Quali sono le direttive del php.ini inerenti la sicurezza (di programma e server) cui voi prestate attenzione in fase di produzione?
Grazie.
Quali sono le direttive del php.ini inerenti la sicurezza (di programma e server) cui voi prestate attenzione in fase di produzione?
Grazie.
Considerando che la sicurezza va costruita ad-hoc in base alle proprie esigenze, io comincerei con:
- Safe_mode (e parametri correlati) on/off a seconda delle esigenze
- Display_errors su Off e Log_errors su On (error_reporting E_ALL)
- i log su file o syslog a seconda delle esigenze (error_log = /path/to/file)
- Expose_php da impostare su Off (un po di security by obscurity in mezzo al resto)
- Da verificare i vari limiti per le risorse (memory_limit e max_execution_time) a seconda delle esigenze
- Register_global = Off (o meglio, scrivere codice che sia indipendente da questa direttiva)
- Magic_quotes_gpc (da controllare con get_magic_quotes_gpc(), eventualmente usare stripslashes() e l'apposita funzione di escape in base al DB utilizzato)
Questo per cominciare
Tutti hanno bisogno di credere in qualcosa.
Io credo che mi farò un'altra birra.
Con quali criteri imposti:
- Expose_php
- Safe_mode
- memory_limit e max_execution_time
?
La domanda è da intendersi come quali siano le VOSTRE regole "personali", così da capire un po' le varie logiche...
Expose_php su Off
Più in generale, andrebbero evitate tutte le informazioni riguardanti il server (software presente e relative versioni) perche potrebbero essere usate da un potenziale attaccante come punto di partenza
Il Safe_mode dipende dall'essere o meno in un ambiente condiviso (con tutte le implicazioni che ne derivano)
In linea di massima valgono gli accorgimenti descritti da Fabio in questo articolo
http://php.html.it/articoli/leggi/85...azioni-sicure/
Per quel che riguarda le risorse di sistema, per ora non ho mai avuto problemi con le configurazioni predefinite (30 secondi e 8Mb di memoria) se parliamo di siti, ma questo dipende dalle esigenze
Ad esempio per upload di file di grosse dimensioni, aumentando la dimensione massima dei file, aumenterei anche la memoria disponibile (almeno il doppio della dimensione dei file, misure spannometriche)
Visto che chiedi di regole personali... personalmente mi trovo raramente a mettere le mani sulla configurazione del server e piu spesso a scrivere codice, per cui cerco di scrivere codice portabile che non dia i numeri se passando da un server ad un altro mi cambia un parametro "banale", tutto qua
Tutti hanno bisogno di credere in qualcosa.
Io credo che mi farò un'altra birra.
Oki. Danke.
Permessi di invio
Rispondi quotando