Sicuro? Sicuro!

Domanda

Come siamo messi con la sicurezza in Sar-At? Sono rimasto scoraggiato studiando Mambo per la gran quantità di problemi di sicurezza che vengono trovati di continuo

Risposta

La sicurezza informatica è uno dei pilastri in Accomazzi.net e il codice sorgente viene continuamente rivisto per irrobustirlo e renderlo più sicuro. La sicurezza è progettata in Sar-At sin dalle basi: il programma non è stato scritto in modo insicuro e poi continuamente rivisto per tappare le falle man mano che vengono scoperte, come accade in altri casi.
Per esempio, tutti i programmi di gestione dinamica contenuti sul web (CMS) che abbiamo esaminato in profondità (e sono parecchi, perché andiamo sempre in caccia di buone idee da adottare) registrano da qualche parte in mezzo al codice la password con cui il software accede al database. Quindi se un malintenzionato riesce ad accedere ai documenti registrati sul server, per esempio perché è un altro cliente del medesimo server oppure perché c'è un altro difetto di sicurezza sul server, riesce a sbirciare la password e a quel punto può fare il bello e il cattivo tempo. Il nostro programma si comportava nello stesso modo sino alla versione 5.1, ma oggi le password non sono registrate "in chiaro" da nessunissima parte.
Molti programmi poi sono suscettibili a una tecnica intrusiva chiamata "SQL injection". È ben descritta in molte pagine sul web, ragion per cui non ne parleremo qui. In sostanza, si tratta di osservare come sono fatti i moduli (come quello dove veniamo identificati per nome e password) e come sono fatti gli indirizzi delle pagine; poi inviare al server i dati di un modulo o indirizzi alterati maliziosamente per ottenere un effetto intrusivo.
Sar-At, attraverso l'uso di una libreria di astrazione SQL - in sostanza, un pezzo di software che isola il database dal programma vero e proprio - è immune alle manipolazioni degli indirizzi. In alcune vecchie versioni del nostro programma c'era un difetto nel modulo di login, che permetteva di entrare nel sistema usando la password fittizia apostrofo slash asterisco, ma è stato risolto dalla versione 5.3. Il processo di login è stato ulteriormente irrobustito nella versione 7.0 e poi nella 7.1, che effettua controlli multipli prima di garantire l'accesso.

Domande & Risposte:

Come ti collego ai social network
27-06-2010. Creazione di un link amichevole ed efficace da un sito Sar-At a Twitter

Guardare al futuro
02-06-2010. Come separare i record (le pagine) timbrate con data passata da quelli con data futura

Punto e a capo
11-01-2010. Cosa succede quando una andata a capo viene inserita nel CMS

Immagine Non ci si pu distrarre un attimo
11-10-2009. Cosa significa un messaggio d'errore che sembra una pagina HTML

Immagine Un due tre, login
07-06-2009. Bigino per la creazione di un modulo di login al sito

Immagine È importante restare aggiornati
26-05-2009. Accomazzi.net offre sempre tutti gli aggiornamenti all'ultima versione. Compresi nel prezzo

Pagamento cache Come sfruttare la cache di Sar-At per avere siti velocissimi. E non finirne vittima

Anteprima o preview? Il nuovo pulsante a tre stati di Sar-At 7 ha alcune caratteristiche interessanti ma non intuitive

Premiata ditta import export Importare da applicativi differenti non è un problema

Personalizzazione della interfaccia utente Sar-At

Testare l''installazione Come verificare che l'installazione di Sar-At sia correttamente completata

Rigenerazione! Come far generare automaticamente al sistema una pagina mastro basilare ed editabile?

Sincronizzazione di siti multipli

Form multipagina Spezzare la racciolta dati su più pagine HTML

Benvenuto, Safari 3 La barra degli strumenti per testi lunghi è compatibile con la nuova versione del programma Apple

Strano nome... Come dare nome a un content management system

La pagina pasticciata Sono stati inseriti colori e stili inappropriati che macchiano la pagina? Rimediare è facile

Sicuro? Sicuro! Robustezza e resistenza agli attacchi degli hacker: ecco perché Sar-At è il numero uno

L'amore, ah, l'amore Gestione di apici e virgolette nel CMS

Senza radice Quando cambia la password del proprietario del server, qualcosa può andare storto

Approvazione di una pagina rivista

Il formato delle date Come convertire le date nel formato nazionale prescelto

La tabella si sbarella Come lavorare se Sar-At si rifiuta di inserire altre pagine in una sezione

Il browser e la cache Come impedire che venga servita una versione obsoleta di una pagina? (Risposta breve: non c'è bisogno di fare nulla)

Trova argomenti correlati Una Vista per trovare tutte le pagine di argomento consimile a quella corrente

IF ma non BEGIN Sar-At no consente di cambiare la password di root dal suo interno. Perchè, e cosa succede se viene cambiata con altri mezzi?

Porzione solo per utenti registrati

Sar-At e Windows Compatibilità con i sistemi operativi per server

Auto-registrazione Come consentire ai visitatori di crearsi un accesso al sito

Sincronizzazione e moduli

Eliminazione di una sezione: non è completa?