!, è sufficente che uno solo dei siti ospitati abbia un baco in 
un suo script PHP che permetta ad esempio del XSS per compromettere IN UN SOL 
COLPO i dati di TUTTI i siti ospitati!

Purtroppo nel campo della sicurezza dei siti web ed in particolare degli 
script PHP (perchè di questi sono esperto, ma altri linguaggi hanno le stesse 
debolezze.. non sono infatti intrinseche nel linguaggio ma nella bestialità 
dei coders) in italia oltre ad essere messi male non abbiamo neanche una 
mentalità pronta a considerare il problema come realmente serio ... 


-- 
<?php echo '       Emiliano `AlberT` Gabrielli       '."\n".
           '  E-Mail: AlberT_AT_SuperAlberT_it  '."\n".
           '  Web:    http://SuperAlberT.it  '."\n".
'  IRC:    #php,#AES azzurra.com '."\n".'ICQ: 158591185'; ?>


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List