Re: base dati

ciao,

ad essere sinceri, preferisco postnuke.
lo utilizzo con successo sul mio sito e sono uscito recentemente da un
upgrade dalla 0.64 alla 0.7.
collaboro attivamente con postnuke.it e con gli sviluppatori diretti e ti
assicuro che ci stanno veramente dietro, soprattutto in CVS.
guardando l'ambito sicurezza, postnuke è sempre stato quello con meno bug di
sicurezza.
come politica predefinita hanno appunto la security, come denunciato
spessissimo sul loro sito.
spulciando codici php ho infatti notato che sono parecchie le routine contro
attacchi url-based o quant'altro.
phpnuke invece è sempre stato da una parte vulnerabile, a partire dal
pericolossissimo file-manager, facilmente exploitable.
tutti e due sono stati vulnerabili inoltre al bug che permetteva di rubare
cookies, ma entrambi sono stati fissati (postnuke fissato dopo due
secondi..).
se tu devi ospitare siti con phpnuke o postnuke, assicurati che gli utenti
usino versioni recenti, soprattuttto di phpnuke, non credo che un sysadmin
debba girare per tutti i siti che ospita e patcharli uno ad uno.
per quanto riguarda l'amministrazione di postnuke, ha introdotto un nuovo
sistema di gestione degli utenti, ora gli amministratori non sono altro che
utenti con dei privilegi, mentre prima erano in due tabelle separate.
il mio consiglio è installare postnuke, molta gente si sta avvicinando con
molto interesse, essendo un fork più affidabile, dal mio punto di vista, a
phpnuke.
la versione corrente del CVS (0.7 - rogue) ha ancora qualche piccolo
problema, ma sostanzialmente risulta utilizzabile, se magari hai tempo di
aspettare qualche giorno cercheremo di risolvere i bug maggiori che lo
affliggono :)

kain
http://www.kuht.it *rogue testing, default theme*

----- Original Message -----
From: "Marco Marabelli" <marco@sii.it>
To: <ml@sikurezza.org>
Sent: Wednesday, December 05, 2001 10:33 PM
Subject: Re: base dati


: Ciao Mauro, rispondo a te e ad altri commenti di oggi:
:
:
: in effetti oggi ho riflettuto piu' sulla genuinita' di phpnuke che sul mio
: iniziale problema (avere un admin per ogni database al posto che un admin
=
: per tutti - vedi post di ieri). il mio problema e' che ora mi e' capitato
di
: "ospitare" siti con phpnuke, e il servizio che do' e' appunto questo (e
: quindi cercare di rendere il + sicuri possibile i siti che mantengo ---NON
: che manutengo!).
: ho avuto brutte esperienze con zope, (e ora non accetto piu' siti con
zope,
: e non solo dal punto di vista della sicurezza) e con phpnuke sono un
: novello.
: il punto e' che ormai sono molti i webmaster che sviluppano in phpnuke
: perche' (a quanto ho visto) permette di creare database su web con poca
: fatica e molto funzionali (qui ovviamente non sto parlando di sicurezza).
: personalmente penso che phpnuke sia un'ottima applicazione intranet da
usare
: come gestionale interno, in Internet ho ovvie perplessita'.
: ora i problemi sono 2:
: 1) qual'e' la portabilita' di phpnuke su postnuke (premetto - non ho
ancora
: visto
: nulla)
: 2) se io porto il sito in postnuke, e il sistema non e' piu' che simile da
: amministrare a
: phpnuke, il webmaster mi dice "benissimo, ora il sito te lo amministri
tu".
: e questo e' quello che non voglio perche'io sono sistemista (o almeno ci
: provo) ma non webmaster, ne' web developer.
: Ergo:
: - perdo il cliente?
: - manco di professionalita' se accetto di ospitare un
: sito che so essere molto bucabile? (quindi e'meglio perdere il cliente!)
: - cerco di prendere tutte le contromisure
: per rendere *comunque* la vita difficile a chi lo vuol bucare e quindi
: "accetto" il sito?
:
:
: Ora, molto egoisticamente, sto anche valutando quanto una violazione di un
: sito su cui gira phpnuke possa compromettere l'integrita' del sistema
tutto:
: una cosa e' dire "metti il sito, cercheremo di patcharlo ogni giorno e
: speriamo che tutto vada bene ma se una mattina ti alzi e vedi sulla root
di
: apache ***SEI STATO BUCATO*** non dire che non ti avevo avvertito!
: Un'altra cosa e' capire se exploit su phpnuke riescono a eseguire comandi
: interni p.e. garantendosi privilegi di qualche tipo sulla macchina.
: Capite che le cose in questo senso cambiano.
:
: Conclusioni: anche l'idea di mettermi a patchare quotidianamente una
: applicazione perche' ritenuta "MOLTO, MOLTO VULNERABILE" non e' una cosa
che
: mi sconfinfera particolarmente, se no mettevo NT (e non me ne vogliano i
: sysadmin M$!)
:
: credo di essere stato un po' contorto ma spero di essere riuscito a far
: trapelare le mie perplessita'.
: grazie a tutti per commenti/aiuti/ e in particolare critiche (che qui sono
: sempre costruttive!)
:
:
:
: -------------------------
: Marco Marabelli
: -------------------------
: ----- Original Message -----
: From: <supergate@twlc.net>
: To: <ml@sikurezza.org>
: Sent: Wednesday, December 05, 2001 1:22 PM
: Subject: Re: base dati
:
:
: > Non mettete php nuke.. l'autore non e' il massimo... se ci sono bug di
: certo
: > non notifica i suoi utenti. Se volete qualcosa di simile installate
: postnuke
: > ... lo trovate su www.postnuke.com e' piu' sicuro ed il team che ci
lavora
: > dietro e' affidabile. Inutile dire che il software fatto da altri e'
: meglio
: > evitare di usarlo... ma se non avete il tempo di crearlo da soli allora
: > modificate quello esistente (senza ovviamente rilasciarlo)! almeno
sapete
: > cosa montate... cercate inoltre di tenere solo i moduli "utili", quelli
: che
: > vi servono, installati gli altri rimuoveteli (meno moduli = meno
: > probabilita' di bugs)
: >
: > Mauro.
: >
: >
: > ________________________________________________________
: > http://www.sikurezza.org - Italian Security Mailing List
: >
: >



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List