Sito da remoto e sicurezza porta accesso

[aasmdaa]

Ho creato un sito aziendale che gira su un server. Il sito è accessibile sia in locale che in remoto (è in ASP e gira su un server SBS 2003).

Le domande sono queste:

- per motivi di sicurezza è preferibile che la porta esterna mappata sul router non sia la 80 ma ad esempio la 50237 in modo che sia meno raggiungibile da eventuali attacchi?
- le pagine del sito che sono tutte in ASP e protette da userid e password tramite script ASP vengono indicizzate dai motori di ricerca? Se sì oltre ai meta tag "noindex, nofollow" per non fare indicizzare le pagine interne ci sono altri accorgimenti?

Grazie

[Habanero]

- per motivi di sicurezza è preferibile che la porta esterna mappata sul router non sia la 80 ma ad esempio la 50237 in modo che sia meno raggiungibile da eventuali attacchi?

Se il sito non è pubblico può essere un plus... ma a mio avviso è molto, molto più importante che il server sia sicuro così come l'applicazione che hai sviluppato.
Presta inoltre attenzione al fatto che usare una porta "alta" può comportare problemi in un ambiente dietro firewall che blocca la connessione verso porte non standard o diverse dalla 80.

- le pagine del sito che sono tutte in ASP e protette da userid e password tramite script ASP vengono indicizzate dai motori di ricerca? Se sì oltre ai meta tag "noindex, nofollow" per non fare indicizzare le pagine interne ci sono altri accorgimenti?

Le pagine eventualmente indicizzate sono solo quelle raggiungibili senza l'autenticazione. Attenzione ad eventuali cartelle senza index e con listing abilitato (disabilitare il listing).
Un file robots.txt può indicare ad uno spider dove non andare a curiosare... questo ovviamente può avere un effetto collaterale... mai elencare una cartella non visibile tramite link diretti... indirittamente se ne svelerebbe l'esistenza.

[aasmdaa]

Se il sito non è pubblico può essere un plus... ma a mio avviso è molto, molto più importante che il server sia sicuro così come l'applicazione che hai sviluppato.

Ok fin qui tutto chiaro...

Le pagine eventualmente indicizzate sono solo quelle raggiungibili senza l'autenticazione.

Questo mi è meno chiaro. Le pagine per le quali bisogna autenticarsi (tutte in questo caso) non vengono comunque indicizzate? (anche se non ho inserito il meta "noindex,nofollow"?)

Attenzione ad eventuali cartelle senza index e con listing abilitato (disabilitare il listing).

Cosa intendi per cartelle senza index? E per "disabilitare il listing" ?

mai elencare una cartella non visibile tramite link diretti... indirittamente se ne svelerebbe l'esistenza.

Questo non l'ho capito... mi consigli di mettere comunque il robots.txt o in questo caso è preferibile non metterlo proprio?

[Habanero]

ci sono due aspetti

1) Cosa deve o non deve essere indicizzato dai motori
2) Cosa uno può manualmente scoprire una volta che individua la presenza di un sito web privato

• ipotizzando l'assenza di noindex, nofollow un motore può ovviamente indicizzare solo quello che vede (le sole pagine di autenticazione).
• noindex, nofollow dovrebbe impedire l'indicizzazione della pagina ed impedire allo spider di proseguire nell'esplorazione della gerarchia di link
• il file robots.txt può raggruppare in modo centralizzato per tutto il sito le politiche di indicizzazione. Con poche semplici direttive è possibile bloccare l'indicizzazione su tutto il sito, indipendentemente dal numero e dalla posizione delle pagine.
• per proteggere una cartella privata dall'indicizzazione alcuni commettono l'errore di metterla nel file robots. Se nel sito non esiste link a tale cartella (o se esiste solo in una sezione il cui accesso necessita un login) si commette l'errore di rendere nota l'esistenza della cartella al mondo. Uno spider che seguisse le regole eviterebbe l'indicizzazione del suo contenuto. Un umano o uno spider meno "carino" attraverso l'indicazione del file robots potrebbe scoprirne l'esistenza per eseguire ulteriori analisi.

Se non devi indicizzare nessuna pagina dovrebbe essere sufficiente un:

codice:

User-Agent: * 
Disallow: /

salvato in un file di nome robots.txt (in minuscolo) e posto nella radice del sito.

Per quanto riguarda il directory listing mi riferisco a questo:
http://www.ibiblio.org/pub/

La cartella /pub/ non contiene un file index da caricare in modo predefinito. Il server ritorna l'elenco dei file contenuti.
Bisogna verificare che le impostazioni del server non prevedano il listing.

[aasmdaa]

Grazie tutto chiarissimo. Ovviamente il listing l'ho disabilitato in IIS. Aggiungo il file robots come da te indicato e ci metto pure il nodindex,nofollow.

Per quanto riguarda la porta la mappatura la faccio sul router, in realtà il sito giro comunque sulla 80 (comunque per quello non ci sono problemi).

Grazie della consulenza.