Re: base dati

Ciao Marco!

> Ciao Mauro, rispondo a te e ad altri commenti di oggi:
>
>
> in effetti oggi ho riflettuto piu' sulla genuinita' di phpnuke che sul mio
> iniziale problema (avere un admin per ogni database al posto che un admin
=
> per tutti - vedi post di ieri). il mio problema e' che ora mi e' capitato
di
> "ospitare" siti con phpnuke, e il servizio che do' e' appunto questo (e
> quindi cercare di rendere il + sicuri possibile i siti che mantengo ---NON
> che manutengo!).

Offri un servizio pericoloso ehe... in ogni modo utile

> ho avuto brutte esperienze con zope, (e ora non accetto piu' siti con
zope,
> e non solo dal punto di vista della sicurezza) e con phpnuke sono un
> novello.
> il punto e' che ormai sono molti i webmaster che sviluppano in phpnuke
> perche' (a quanto ho visto) permette di creare database su web con poca
> fatica e molto funzionali (qui ovviamente non sto parlando di sicurezza).
> personalmente penso che phpnuke sia un'ottima applicazione intranet da
usare
> come gestionale interno, in Internet ho ovvie perplessita'.

Si e' vero. E' comodissimo il tempo di installarlo ed il sito e' su. In
internet e' ottima ! solo che e' poco sicura... ! nel senso che sono stati
trovati parecchi bugs (io stesso ho rilasciato due advisories) e l'autore se
ne e' fregato... non ha rilasciato patch, non ha avvertito ed il risultato
sono stati un sacco di deface! per questo ti consiglio postnuke, perche' il
team che ci lavora e' molto piu' in gamba ed onesto! ricordati comunque che
postnuke e' 'derivato' da php nuke quindi ne ha pregi e difetti (meno grazie
a dio)

> ora i problemi sono 2:
> 1) qual'e' la portabilita' di phpnuke su postnuke (premetto - non ho
ancora
> visto
> nulla)

*credo*, perche' bada bene finche' non lo faccio con le mie mani e non ne ho
la certezza non mi sbilancio in affermazioni certe, che sia possibile
upgradare un sito da php nuke a postnuke (se vuoi ti trovo maggiori
informazioni al riguardo)

> 2) se io porto il sito in postnuke, e il sistema non e' piu' che simile da
> amministrare a
> phpnuke, il webmaster mi dice "benissimo, ora il sito te lo amministri
tu".
> e questo e' quello che non voglio perche'io sono sistemista (o almeno ci
> provo) ma non webmaster, ne' web developer.

E' uguale in pratica... anzi l'amministrazione e' addirittura piu' semplice

> Ergo:
> - perdo il cliente?

Dubito, ne hai di piu';) offri un servizio migliore!

> - manco di professionalita' se accetto di ospitare un
> sito che so essere molto bucabile? (quindi e'meglio perdere il cliente!)

Non dal mio punto di vista... basta che tu stia attento a quello che fai...
e ti tenga sempre aggiornato

> - cerco di prendere tutte le contromisure
> per rendere *comunque* la vita difficile a chi lo vuol bucare e quindi
> "accetto" il sito?
>

Si... molti dei bugs sono facilmente patchabili!

>
> Ora, molto egoisticamente, sto anche valutando quanto una violazione di un
> sito su cui gira phpnuke possa compromettere l'integrita' del sistema
tutto:
> una cosa e' dire "metti il sito, cercheremo di patcharlo ogni giorno e
> speriamo che tutto vada bene ma se una mattina ti alzi e vedi sulla root
di
> apache ***SEI STATO BUCATO*** non dire che non ti avevo avvertito!
> Un'altra cosa e' capire se exploit su phpnuke riescono a eseguire comandi
> interni p.e. garantendosi privilegi di qualche tipo sulla macchina.
> Capite che le cose in questo senso cambiano.

Beh... il rischio c'e' con tutto, non puoi seguire questa linea altrimenti
non installeresti nulla;) Beh comandi interni... dipende dal bug! e da come
viene sfruttato... insomma da una circostanza di fattori! ad esempio l'hole
del filemanager permetteva di uplodare files e copiarli (quindi vedi
tu...:P)

>
> Conclusioni: anche l'idea di mettermi a patchare quotidianamente una
> applicazione perche' ritenuta "MOLTO, MOLTO VULNERABILE" non e' una cosa
che
> mi sconfinfera particolarmente, se no mettevo NT (e non me ne vogliano i
> sysadmin M$!)

Credo che quello che conti in finale sia l'admin e non l'os;). A quell'idea
ti ci devi abituare, perche' qualsiasi software installi -puoi quasi
metterci la mano sul fuoco- non e' sicuro al 100%!

>
> credo di essere stato un po' contorto ma spero di essere riuscito a far
> trapelare le mie perplessita'.

Sei stato chiarissimo...

> grazie a tutti per commenti/aiuti/ e in particolare critiche (che qui sono
> sempre costruttive!)

Siamo qui per aiutarci l'uno l'altro no:P?

In conclusione... se devi far mettere un software per web portal EVITA IN
ASSOLUTO php nuke! installa postnuke... !

Mauro.



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List