pikadilly

Anche io ho smesso di pormi il problema per ora, vediamo in futuro che succede.

canados

@pikadilly said:

Anche io ho smesso di pormi il problema per ora, vediamo in futuro che succede.
ehi ehi
forse ho risolto
prova così e fammi sapere

crea un file e chiamalo php.ini
mettici
register_globals = 0

inseriscilo nella cartella installation

da me sembra ok adesso

canados

@Canados said:

ehi ehi
forse ho risolto
prova così e fammi sapere

crea un file e chiamalo php.ini
mettici
register_globals = 0

inseriscilo nella cartella installation

da me sembra ok adesso
rettifico,nella cartella administrator

pikadilly

E'vero funziona...
Mi domando se sia così semplice...LOL
E' da un pò che non metto mano a joomla.

canados

@pikadilly said:

E'vero funziona...
Mi domando se sia così semplice...LOL
E' da un pò che non metto mano a joomla.
a quanto pare è così che funziona, ho seguito il consiglio di un tipo su non so quale sito

sinistar

Mettendolo nella cartella administrator a me non va
e metterlo nella cartella installation non serve a nulla perchè alla fine dell'installazione quella cartella va cancellata.
Vabbè..

canados

@Sinistar said:

Mettendolo nella cartella administrator a me non va
e metterlo nella cartella installation non serve a nulla perchè alla fine dell'installazione quella cartella va cancellata.
Vabbè..
basta metterlo sono in administrator

bsaett

Scusate, di direttive del genere non sono molto pratico, ma per quello che so io un file messo nella cartella administrator ha effetto solo in quella cartella e nelle cartelle sottostanti, non in quelle superiori. Quindi, secondo me, l'unico effetto che avete e che entrando nel pannello di amministrazione il register globals è a posto, ma per il resto del sito no.
Forse mi sbaglio però

SitiSeo

Quoto bsaett, dovrebbere esse proprio cosi...non vedete l'avviso, ma il php.ini non penso che dia rilevanza ad un'istruzione esterna, rispetto alla sua direttiva principale.

pikadilly

Era quello che volevo dire io...

bsaett

Per quanto riguarda il PHP.ini deve essere il provider a concedere l'accesso. Dovete chiedere all'assistenza. Inoltre ogni modifica al PHP.ini necessita di riavvio del server, cosa che non può fare l'utente.

In genere è possibile sovrascrivere le direttive tramite .htaccess che non necessita di riavvio del server, visto che è letto ad ogni richiesta al server.
Provate a chiedere all'assitenza i corretti parametri per l'htaccess.

canados

@bsaett said:

Per quanto riguarda il PHP.ini deve essere il provider a concedere l'accesso. Dovete chiedere all'assistenza. Inoltre ogni modifica al PHP.ini necessita di riavvio del server, cosa che non può fare l'utente.

In genere è possibile sovrascrivere le direttive tramite .htaccess che non necessita di riavvio del server, visto che è letto ad ogni richiesta al server.
Provate a chiedere all'assitenza i corretti parametri per l'htaccess.
ok..chiederò ad aruba. Scusa, cosa dovrei chiedere esattamente? Informazioni su come impostare il file htacess per joomla?
thanks

bsaett

Potresti chiedere direttamente come impostare il REGISTER GLOBALS ad OFF.

canados

Gentile cliente,

Le comunico che non è possibile apportare modifiche al paramentro da Lei indicato in quanto non sono consentite impostazioni personalizzate in ambiente condiviso.

In caso La invito a consultare la nostra guida in merito ai server virtuali presso:
http://serverdedicati.aruba.it/virtualserver.aspx

bsaett

Il problema sembra risolto, quella direttiva non si può cambiare.
Joomla rimarrà insicuro purtroppo.

canados

@bsaett said:

Il problema sembra risolto, quella direttiva non si può cambiare.
Joomla rimarrà insicuro purtroppo.
ciao,
allora come si fa a renderlo più sicuro possibile?

canados

salve,
la scarsa sicurezza non è cosa da poco. Ancora il sito ha pochi articoli. Mi conviene cambiare CMS? almeno che non ci sia un modo per rendere joomla abbastanza sicuro

bsaett

Non ti conviene cambiare CMS, Joomla è uno dei più sicuri, ma per mantenerlo sicuro devi risolvere i warning del pannello di controllo, il register globals e l'RG emulation, che devono essere settati a OFF.

canados

@bsaett said:

Non ti conviene cambiare CMS, Joomla è uno dei più sicuri, ma per mantenerlo sicuro devi risolvere i warning del pannello di controllo, il register globals e l'RG emulation, che devono essere settati a OFF.
RG emulation l'ho sistemato
register globals rimane un punto interrogativo

provo questo

io avevo il file htaccess, poi il gentilissimo GloboGsm mi ha mandato un file .htaccess e l'ho messo via ftp. Ho comunque lasciato il preesistente htacess pensando che desse fastidio

adesso dovrei inserire
php_flag register_globals off
alla fine del file .htaccess mandatomi da GloboGsm
possibile soluzione?

bsaett

Mi pareva di aver capito che il tuo provider ti aveva detto che il register globals non può essere modificato !

Comunque .htaccess deve essere così:

php_value register_globals 0

@version $Id: htaccess.txt 1570 2005-12-29 05:53:33Z eddieajau $

@package Joomla

@copyright Copyright (C) 2005 Open Source Matters. All rights reserved.

@license http://www.gnu.org/copyleft/gpl.html GNU/GPL

Joomla! is Free Software

mod_rewrite in use

RewriteEngine On

NOTE!

When using multiple Joomla sites or other web applications in sub-folders,

you must explicitly turn the RewriteEngine off or use the settings

recommended for the application

Uncomment following line if your webserver's URL

is not directly related to physical file paths.

Update YourJoomlaDirectory (just / for root)

RewriteBase /

Rules

RewriteCond %{REQUEST_FILENAME} !.(jpg|jpeg|gif|png|css|js|pl|txt)$
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*) index.php
########## Begin - Rewrite rules to block out some common exploits

If you experience problems on your site block out the operations listed below

This attempts to block the most common type of exploit attempts to Joomla!

Block out any script trying to set a mosConfig value through the URL

RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|%3D)

Block out any script trying to base64_encode crap to send via URL

RewriteCond %{QUERY_STRING} base64_encode.(.)

Block out any script that includes a <script> tag in URL

RewriteCond %{QUERY_STRING} (<|%3C).script.(>|%3E) [NC,OR]

Block out any script trying to set a PHP GLOBALS variable via URL

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2})

Block out any script trying to modify a _REQUEST variable via URL

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

Send all blocked request to homepage with 403 Forbidden error!

RewriteRule ^(.*)$ index.php [F,L]

########## End - Rewrite rules to block out some common exploits

La prima riga sovrascrive la direttiva register globals. Questo è però possibile solo se il provider lo consente.
La riga può differire da provider a provider. Ad esempio:

php_value register_globals off

php_value register_globals = off

php_value register_globals = 0

L'alternativa che indichi tu col link non la avevo mai vista, comunque puoi anche provare quella. Ma ripeto, è l'assistenza del tuo provider che ti deve indicare la corretta sintassi della direttiva e se sia possibile attivarla o meno.

Allora crea un file htaccess.txt con i comandi sopra indicati, lo carichi via FTP e poi lo rinomini in .htaccess.
All'inizio prova solo la prima riga perchè anche le successive potrebbero differire.