Alexa mi ha letteralmente distrutto un sito..

[Toniello]

Ciao a tutti.
come da oggetto volevo chiedervi se una cosa cosi e' possibile o meno.

Ho messo su un sito per un cliente, sito scritto in PHP/MYSQL e organizzato tramite un pannello di controllo, protetto da username e password. Per accedere e' protetto da sessioni e cookie (tutto in PHP).

Il cliente mi telefona e mi dice che non esistono più i prodotti all'interno del sito. Come se la tabella di mysql fosse stata svuotata.

Non riesco a capire il probelma finche non guardo i log del server.

La notizia e' stata scoinvolgente.

Lo spider di Alexa e' entrato nel mio sistema di pannello di controllo e a richiamato tramite get (es. pagina.php?delete=1&id=1) tutte le pagine per eliminare in sequenza tutti i prodotti dal db (che ovviamente erano nella schermata di visualizzazione prodotti con l'icona elimina)

In circa 1 minuto (ho i log a testimonianza) mi ha eliminato 320 righe (altrimenti ne avrebbe eliminate chissa quante) dal mio db.

Ora secondo me questa cosa in termini di legalità, non e' molto "corretta", ma chi puo' dire cosa e' corretto per un robot? Intanto vi dico che l'admin non e' linkato da nessuna parte, quindi alexa NON DOVEVA sapere dove fosse il pannello di controllo..

[Petro_suse91]

Originariamente inviato da Toniello
Ho messo su un sito per un cliente, sito scritto in PHP/MYSQL e organizzato tramite un pannello di controllo, protetto da username e password. Per accedere e' protetto da sessioni e cookie (tutto in PHP).

E che succede se disabilito i cookie (ovvero se navigo come uno spider)? Accedo alla pagina, vero?

Rivedrei innanzitutto la robustezza del pannello admin, che da quanto dici non mi pare molto sicuro.

Originariamente inviato da Toniello
Lo spider di Alexa e' entrato nel mio sistema di pannello di controllo e a richiamato tramite get (es. pagina.php?delete=1&id=1) tutte le pagine per eliminare in sequenza tutti i prodotti dal db (che ovviamente erano nella schermata di visualizzazione prodotti con l'icona elimina)

Intanto vi dico che l'admin non e' linkato da nessuna parte, quindi alexa NON DOVEVA sapere dove fosse il pannello di controllo..

Già, però se visiti un URL con la toolbar di Alexa installata, Alexa scansiona quell'URL (se può) e segue i link. E' così che funziona Alexa, non si basa solo sui link, ma anche sulle impression.

Ripeto, lavora sulla sicurezza del pannello admin:

- usa una autenticazione lato server e non basata esclusivamente sui cookie (il sistema più robusto, se usi Apache, è usare il sistema autenticazione built-in)

- chiedi conferma prima di eliminare una pagina (con javascript), non basarti solo sulla richiesta GET.

- dopodiché ripristina il DB dal backup (ce l'hai, vero?)

Prima di fare questi lavori per un cliente... le basi, ragazzi, vanno studiate le basi!

[fmortara]

Originariamente inviato da Toniello
Lo spider di Alexa e' entrato nel mio sistema di pannello di controllo e a richiamato tramite get (es. pagina.php?delete=1&id=1) tutte le pagine per eliminare in sequenza tutti i prodotti dal db (che ovviamente erano nella schermata di visualizzazione prodotti con l'icona elimina)

VVoVe: Non è stata alexa a distruggere il sito... tu!