[Soci SLIP] permessi di scrittura per joomla

Lucio Crusca lucio a sulweb.org
Lun 24 Maggio 2010 07:06:50 CEST

Messaggio precedente: [Soci SLIP] permessi di scrittura per joomla
Prossimo messaggio: [Soci SLIP] permessi di scrittura per joomla
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

In data lunedì 24 maggio 2010 00:00:03, Enrico Agliotti ha scritto:
> a proposito di joomla, sto cimentandomi anche io con una installazione
> ma non ho capito quali permessi devo assegnare ai file e alle
> directory coinvolte.
> 
> Joomla inzialmente si lamentava del fatto che configure.php non è
> scrivibile. Ma da chi deve essere scrivibile? Da www-data(*)?
Esatto

> 
> Poi ho capito che per superare questa cosa si usa un "layer ftp" (!)
Io non l'ho mai abilitato, pensavo che fosse utile solo nel caso in cui 
l'hosting provider fornisce accesso al filesystem solo via ftp.

> ed in effetti, dopo averlo abilitato, la configurazione viene salvata
> correttamente.
Questo probabilmente perché il demone ftp del provider gira come root e decide 
lui i cosa lasciar scrivere e cosa no (potrebbe essere che lascia scrivere 
qualsiasi cosa indipendentemente dai permessi impostati?). 

> Il fatto è che il problema si ripresenta uguale con l'installazione
> del primo componente.
Devi dare permesso in scrittura almeno su tmp e components a www-data. Io per 
tagliare corto di solito do il permesso in scrittura su tutta la cartella del 
sito a www-data.

> 
> Sbaglio qualcosa? O devo davvero aprire il mio server al mondo intero?
> 
> (*) l'utente con cui gira apache, della serie: per noi la sicurezza
> non è un problema

Probabilmente dare il permesso in scrittura a www-data diminuisce dal punto di 
vista teorico la sicurezza, ma non credo che sia una cosa poi così tragica. 
L'unico modo in cui qualcuno potrebbe trarre vantaggio dal permesso di 
scrittura è sfruttare un eventuale errore di programmazione in apache o in 
php, perché se l'errore è in joomla, è altamente probabile che si tratti di 
una sql-injection, ovvero il cracker riesce a scrivere sul tuo database e non 
ha bisogno del permesso di scrittura sulla cartella per farlo.
Errori di programmazione in apache e php ce ne sono stati e ce ne saranno 
ancora, ma gravi al punto di dare accesso al filesystem ad un client non 
autenticato si spera non si vedano più e comunque se dovessero presentarsi 
credo che non dare accesso in scrittura alla cartella del sito NON sarà 
sufficiente a salvare la situazione, perché con errori tanto gravi nel codice 
del server il cracker avrà vita facile a tirarti giù il sito anche senza 
l'accesso in scrittura alla cartella principale.

Per come la vedo io, avere il servizio ftp attivo sulla cartella principale 
del sito è di per sè un problema di sicurezza molto più grave che non il 
permesso di scrittura a www-data.

Il tutto non è dimostrabile ed è chiaramente una mia opinione, quindi prendila 
per quel che vale.

Messaggio precedente: [Soci SLIP] permessi di scrittura per joomla
Prossimo messaggio: [Soci SLIP] permessi di scrittura per joomla
Messaggi ordinati per: [ Data ] [ Thread ] [ Oggetto ] [ Autore ]

Maggiori informazioni sulla lista Soci