Dubbio su update CMSMS...

[nervino]

Ciao a tutti,
ho un dubbio.

Una volta sviluppato un sito con una versione "X" di CMSMS, per mantenerlo sicuro è necessario installare gli eventuali updates a versioni successive. Ma è necessario farlo in eterno?

Mi spiego: quando viene rilasciata una versione con importanti modifiche, ad esempio dalla 1.5 alla 1.6.x, per la quale non ci sono nemmeno i file diff, se si rimane con la vecchia versione 1.5.x si rischia in termini di sicurezza (eventuali falle nel codice ecc.) o semplicemente non si usufruisce delle funzionalità aggiunte?

[alby]

Mi spiego: quando viene rilasciata una versione con importanti modifiche, ad esempio dalla 1.5 alla 1.6.x, per la quale non ci sono nemmeno i file diff, se si rimane con la vecchia versione 1.5.x si rischia in termini di sicurezza (eventuali falle nel codice ecc.) o semplicemente non si usufruisce delle funzionalità aggiunte?

Gli upgrade di sicurezza possono essere nelle major release (che in genere sono feature o grossi cambi nel codice ma ad es. è capitato per la 1.4.X a 1.5) ma anche in minor release (che in genere sono solo bugfix ma ad es. è il caso della corrente 1.6.X a 1.6.3)

Alby

[nervino]

Ovviamente la cosa migliore è aggiornare sempre all'ultima versione disponibile. Ma questo comporta anche la correzione di quelle parti di codice o moduli che si sono eventualmente modificati, nel caso in cui la nuova versione del CMSMS lo richieda, senza parlare del tempo richiesto per gli upgrade quando i siti da gestire sono tanti.

La cosa migliore sarebbe, dal mio punto di vista, che ci fosse un luogo dove controllare eventuali avvisi di problemi di sicurezza, con l'elenco delle versioni di CMSMS interessate. In questo modo si potrebbero applicare le patch alla propria versione senza dover necessariamente fare un upgrade ad una major release.

Esiste un elenco di avvisi del genere, relativi alla sicurezza, da qualche parte?


Tu come ti regoli? Quale metodologia consigli per tenere il sistema in sicurezza rispetto al codice?

(Ti sembrerò uno psicopatico ossessionato dalla sicurezza, ma mi hanno da poco bucato il server per fare spam, nonostante fosse costantemente aggiornato, quindi sono piuttosto sensibile al problema...)

(il resto te lo chiedo nell'altro tuo post sulla sicurezza http://forum.cmsmadesimple.org/index.php?topic=16126.0)

grazie.

[alby]

Esiste un elenco di avvisi del genere, relativi alla sicurezza, da qualche parte?

Nell'annuncio della release è sempre specificato, vedi ad esempio quello relativo a 1.6.3
http://forum.cmsmadesimple.org/index.ph ... #msg170747

Tu come ti regoli? Quale metodologia consigli per tenere il sistema in sicurezza rispetto al codice?

Non può esserci una metodologia standard: il livello di sicurezza deve essere adeguato all'importanza/servizi presenti in quel sito e al contratto di servizio che tu offri per il mantenimento

Alby

[nervino]

Nell'annuncio della release è sempre specificato, vedi ad esempio quello relativo a 1.6.3
http://forum.cmsmadesimple.org/index.ph ... #msg170747

Ho letto. Insomma, la sicurezza maggiore si ha facendo sempre gli upgrade alle nuove versioni. Se poi si passa alla versione 2.0, ad esempio, è probabile che vada riscritta qualche riga del proprio codice se non è più compatibile con la nuova vers., ma almeno si sta al passo con le patch.

Non può esserci una metodologia standard: il livello di sicurezza deve essere adeguato all'importanza/servizi presenti in quel sito e al contratto di servizio che tu offri per il mantenimento

Alby

Non posso che essere d'accordo. In effetti non si può garantire la manutenzione e gli upgrade a tutti, sempre e comunque...

Ok, mi hai schiarito un po' le idee Alby. Gracias!

[alby]

Se poi si passa alla versione 2.0, ad esempio, è probabile che vada riscritta qualche riga del proprio codice se non è più compatibile con la nuova vers., ma almeno si sta al passo con le patch.

In verità, se scrivi moduli o hai patchato alcuni moduli può capitare che in una major release non funzionino più (esempio nella 1.6 per chi ha un content-type)
In genere cerco di limitare il più possibile i patch ai moduli/core ma comunque cerco sempre di tenerli aggiornati "ad ogni modifica" perchè utilizzo le versioni SVN di core/moduli (esempio però da NON SEGUIRE)

Alby

[nervino]

Si in effetti il problema potrebbe essere proprio quello di dover modificare i moduli creati. Infatti, ormai se devo aggiungere una applicazione al sito, anche se piccola, sviluppo un modulo senza includere codice PHP "esterno".

Un'ultima domanda (..anzi 2  ).
Può succedere che una falla di sucurezza nel codice di un sito comprometta l'intero server?

Di solito, invece che impostare a 777 le proprietà di una directory, faccio diventare proprietario Apache. È sbagliato?

[alby]

Può succedere che una falla di sucurezza nel codice di un sito comprometta l'intero server?

certo, peggio ancora se riesce a diventare "root" (ma è più difficile)
è la prassi, specialmente in un servizio hosting con centinaia di siti, che bucato un sito faccia danni anche in altri

Di solito, invece che impostare a 777 le proprietà di una directory, faccio diventare proprietario Apache. È sbagliato?

Dipende, al limite potrebbe essere più dannoso (vedi sopra).
Con apache 2.4 "dovrebbe" esserci la possibilità di configurare il sito con il proprio account così da evitare proprio il caso sopra

Alby