Social network cercasi

[daniele_dll]

Originariamente inviato da EosNet
Wordpress non è sicuramente il massimo per i server però è uno dei più aggiornati

beh, il fatto che sia uno dei più aggiornati non significa molto, di un software chiamato filezilla rilasciano un aggiornamento quasi ogni giorno ... ma il software è decisamente di qualità inferiore rispetto ad altri prodotti come winscp e simili

Come ogni script di larghissimo consumo ha un codice non ottimizzato però se ben utilizzato è possibile lavorarci senza crear problemi ai server

beh, no ...... non è che perché c'è tanta gente che lo usa deve per forza fare schifo -.-'

Indipendentemente da quanta gente lo uso, se la progettazione è quasi assente ed il codice è scritto senza un minimo di criterio e senza l'utilizzo delle unità di testing il risultato è che quello che viene fuori è molto opinabile

Come detto, è uno dei più presi di mira ma non tanto per il suo codice quanto per i plugin che vengono su di esso installati
I plugin sono il grosso problema dei CMS, degli script di larghissimo consumo.

Si, vero, ma se il CMS è scritto bene gli attacchi si riducono del 90%!!!!!!

Ad esempio, il mio CMS, di default ha un sistema che rende sicure le query il 90% delle query, cosi come i parametri che vengono dall'esterno vengono filtrati in modo particolare (senza estremismi) riducendo ancor più gli attacchi.

Io non ho fatto nessun miracolo, ma se un domani rilascio il mio codice sotto MIT/BSD e qualcuno scriverà codice cattivo sotto forma di plugin, il sistema, comunque, fermerà una NOTEVOLE quantità di attacchi

[EosNet]

Scusa, forse mi son spiegato male e non ho descritto analiticamente il pensiero perchè non voglio andare OT

Non è che gli script di larghissimo consumo fanno schifo
Wordpress è uno script molto aggiornato e abbastanza attento alla sicurezza (parlo senza plugin)
Vi sono script fatti in casa che sono più ottimizzati e sicuri
Mi fermo anche se ho tagliato molto corto, non voglio essere Ot, scusa

[daniele_dll]

Originariamente inviato da EosNet
Scusa, forse mi son spiegato male e non ho descritto analiticamente il pensiero perchè non voglio andare OT

Non è che gli script di larghissimo consumo fanno schifo
Wordpress è uno script molto aggiornato e abbastanza attento alla sicurezza (parlo senza plugin)
Vi sono script fatti in casa che sono più ottimizzati e sicuri
Mi fermo anche se ho tagliato molto corto, non voglio essere Ot, scusa

Guarda, penso che non stiamo andando OT perché alla fin fine stiamo parlando di un prodotto che all'utente della discussione può (potrebbe) interessare, quindi non preoccuparti.

Riguardo alla sicurezza di wordpress, guarda, mi trovi contrario, non per un fatto personale, ma perché il codice di wordpress è scritto male cosa che comporta tanti buchi di sicurezza, per non parlare dei (pochi) controlli di sicurezza

Considera che fino alla 2.6.1 ci sono exploit GRAVISSIMI che ti permettono di diventare amministratore con infinita semplicità (se cerchi nei forum/newsgroup underground trovi tanta roba). Ad esempio se la registrazione dell'utente è abilitata, bastano veramente pochi secondi ... è questo è causato da una cattiva programmazione non dalla mancanza di controlli.

[EosNet]

Ciao
grazie per l'ok in relazione all'OT
Non essendo il thread WORDPRESS avevo paura di disturbare.

Wordpress che non sia sicuro è chiaro. Questo vale anche, purtroppo, per molti Script di largo uso, e mi scuso se qualcuno possa non pensarla allo stesso modo
Un vantaggio di wordpress è che non stanno con le mani in mano ma cercano di ovviare ai problemi di sicurezza (ci provano ).
Posso dire che se lato server non vi fossero certe accortezze (mod_sec in primis), giornalmente si vedrebbero decine e decine di siti per server defacciati e questo posso dirlo con certezza matematica.
Da alcune statistiche personali, il 55% dei tentativi di defacciamento è eseguito su plugin di wordpress, wordpress stesso, joomla, 10% drupal, il 35% su altri script (phpbb in questo 30% ha una bella fetta di %)
Le mie statische giustamente non vogliono dire molto perchè dipende anche da quanti worpress, drupal, altri script son presenti su una postazione.

Uno script fatto in casa, non avendo alcune leggi di diffusione, può essere fatto sicuramente meglio però ha un problemino:
non essendo testato da moltissimi e non venendo invaso giornalmente da tentativi di intrusione, sarà più difficile capire quali reali bug ha.
Non è che il programmatore di quello script possa conoscere tutti i metodi di defacciamento.

Altra cosa importante, anche un banale sito web con un get e una dir a 777 è facilmente defaciabile come il peggiore degli script di questo mondo

Purtroppo nulla è sicuro ma vi sono livelli diversi di sicurezza. L'importante seguire moltissimo lo script utilizzato, esso sia uno script personale, esso sia un CMS conosciutissimo, esso sia un cms
personalizzato. Applicare tutto i consigli scritti in rete, plugin di sicurezza, sicurizzare gli htaccess, usare delle banali prevenzione bloccando alcune dir utili sono all'amministrazione, dare chmod in scrittura
solo se realmente utile ..etc..

Altro discorso, in relazione a come è scritto uno script, vale per come questo usa le risorse, come crea le query, etc.
Un CMS scritto può creare carico della macchina, creare rallentamenti, crea anche loop ( , creare 10 richieste al db quando in realtà ne basterebbero 2 (è un esempio).
Non entro nel merito in quanto non essendo un programmatore non posso permettermi di giudicare oggettivamente questo o quello script


Sicuramente è già stato segnalato ma non fà mai male segnalare link interessanti

http://blogsecurity.net/
-
http://www.copesflavio.com/


Ciao

[EosNet]

Volevo precisa che la frase: presi di mira dagli stupidi della rete
non mi riferisco a chiusa lo script, bensì a quegli stupidi personaggi che fanno a gara a chi defaccia più siti al giorno
Scusate se non era chiarissimo il msg

[Balaustra]

Per creare un sito social consiglio:
Elgg: http://elgg.org/
oppure l'accoppiata Zope http://zope.org e Plone: http://plone.org

Sto creando per un cliente un grosso website con funzionalità di social in Zope e Plone.

"Ottimi risultati per le funzionalità e la loro estensione futura, carichi di utenza incredibili e scalabilità sia applicatrva che sistemistica eccellente"... frase tratta dall'analisi effettuata dal committente la paittaforma l'ha scelta lui noi siamo solo "esecutori".

Bala

[zedr]

Originariamente inviato da Balaustra
Sto creando per un cliente un grosso website con funzionalità di social in Zope e Plone.

Hai visto cosa è uscito recentemente? Dai un'occhiata: http://plone.org/products/cyn.in/releases/2.1