Sicurezza Gestionale

[tommyxxx]

Ciao.
Ho visto parlare di problemi più o meno simili ma senza focalizzarsi bene sul problema.

Vorrei sapere da qualche genialoide di voi, a che problemi di sicurezza potrei andare incontro mettendo il mio gestionale php accessibile da internet.
Dopo l'elenco dei problemi che posso incontrare mi piacerebbe sapere anche come risolverli ..


Premetto che uso https per cui già qualche problema dovrebbe essere bypassato.

thanx

[M4rko]

Più o meno a tutti gli altri problemi di una qualsiasi applicazione web che si affaccia su internet

Problemi legati ad una cattiva programmazione (sql injection, cross site scripting, code injection, varie ed eventuali) si risolvono scrivendo del buon codice ( )
Qualche spunto interessante:
http://phpsec.org/projects/guide

Problemi legati al software su cui ti appoggi (sistema operativo, web server, database, lo stesso PHP, le varie librerie, ...) si risolvono restando aggiornati riguardo alle problematiche di sicurezza dei singoli software, ed aggiornando di conseguenza il software.

Poi HTTPS è praticamente d'obbligo, ma da solo non ti risolve i problemi di cui sopra

[}gu|do[z]{®©]

Originariamente inviato da tommyxxx
Premetto che uso https per cui già qualche problema dovrebbe essere bypassato.

i bug non si eliminano, semplicemente sanno nascondersi bene...

Sei stato molto generico, quindi non posso che risponderti molto genericamente.
Se ho capito bene vuoi rendere accessibile in rete esterna un gestionale che si trovava in rete interna.
Bene.. i rischi sono... tutti.

Se si tratta di una cosa programmata ad hoc per te hai il vantaggio che un attaccante non ne conosce le vulnerabilità, e lo svantaggio che ce ne potrebbero essere di grosse.
Se si trratta di un'applicaizone nota e periodicamente aggiornata, vantaggi e svantaggi sono esattamente gli inversi.

La vulnerabilità maggiore contro cui ti devi premunire secondo me è la SQLinjection.. per il resto salvo bug specifici dell'appliczione, puoi stare mediamente tranquillo.

Per il resto dipende dal sistema e dal suo amministratore.

Parlando così in generale e din astratto è impossibile dirti di più temo...

[}gu|do[z]{®©]

Originariamente inviato da M4rko
Poi HTTPS è praticamente d'obbligo, ma da solo non ti risolve i problemi di cui sopra

Ecco, appunto

Temo che per alcune persone ci sia un fraintendimento di alcune tecnologie.
Ho amici convinti che con un antivirus installato, magari neanche aggiornato, non potranno prendersi mai nulla, come se l'antivirus riconoscesse anche il virus sconosciuto che posso fare io e che non si è ancora diffuso globalmente.

E temo che anche l'HTTPS venga considerato come uno scudo spaziale ad energia fotonica.. o qualcosa di simile...
L'HTTPS serve solo a criptare il flusso di dati, ma non mette al riparo da nessuna vulnerabilità del sistema o dell'applicazione, che poi sono di gran lunga il grosso del problema sicurezza su internet.

[tommyxxx]

Beh, non credo sicuramente che HTTPS mi metta al riparo da tutto ma almeno non dovrebbe permettere lo sniffing delle password...

per quanto riguarda l'amministratore..... sono io VVoVe: VVoVe: VVoVe: VVoVe:

... mi spiegate cos'è l'SQLinjection... VVoVe:

[}gu|do[z]{®©]

Originariamente inviato da tommyxxx
Beh, non credo sicuramente che HTTPS mi metta al riparo da tutto ma almeno non dovrebbe permettere lo sniffing delle password...

per quanto riguarda l'amministratore..... sono io VVoVe: VVoVe: VVoVe: VVoVe:

... mi spiegate cos'è l'SQLinjection... VVoVe:

fai una ricerchina nel forum sul sito e su google... buon difvertimento

Detto sintetitcamente (ma oi leggi altrove) è una tecnica con cui ti viene "scardinato" il database inserendo nei campi di login o di altro tipo dei caratteri che permettono di alterare le tue query.
Phph in genere prende automticamente delle precauzioni per questo.. ma non è vero in tutte le configurazioni (è un parametro che si chiama magic quote gpc)

[tommyxxx]

Ho letto un po' ma non mi pare così problematica da gestire (sempre che uno la prende in considerazione )

C'è altro di simile a cui stare attenti?