[php] Sicurezza di un sito....

[fbamt]

Grazie sopratutto alla pazienza di tutti quelli del forum che mi hanno aiutato nei miei primi passi in php ho quasi realizzato il mio primo sito in PHP , leggendo qua e la mi sono però un pò spaventato leggendo di siti "bucati" ed altri problemi legati alla sicurezza di PHP. Visto che capisco pochino di PHP e per chiarirmi le idee vorrei fare alcune domande circa la sicurezza di PHP

1) la sicurezza del mio sito dipende solo dai miei script o anche dalla sicurezza del server che lo ospiterà e secondo voi in che percentuale? (in parole pavore se mi bucano il sito fanno schifo i miei script o c'è un concorso di colpe con chi fornisce l'hosting.)

2) il mio sito prevede una pagina di amministrazione (protetta) sulla quale opereremo solo in due, non è previsto inserimento diretto di file o altre informazioni da terzi, questo, è sufficiente a garantire una discreta sicurezza al mio db e di conseguenza al mio sito?

3) Verificando con attenzione le variabili passate con i metodi get e post, ci sono altre "minacce" che devo valutare?

Capisco che alcune domande sono molto generiche ma mi servono per capire su quali aree del mio sito intervenire

grazie e ciao
Fabio

[andr3a]

1) la sicurezza del mio sito dipende solo dai miei script o anche dalla sicurezza del server che lo ospiterà e secondo voi in che percentuale? (in parole pavore se mi bucano il sito fanno schifo i miei script o c'è un concorso di colpe con chi fornisce l'hosting.)

99% colpa tua, 1% colpa di Apache, se su Apache stai





2) il mio sito prevede una pagina di amministrazione (protetta) sulla quale opereremo solo in due, non è previsto inserimento diretto di file o altre informazioni da terzi, questo, è sufficiente a garantire una discreta sicurezza al mio db e di conseguenza al mio sito?

dipende dal livello di protezione, se ci sono controlli di autenticazione prima di ogni 'manovra' e le password sono alfanumeriche da almeno 8 caratteri e nessuna password e' controlata in modo diretto ma in md5, puoi stare abbastanza sicuro.

Esempio:
salta l' interprete PHP perche' succede qualcosa al server, le tue pagine php non vengono interpretate e quindi mostrate come semplice testo

se ci sono cose tipo
if( isSet( $_POST['password'] ) == true && $_POST['password'] == 'p1pp0' ) {
$auth = true;
}

questo e' un errore abbastanza comune, mai scrivere sul sito le password da confrontare ... soluzione semplice:

if( isSet( $_POST['password'] ) == true && md5( $_POST['password'] ) == 'a487913e5c71d17d802043cebf158c35' ) {
$auth = true;
}

E' solo uno dei tanti consigli possibili su come scrivere codice e/o come rendere le pagine sicure, ma e' la base.

Poi l'autenticazione va confrontata in db, se vuoi stare ancora piu' sicuro usi le sessioni in database, etc etc...



3) Verificando con attenzione le variabili passate con i metodi get e post, ci sono altre "minaccie" che devo valutare?

Ogni controllo / verifica che fai in piu' su quello che naviga via GET o POST e' un margine di sicurezza aggiunto a quelli gia' presenti.

Anche su files da includere, variabili da inserire in database e altro ancora, la sicurezza e' un argomento troppo grande per essere descritto in questo 3D.


Magari a lavoro ultimato posta il tutto che lo testiamo / sbudelliamo a piacere




P.S. non ricordo chi lo disse ma non esiste il 100% di sicurezza nel mondo dell' informatica

[dalang]

L'unico modo per rendere sicuro al 100% un computer che usa windows è SPEGNERLO


Bye!

[fbamt]

Bene ho capito che continuerò a non dormire la notte....no a parte gli scherzi se non altro ho chiaro su quali aree operare....

grazie.
Fabio

[andr3a]

Originariamente inviato da dalang
L'unico modo per rendere sicuro al 100% un computer che usa windows è SPEGNERLO


Bye!

questo potrebbe valere anche per linux, non esiste il 100% di sicurezza, per di piu' un sito in PHP solitamente e' hostato su un server *nix, quindi e' oltremodo insensato questo intervento ...

[dalang]

99% colpa tua, 1% colpa di Apache, se su Apache stai

non ritengo sia vero su host windows...
e comunque la mia affermazione è vera anche se togli "windows", era solo una battuta sulla Tua citazione!
Dai, non è lunedi mattina... un po' di senso dell'umorismo...

A pate gli scherzi, è vero che non si può avere la sicurezza al 100%, che sia colpa tua o dell'hoster, però con un buono script per l'autenticazione, scegliendo password non banali e sistemando bene i permessi dei file si può comunque riuscire a dormire la notte.

[andr3a]

Originariamente inviato da dalang
A pate gli scherzi, è vero che non si può avere la sicurezza al 100%, che sia colpa tua o dell'hoster, però con un buono script per l'autenticazione, scegliendo password non banali e sistemando bene i permessi dei file si può comunque riuscire a dormire la notte.

Questo non l'ha negato nessuno, solo che spiegare tutti i tipi di attacchi possibili non e' proprio da 3D, al massimo da mega-articolo