[Linux-Biella] PHP OT:RISOLTO

[Mao]

>Scusate la rudezza... un consiglio spassionato che viene dal cuore: occorre
>leggersi qualche HOW-TO sulla sicurezza in PHP, su come si passano le
>variabili e del PERCHE' register_global e' impostato di default a off...
>ciao
>---
>Marco Ermini
>http://macchi.markoer.org

Non sono daccordo,ma premetto che non voglio accendere nessun flame,vorrei
solo dare la mia opinione a riguardo.
Non è una prospettiva reale quella di eliminare funzionalità dai
sistemi in favore della sicurezza,a mio avviso è un approccio sbagliato.

Questo approccio passivo verso la sicurezza va bene per le distribuzioni
installate di 'default',ovvero la RedHat (per fare un nome) non può
permettersi
di lasciare funzionalità potenzialmente pericolose sui sistemi visto che le
distro installate di default non adottano nessun minimo sistema di
sicurezza.

Seguendo il tuo discorso allora non posso abilitare nfs sui miei sistemi
perchè
insicuro?E se fossi paranoico che faccio,tolgo tutti i servizi dal server?
No non va bene.

L'approccio alla sicurezza dei sistemi in ambito reale (leggi per le aziende
che ti
commissionano un lavoro o server installati per propria necessità),deve
essere
fatto sicuramente seguendo una linea base durante l'installazione del
server,
poi abilitando le funzionalità per cui quel server è stato realizzato,
e infine harderizzando il tutto con metodi attivi o passivi.

Tornando alla mail originale,moltissimi script in php per
squirrelmail,richiedono
register_global=on.Ora,sui server della mia azienda,per politica
aziendale,vengono
fatti sempre gli aggiornamenti dei software (e quindi anche dei plugins)
ogni volta
che escono,per fornire sempre nuove funzionalità e più sicurezza ai clienti.
Sarebbe impensabile perdere giorni per modificare gli script ogni volta che
escono
per supportare il register_global=off.
E che dire dei cgi?Sono sicuri per definizione? No. E l'ftp? Neanche.
La soluzione a questo problema a mio avviso è l'amministratore,che
harderizza
il sistema tramite la sua esperienza,toglie eventuali pacchetti apache
preinstallati,
installa dai sorgenti,chrootta tutto,harderizza con che so systrace,imposta
restrizioni
sulle chiamate di sistema,da dei limiti massimi alla memoria del processo
etc etc.
Sono assolutamente daccordo invece nel togliere sempre e comunque tutti i
servizi e
gli eseguibili non necessari al corretto lavoro del sistema.

Scusate la lunghezza e...
BUON NATALE A TUTTI!!!


_______________________________________________
Linux mailing list
Linux@bilug.linux.it
http://www.bilug.linux.it/mailman/listinfo/linux