Re: base dati

Ciao Mauro, rispondo a te e ad altri commenti di oggi:


in effetti oggi ho riflettuto piu' sulla genuinita' di phpnuke che sul mio
iniziale problema (avere un admin per ogni database al posto che un admin =
per tutti - vedi post di ieri). il mio problema e' che ora mi e' capitato di
"ospitare" siti con phpnuke, e il servizio che do' e' appunto questo (e
quindi cercare di rendere il + sicuri possibile i siti che mantengo ---NON
che manutengo!).
ho avuto brutte esperienze con zope, (e ora non accetto piu' siti con zope,
e non solo dal punto di vista della sicurezza) e con phpnuke sono un
novello.
il punto e' che ormai sono molti i webmaster che sviluppano in phpnuke
perche' (a quanto ho visto) permette di creare database su web con poca
fatica e molto funzionali (qui ovviamente non sto parlando di sicurezza).
personalmente penso che phpnuke sia un'ottima applicazione intranet da usare
come gestionale interno, in Internet ho ovvie perplessita'.
ora i problemi sono 2:
1) qual'e' la portabilita' di phpnuke su postnuke (premetto - non ho ancora
visto
nulla)
2) se io porto il sito in postnuke, e il sistema non e' piu' che simile da
amministrare a
phpnuke, il webmaster mi dice "benissimo, ora il sito te lo amministri tu".
e questo e' quello che non voglio perche'io sono sistemista (o almeno ci
provo) ma non webmaster, ne' web developer.
Ergo:
- perdo il cliente?
- manco di professionalita' se accetto di ospitare un
sito che so essere molto bucabile? (quindi e'meglio perdere il cliente!)
- cerco di prendere tutte le contromisure
per rendere *comunque* la vita difficile a chi lo vuol bucare e quindi
"accetto" il sito?


Ora, molto egoisticamente, sto anche valutando quanto una violazione di un
sito su cui gira phpnuke possa compromettere l'integrita' del sistema tutto:
una cosa e' dire "metti il sito, cercheremo di patcharlo ogni giorno e
speriamo che tutto vada bene ma se una mattina ti alzi e vedi sulla root di
apache ***SEI STATO BUCATO*** non dire che non ti avevo avvertito!
Un'altra cosa e' capire se exploit su phpnuke riescono a eseguire comandi
interni p.e. garantendosi privilegi di qualche tipo sulla macchina.
Capite che le cose in questo senso cambiano.

Conclusioni: anche l'idea di mettermi a patchare quotidianamente una
applicazione perche' ritenuta "MOLTO, MOLTO VULNERABILE" non e' una cosa che
mi sconfinfera particolarmente, se no mettevo NT (e non me ne vogliano i
sysadmin M$!)

credo di essere stato un po' contorto ma spero di essere riuscito a far
trapelare le mie perplessita'.
grazie a tutti per commenti/aiuti/ e in particolare critiche (che qui sono
sempre costruttive!)



-------------------------
Marco Marabelli
-------------------------
----- Original Message -----
From: <supergate@twlc.net>
To: <ml@sikurezza.org>
Sent: Wednesday, December 05, 2001 1:22 PM
Subject: Re: base dati


> Non mettete php nuke.. l'autore non e' il massimo... se ci sono bug di
certo
> non notifica i suoi utenti. Se volete qualcosa di simile installate
postnuke
> ... lo trovate su www.postnuke.com e' piu' sicuro ed il team che ci lavora
> dietro e' affidabile. Inutile dire che il software fatto da altri e'
meglio
> evitare di usarlo... ma se non avete il tempo di crearlo da soli allora
> modificate quello esistente (senza ovviamente rilasciarlo)! almeno sapete
> cosa montate... cercate inoltre di tenere solo i moduli "utili", quelli
che
> vi servono, installati gli altri rimuoveteli (meno moduli = meno
> probabilita' di bugs)
>
> Mauro.
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
>



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List