La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Sicurezza in Drupal Corso Drupal 2013 Andrea Dori.

Presentazioni simili


Presentazione sul tema: "Sicurezza in Drupal Corso Drupal 2013 Andrea Dori."— Transcript della presentazione:

1 Sicurezza in Drupal Corso Drupal 2013 Andrea Dori

2 Cosa rende sicuro un sito Drupal? Password forti Account dedicati Utilizzare il meno possibile User 1 Rendere stringenti i permessi Usare i text format per limitare linput Evitare di usare PHP filter

3 Password forti Quanto tempo ci vuole per scoprire una password? Ma la password più sicura è anche quella più difficile da ricordare!

4 Password semplici e forti Potete usare, e Drupal le accetta, password di due o più parole. Potete leggere il resto dellarticolo su:

5 Account dedicati Non create account utente condivisi fra più utenti Create ruoli Eventualmente create ruoli multipli da stratificare per raggiungere la granularità voluta Attenzione al ruolo Authenticated

6 Non utilizzare User 1 Come per tutti i sistemi, lutilizzo diretto del superuser è fortemente sconsigliato Ogni account Drupal è legato a un indirizzo di . E un rischio anche la compromissione della casella di posta E possibile creare un account utente in un ruolo di amministrazione e disabilitare user 1 (abilitandolo quando serve, eventualmente)

7 Rendere stringenti i permessi Concedere il meno possibile permessi non specifici, come bypass view access control, ad esempio Come detto prima, non abbiate paura di creare troppi ruoli Drupal consente una grande granularità, bisogna sfruttarla

8 Usare i text format per controllare loutput La possibilità di inserire qualsiasi sequenza di caratteri in un campo testo di Drupal porta alla vulnerabilità più diffusa: il cross-site scripting (XSS) Lutilizzo di filtered HTML o plain text elimina o rompe le sequenze di caratteri minacciose Il modulo Security Review vi fornisce una valutazione sullo stato di sicurezza del sito Per saperne di più su XSS:

9 Evitare di usare PHP filter Anche se è comodo inserire codice PHP direttamente nellinterfaccia web è anche molto pericoloso! – È difficile eseguire il debug del codice – Il versioning diventa impossibile – Un hacker potrà iniettare qualsiasi tipo di codice se lasciate aperta la possibilità

10 Sicurezza dei moduli I moduli non sono sicuri tutti allo stesso modo e la sicurezza complessiva di un sito è quella del modulo meno sicuro Come faccio a capire se un modulo o un tema sono sicuri?

11 Moduli diffusi e mantenuti I moduli più diffusi e con alta frequenza di aggiornamento sono anche più sicuri

12 Moduli con minori problemi di sicurezza Per controllare il livello di sicurezza di un modulo è utile controllare la coda degli issues

13 Eseguite sempre gli aggiornamenti Gli aggiornamenti della codebase e dei moduli costituiscono la pietra angolare della sicurezza complessiva del sito

14 Sicurezza del sistema La sicurezza del sistema sul quale Drupal è installato è ovviamente fondante del sistema di sicurezza complessivo. Anche se il sistema resiste agli attacchi può subire consistenti impatti sulle performance se viene continuamente attaccato.

15 Un metodo di protezione del sistema: il.htaccess Tramite una corretta configurazione del.htaccess è possibile evitare che gli attacchi vengano elaborati tramite PHP e Mysql. Questo ha il duplice effetto di rendere più sicuro il sistema e migliorare le performance. Un esempio: RewriteCond %{QUERY_STRING} ^.*(tag=|DFind).* [NC] RewriteRule ^(.*)$ - [F,L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)$ index.php?q=$1 [L,QSA]


Scaricare ppt "Sicurezza in Drupal Corso Drupal 2013 Andrea Dori."

Presentazioni simili


Annunci Google