Sicurezza

Accomazzi.net considera la sicurezza una delle proprie massime priorità. A dimostrazione dell'attenzione con cui questa tematica viene gestita, nessun sito Sar-At è mai stato aggredito con successo, sfregiato o manipolato da estranei, dal 1997 ad oggi. Questo paragrafo offre alcuni dettagli sulla sicurezza e raccomandazioni cui il cliente dovrà attenersi per garantire che la sicurezza non venga compromessa.

L'accesso in modifica alle sezioni del sito è consentito solo a chi sia in possesso di una parola d'ordine concordata. Poiché il possesso della parola d'ordine consente interventi sul contenuto del sito visibile al pubblico, è fondamentale che il proprietario mantenga riservata, con la massima cura, questa informazione. È possibile registrare in Sar-At informazioni tutelate dalla legge sulla privacy, poiché il nostro programma ne rispetta i requisiti. Sarà necessario, quando si crea un nuovo amministratore di sistema, abilitare l'opzione che ne gestisce la password secondo i dettami del decreto legislativo 196/2003.

Accomazzi.net non sarà ritenuta responsabile se una o più tra le password prescelte venissero divulgate. Chiunque sia in possesso di una password può intervenire immediatamente, con effetti devastanti, sul contenuto pubblico del sito. Quindi è indispensabile che le password vengano scelte con cura e vengano mantenute riservate. In caso di dubbio, consigliamo di cambiare immediatamente la password compromessa con un'altra.

In Sar-At, un responsabile di livello più alto può sempre cambiare le password di tutti i sottoposti ma non la propria. Root può cambiare tutte le password di tutti i responsabili di sito. Il responsabile di sito cambia le password dei collaboratori che abilita a lavorare sul suo sito, accedendo alla schermata "Amministratori" di Sar-At. La modifica di un altro attributo dell'amministratore sottoposto, lasciando in bianco lo spazio "password", lascia invariata quest'ultima.

Sar-At esegue la trasmissione della password dell'amministratore solo all'atto della prima connessione, quando essa viene digitata. Durante il resto della sessione di lavoro, Sar-At usa una combinazione di tecnologie (i cookie del browser e le sessioni del protocollo HTTP) per evitare che la password venga esplicitamente trasmessa.

Questo meccanismo minimizza il rischio che la password venga intercettata, ma non può annullarlo, perché nel sistema HTTP le informazioni viaggiano su Internet "in chiaro", senza protezioni.

Se il vostro sito contiene informazioni privilegiate, o comunque per garantire che nessun malintenzionato, anche tecnicamente abilissimo, possa intercettare il vostro traffico e catturare la password dell'amministratore, è possibile limitare l'accesso in scrittura alla base dati del Sar-At attraverso un server sicuro "server sicuro" HTTPS con tecnologia SSL.

Il codice di Sar-At è stato testato approfonditamente per garantire che siano impossibili gli exploit, cioè per garantire che un amministratore con privilegi limitati possa manipolare il sito al di là delle sue autorizzazioni, digitando a mano URL (indirizzi) riservati al responsabile del sito. La tecnica chiamata SQL Injection non è utilizzabile in Sar-At 7.

Accomazzi.net raccomanda che al termine di una sessione di lavoro ogni amministratore clicchi il pulsante "Log out". Questo garantisce che la password venga cancellata dalla memoria del vostro personal computer, compresi i cookie.

Security through obfuscation: il codice PHP del Sar-At non è visibile a chi si collega al sito. Nella versione 7 sono protetti anche i moduli aggiuntivi, come i plug-in e le librerie.