Sicurezza in drupal
Download
1 / 15

Sicurezza in Drupal - PowerPoint PPT Presentation


  • 138 Views
  • Uploaded on

Sicurezza in Drupal. Corso Drupal 2013 Andrea Dori. Cosa rende sicuro un sito Drupal?. Password ‘forti’ Account dedicati Utilizzare il meno possibile User 1 Rendere stringenti i permessi Usare i text format per limitare l’input Evitare di usare PHP filter. Password ‘forti’.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' Sicurezza in Drupal' - ganit


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Sicurezza in drupal

Sicurezza in Drupal

Corso Drupal 2013

Andrea Dori


Cosa rende sicuro un sito drupal
Cosa rende sicuro un sito Drupal?

  • Password ‘forti’

  • Account dedicati

  • Utilizzare il meno possibile User 1

  • Rendere stringenti i permessi

  • Usare i text format per limitare l’input

  • Evitare di usare PHP filter


Password forti
Password ‘forti’

Quanto tempo ci vuole per scoprire una password?

Ma la password più sicura è anche quella più difficile da ricordare!


Password semplici e forti
Password semplici e ‘forti’

Potete usare, e Drupal le accetta, password di due o più parole.

Potete leggere il resto dell’articolo su: http://www.baekdal.com/insights/password-security-usability


Account dedicati
Account dedicati

  • Non create account utente condivisi fra più utenti

  • Create ruoli

  • Eventualmente create ruoli multipli da stratificare per raggiungere la granularità voluta

  • Attenzione al ruolo Authenticated


Non utilizzare user 1
Non utilizzare User 1

  • Come per tutti i sistemi, l’utilizzo diretto del superuser è fortemente sconsigliato

  • Ogni account Drupal è legato a un indirizzo di email. E’ un rischio anche la compromissione della casella di posta

  • E’ possibile creare un account utente in un ruolo di amministrazione e disabilitare user 1 (abilitandolo quando serve, eventualmente)


Rendere stringenti i permessi
Rendere stringenti i permessi

  • Concedere il meno possibile permessi non specifici, come ‘bypass view access control’, ad esempio

  • Come detto prima, non abbiate paura di creare troppi ruoli

  • Drupal consente una grande granularità, bisogna sfruttarla


Usare i text format per controllare l output
Usare i text format per controllare l’output

  • La possibilità di inserire qualsiasi sequenza di caratteri in un campo testo di Drupal porta alla vulnerabilità più diffusa: il cross-site scripting (XSS)

  • L’utilizzo di ‘filtered HTML’ o ‘plain text’ elimina o rompe le sequenze di caratteri ‘minacciose’

  • Il modulo Security Review vi fornisce una valutazione sullo stato di sicurezza del sito

  • Per saperne di più su XSS: http://en.wikipedia.org/wiki/Cross-site_scripting


Evitare di usare php filter
Evitare di usare PHP filter

  • Anche se è comodo inserire codice PHP direttamente nell’interfaccia web è anche molto pericoloso!

    • È difficile eseguire il debug del codice

    • Il versioning diventa impossibile

    • Un hacker potrà iniettare qualsiasi tipo di codice se lasciate aperta la possibilità


Sicurezza dei moduli
Sicurezza dei moduli

  • I moduli non sono sicuri tutti allo stesso modo e la sicurezza complessiva di un sito è quella del modulo meno sicuro

  • Come faccio a capire se un modulo o un tema sono sicuri?


Moduli diffusi e mantenuti
Moduli diffusi e mantenuti

  • I moduli più diffusi e con alta frequenza di aggiornamento sono anche più sicuri


Moduli con minori problemi di sicurezza
Moduli con minori problemi di sicurezza

  • Per controllare il livello di sicurezza di un modulo è utile controllare la coda degli issues


Eseguite sempre gli aggiornamenti
Eseguite sempre gli aggiornamenti

  • Gli aggiornamenti della codebase e dei moduli costituiscono la pietra angolare della sicurezza complessiva del sito


Sicurezza del sistema
Sicurezza del sistema

  • La sicurezza del sistema sul quale Drupal è installato è ovviamente fondante del sistema di sicurezza complessivo.

  • Anche se il sistema ‘resiste’ agli attacchi può subire consistenti impatti sulle performance se viene continuamente attaccato.


Un metodo di protezione del sistema il htaccess
Un metodo di protezione del sistema: il .htaccess

  • Tramite una corretta configurazione del .htaccess è possibile evitare che gli attacchi vengano elaborati tramite PHP e Mysql. Questo ha il duplice effetto di rendere più sicuro il sistema e migliorare le performance.

    Un esempio:

    RewriteCond %{QUERY_STRING} ^.*(tag=|DFind).* [NC]

    RewriteRule ^(.*)$ - [F,L]

    RewriteCond %{REQUEST_FILENAME} !-f

    RewriteCond %{REQUEST_FILENAME} !-d

    RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]


ad