Sicuro? Sicuro!

Domanda

Come siamo messi con la sicurezza in Sar-At? Sono rimasto scoraggiato studiando Mambo per la gran quantità di problemi di sicurezza che vengono trovati di continuo

Risposta

La sicurezza informatica è uno dei pilastri in Accomazzi.net e il codice sorgente viene continuamente rivisto per irrobustirlo e renderlo più sicuro. La sicurezza è progettata in Sar-At sin dalle basi: il programma non è stato scritto in modo insicuro e poi continuamente rivisto per tappare le falle man mano che vengono scoperte, come accade in altri casi.
Per esempio, tutti i programmi di gestione dinamica contenuti sul web (CMS) che abbiamo esaminato in profondità (e sono parecchi, perché andiamo sempre in caccia di buone idee da adottare) registrano da qualche parte in mezzo al codice la password con cui il software accede al database. Quindi se un malintenzionato riesce ad accedere ai documenti registrati sul server, per esempio perché è un altro cliente del medesimo server oppure perché c'è un altro difetto di sicurezza sul server, riesce a sbirciare la password e a quel punto può fare il bello e il cattivo tempo. Il nostro programma si comportava nello stesso modo sino alla versione 5.1, ma oggi le password non sono registrate "in chiaro" da nessunissima parte.
Molti programmi poi sono suscettibili a una tecnica intrusiva chiamata "SQL injection". È ben descritta in molte pagine sul web, ragion per cui non ne parleremo qui. In sostanza, si tratta di osservare come sono fatti i moduli (come quello dove veniamo identificati per nome e password) e come sono fatti gli indirizzi delle pagine; poi inviare al server i dati di un modulo o indirizzi alterati maliziosamente per ottenere un effetto intrusivo.
Sar-At, attraverso l'uso di una libreria di astrazione SQL - in sostanza, un pezzo di software che isola il database dal programma vero e proprio - è immune alle manipolazioni degli indirizzi. In alcune vecchie versioni del nostro programma c'era un difetto nel modulo di login, che permetteva di entrare nel sistema usando la password fittizia apostrofo slash asterisco, ma è stato risolto dalla versione 5.3. Il processo di login è stato ulteriormente irrobustito nella versione 7.0 e poi nella 7.1, che effettua controlli multipli prima di garantire l'accesso.

Domande & Risposte:

Un, due, tre, podcast!
16-12-2011. Realizzare un podcast sfruttando i prezzi imbattibili del cloud computing

Strano nome...
15-11-2011. Come dare nome a un content management system

Immagine Per amor di Google
25-10-2011. SEO, una buona regola per la gestione di contenuti concatenati. Come ottimizzare le pagine del vostro sito con i risultati di una ricerca o viste navigabili.

Immagine Due al prezzo di uno
05-10-2011. Attivare nome di secondo e terzo livello in Sar-At

Immagine Così tante scelte così poco HTML
23-09-2011. Un modulo aggiornabile, sette caselle di spunta, il desiderio di azzerarle tutte, una soluzione

Immagine Briciole di pane
09-09-2011. Come strutturare la barra di navigazione che dice "voi siete qui" ai visitatori di un sito web

Non ci si può distrarre un attimo Cosa significa un messaggio d'errore che sembra una pagina HTML

URL amichevoli e memoria da elefante Come convincere Google ad usare le URL amichevoli sempre e in esclusiva

I segreti del carrello Come funziona il commercio elettronico "sotto al cofano"

Trascinamento colonne Come riposizionare una colonna "incastrata"

Come ti collego ai social network Creazione di un link amichevole ed efficace da un sito Sar-At a Twitter

Guardare al futuro Come separare i record (le pagine) timbrate con data passata da quelli con data futura

Punto e a capo Cosa succede quando una andata a capo viene inserita nel CMS

Un due tre, login Bigino per la creazione di un modulo di login al sito

È importante restare aggiornati Accomazzi.net offre sempre tutti gli aggiornamenti all'ultima versione. Compresi nel prezzo

Pagamento cache Come sfruttare la cache di Sar-At per avere siti velocissimi. E non finirne vittima

Anteprima o preview? Il nuovo pulsante a tre stati di Sar-At 7 ha alcune caratteristiche interessanti ma non intuitive

Premiata ditta import export Importare da applicativi differenti non è un problema

Personalizzazione della interfaccia utente Sar-At

Testare l''installazione Come verificare che l'installazione di Sar-At sia correttamente completata

Rigenerazione! Come far generare automaticamente al sistema una pagina mastro basilare ed editabile?

Sincronizzazione di siti multipli

Form multipagina Spezzare la racciolta dati su più pagine HTML

Benvenuto, Safari 3 La barra degli strumenti per testi lunghi è compatibile con la nuova versione del programma Apple

La pagina pasticciata Sono stati inseriti colori e stili inappropriati che macchiano la pagina? Rimediare è facile

Sicuro? Sicuro! Robustezza e resistenza agli attacchi degli hacker: ecco perché Sar-At è il numero uno

L'amore, ah, l'amore Gestione di apici e virgolette nel CMS

Senza radice Quando cambia la password del proprietario del server, qualcosa può andare storto

Approvazione di una pagina rivista

Il formato delle date Come convertire le date nel formato nazionale prescelto

La tabella si sbarella Come lavorare se Sar-At si rifiuta di inserire altre pagine in una sezione

Il browser e la cache Come impedire che venga servita una versione obsoleta di una pagina? (Risposta breve: non c'è bisogno di fare nulla)

Trova argomenti correlati Una Vista per trovare tutte le pagine di argomento consimile a quella corrente

IF ma non BEGIN Sar-At no consente di cambiare la password di root dal suo interno. Perchè, e cosa succede se viene cambiata con altri mezzi?

Porzione solo per utenti registrati

Sar-At e Windows Compatibilità con i sistemi operativi per server

Auto-registrazione Come consentire ai visitatori di crearsi un accesso al sito

Sincronizzazione e moduli

Eliminazione di una sezione: non è completa?