Re: base dati

Ho un problema simile...

> Ergo:
> - perdo il cliente?
> - manco di professionalita' se accetto di ospitare un
> sito che so essere molto bucabile? (quindi e'meglio perdere il cliente!)
> - cerco di prendere tutte le contromisure
> per rendere *comunque* la vita difficile a chi lo vuol bucare e quindi
> "accetto" il sito?

Io lo accetto comunque. STA A ME fare in modo di:
A) avvertire il cliente di possibili problemi di sicurezza (AVVERTIRLO
non limitarlo)
B) far si che il rischi per l'intero sistema sia minimo.

> Ora, molto egoisticamente, sto anche valutando quanto una violazione di un
> sito su cui gira phpnuke possa compromettere l'integrita' del sistema tutto:
> una cosa e' dire "metti il sito, cercheremo di patcharlo ogni giorno e
> speriamo che tutto vada bene ma se una mattina ti alzi e vedi sulla root di
> apache ***SEI STATO BUCATO*** non dire che non ti avevo avvertito!
> Un'altra cosa e' capire se exploit su phpnuke riescono a eseguire comandi
> interni p.e. garantendosi privilegi di qualche tipo sulla macchina.
> Capite che le cose in questo senso cambiano.

Ecco, io credo che se configuri tutto per bene, con PHP in safe_mode, i
permessi ben impostati, il massimo che possono farti e' sputtanarti
tutto il sito DI QUEL CLIENTE, non credo arriveranno mai a di piu'.
MA FORSE sono troppo ottimista.
C'e' anche da dire che se fai hosting, quello che conta e' il cliente,
senno' che lo fai a fare? E allora backup alla mano, e controllare
spesso...
 
> Conclusioni: anche l'idea di mettermi a patchare quotidianamente una
> applicazione perche' ritenuta "MOLTO, MOLTO VULNERABILE" non e' una cosa che
> mi sconfinfera particolarmente, se no mettevo NT (e non me ne vogliano i
> sysadmin M$!)

=)))
 
Discorso interessante, spero di sentire i pareri degli altri...


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List