[Sicurezza] Caricamento Avatar non sicuro

Started by Darknico, May 12, 2009, 11:23:59 AM

Previous topic - Next topic

Darknico

Recentemente sono stati rilevati numerosi siti attaccati da una debolezza che sembra essere derivato dal caricamento degli avatar

Vediamo come possiamo difenderci fino all'uscita di una patch:




1) Disabilitare il caricamento di allegati & avatar
Questo include anche il caricamento da URL
Disabilitare da
Admin -> Allegati e Avatars -> Impostazioni degli Avatar

  • Togliere la spunta da "Scarica gli avatar dagli URL forniti"
  • Togliere tutte le spunte da: "Gruppi di utenti autorizzati a caricare un avatar sul server:"

Admin -> Allegati e Avatars -> Impostazioni degli allegati

  • Modalità Allegati: Disabilita gli allegati(Per me non serve essere così tragici ma è una maggiore sicurezza)
  • Mettere la spunta su: "Controlla l'estensione degli allegati" e "Memorizza i file con nomi criptati"




2) Controllare se il server ha tutti i software aggiornati

  • La maggior parte degli attacchi vengono effettuati da serve non aggiornati, con versioni ad esempio di php e mysql arretrate, di cui sono uscite versioni nuove per risolvere problemi.
  • Se il server non è vostro, non abbiate paura di chiedere se è così ed un eventuale aggiornamento
  • Controllate le versioni di PHP, Mysql, apache,ecc.. Per fare questo, create un file con questo contenuto:
<?php
phpinfo
();
?>

Salvate con estensione php, ad esemoio phpinfo.php e visualizzatelo
ES. http://www.miosito.com/phpinfo.php




3) Aggiornate SMF all'ultima versione
Ovviamente è la cosa principale: aggiornate sempre il vostro forum!
Vengono creare nuove versioni anche per risolvere eventuali problemi di sicurezza





4) Installare controlli Anti-Spam
Anche questo è molto importante, infatti possono esserci bot automatici che si installano si qualsiasi forum per cercare di infettare

Per come progetterci da questo vi rimando a questo articolo:
Problemi di registrazione SpamBot nel forum SMF




5) Non ignorare i propri utenti e il forum
Molti pensano che una volta installato il tutto, il forum vada avanti da se, anche senza metterci mai mano.
Questo è sbagliato, tenere sempre sott'occhio tutto, manutenzione del forum, del server e del database, aggiornamento mod e forum, controllo annunci di sicurezza e quindi patchare, controllo degli utenti sospetto, blocco degli spam-bot, eccetera...




Dopo aver letto ed eseguito questi consigli, il vostro forum si può dire che è al sicuro, ma ovviamente questo dipende anche da voi, quindi usate con la testa il forum ;)

Italian SMF - Supporto Italiano per la board SMF - Ci trovate tutti li!! :)


Darknico

Italian SMF - Supporto Italiano per la board SMF - Ci trovate tutti li!! :)


Darknico

Italian SMF - Supporto Italiano per la board SMF - Ci trovate tutti li!! :)


Advertisement: