Corso Drupal 2013 Andrea Dori

Presentazione sul tema: "Corso Drupal 2013 Andrea Dori"— Transcript della presentazione:

1 Corso Drupal 2013 Andrea Dori
Sicurezza in Drupal Corso Drupal 2013 Andrea Dori

2 Cosa rende sicuro un sito Drupal?
Password ‘forti’ Account dedicati Utilizzare il meno possibile User 1 Rendere stringenti i permessi Usare i text format per limitare l’input Evitare di usare PHP filter

3 Password ‘forti’ Quanto tempo ci vuole per scoprire una password?
Ma la password più sicura è anche quella più difficile da ricordare!

4 Password semplici e ‘forti’
Potete usare, e Drupal le accetta, password di due o più parole. Potete leggere il resto dell’articolo su:

5 Account dedicati Non create account utente condivisi fra più utenti
Create ruoli Eventualmente create ruoli multipli da stratificare per raggiungere la granularità voluta Attenzione al ruolo Authenticated

6 Non utilizzare User 1 Come per tutti i sistemi, l’utilizzo diretto del superuser è fortemente sconsigliato Ogni account Drupal è legato a un indirizzo di . E’ un rischio anche la compromissione della casella di posta E’ possibile creare un account utente in un ruolo di amministrazione e disabilitare user 1 (abilitandolo quando serve, eventualmente)

7 Rendere stringenti i permessi
Concedere il meno possibile permessi non specifici, come ‘bypass view access control’, ad esempio Come detto prima, non abbiate paura di creare troppi ruoli Drupal consente una grande granularità, bisogna sfruttarla

8 Usare i text format per controllare l’output
La possibilità di inserire qualsiasi sequenza di caratteri in un campo testo di Drupal porta alla vulnerabilità più diffusa: il cross-site scripting (XSS) L’utilizzo di ‘filtered HTML’ o ‘plain text’ elimina o rompe le sequenze di caratteri ‘minacciose’ Il modulo Security Review vi fornisce una valutazione sullo stato di sicurezza del sito Per saperne di più su XSS:

9 Evitare di usare PHP filter
Anche se è comodo inserire codice PHP direttamente nell’interfaccia web è anche molto pericoloso! È difficile eseguire il debug del codice Il versioning diventa impossibile Un hacker potrà iniettare qualsiasi tipo di codice se lasciate aperta la possibilità

10 Sicurezza dei moduli I moduli non sono sicuri tutti allo stesso modo e la sicurezza complessiva di un sito è quella del modulo meno sicuro Come faccio a capire se un modulo o un tema sono sicuri?

11 Moduli diffusi e mantenuti
I moduli più diffusi e con alta frequenza di aggiornamento sono anche più sicuri

12 Moduli con minori problemi di sicurezza
Per controllare il livello di sicurezza di un modulo è utile controllare la coda degli issues

13 Eseguite sempre gli aggiornamenti
Gli aggiornamenti della codebase e dei moduli costituiscono la pietra angolare della sicurezza complessiva del sito

14 Sicurezza del sistema La sicurezza del sistema sul quale Drupal è installato è ovviamente fondante del sistema di sicurezza complessivo. Anche se il sistema ‘resiste’ agli attacchi può subire consistenti impatti sulle performance se viene continuamente attaccato.

15 Un metodo di protezione del sistema: il .htaccess
Tramite una corretta configurazione del .htaccess è possibile evitare che gli attacchi vengano elaborati tramite PHP e Mysql. Questo ha il duplice effetto di rendere più sicuro il sistema e migliorare le performance. Un esempio: RewriteCond %{QUERY_STRING} ^.*(tag=|DFind).* [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]