Ciao a tutti,
ho un dubbio.
Una volta sviluppato un sito con una versione "X" di CMSMS, per mantenerlo sicuro è necessario installare gli eventuali updates a versioni successive. Ma è necessario farlo in eterno?
Mi spiego: quando viene rilasciata una versione con importanti modifiche, ad esempio dalla 1.5 alla 1.6.x, per la quale non ci sono nemmeno i file diff, se si rimane con la vecchia versione 1.5.x si rischia in termini di sicurezza (eventuali falle nel codice ecc.) o semplicemente non si usufruisce delle funzionalità aggiunte?
Dubbio su update CMSMS...
Moderator: magallo
Re: Dubbio su update CMSMS...
Gli upgrade di sicurezza possono essere nelle major release (che in genere sono feature o grossi cambi nel codice ma ad es. è capitato per la 1.4.X a 1.5) ma anche in minor release (che in genere sono solo bugfix ma ad es. è il caso della corrente 1.6.X a 1.6.3)nervino wrote: Mi spiego: quando viene rilasciata una versione con importanti modifiche, ad esempio dalla 1.5 alla 1.6.x, per la quale non ci sono nemmeno i file diff, se si rimane con la vecchia versione 1.5.x si rischia in termini di sicurezza (eventuali falle nel codice ecc.) o semplicemente non si usufruisce delle funzionalità aggiunte?
Alby
Re: Dubbio su update CMSMS...
Ovviamente la cosa migliore è aggiornare sempre all'ultima versione disponibile. Ma questo comporta anche la correzione di quelle parti di codice o moduli che si sono eventualmente modificati, nel caso in cui la nuova versione del CMSMS lo richieda, senza parlare del tempo richiesto per gli upgrade quando i siti da gestire sono tanti.
La cosa migliore sarebbe, dal mio punto di vista, che ci fosse un luogo dove controllare eventuali avvisi di problemi di sicurezza, con l'elenco delle versioni di CMSMS interessate. In questo modo si potrebbero applicare le patch alla propria versione senza dover necessariamente fare un upgrade ad una major release.
Esiste un elenco di avvisi del genere, relativi alla sicurezza, da qualche parte?
Tu come ti regoli? Quale metodologia consigli per tenere il sistema in sicurezza rispetto al codice?
(Ti sembrerò uno psicopatico ossessionato dalla sicurezza, ma mi hanno da poco bucato il server per fare spam, nonostante fosse costantemente aggiornato, quindi sono piuttosto sensibile al problema...)
(il resto te lo chiedo nell'altro tuo post sulla sicurezza http://forum.cmsmadesimple.org/index.php?topic=16126.0)
grazie.
La cosa migliore sarebbe, dal mio punto di vista, che ci fosse un luogo dove controllare eventuali avvisi di problemi di sicurezza, con l'elenco delle versioni di CMSMS interessate. In questo modo si potrebbero applicare le patch alla propria versione senza dover necessariamente fare un upgrade ad una major release.
Esiste un elenco di avvisi del genere, relativi alla sicurezza, da qualche parte?
Tu come ti regoli? Quale metodologia consigli per tenere il sistema in sicurezza rispetto al codice?
(Ti sembrerò uno psicopatico ossessionato dalla sicurezza, ma mi hanno da poco bucato il server per fare spam, nonostante fosse costantemente aggiornato, quindi sono piuttosto sensibile al problema...)
(il resto te lo chiedo nell'altro tuo post sulla sicurezza http://forum.cmsmadesimple.org/index.php?topic=16126.0)
grazie.
Re: Dubbio su update CMSMS...
Nell'annuncio della release è sempre specificato, vedi ad esempio quello relativo a 1.6.3nervino wrote: Esiste un elenco di avvisi del genere, relativi alla sicurezza, da qualche parte?
http://forum.cmsmadesimple.org/index.ph ... #msg170747
Non può esserci una metodologia standard: il livello di sicurezza deve essere adeguato all'importanza/servizi presenti in quel sito e al contratto di servizio che tu offri per il mantenimentonervino wrote: Tu come ti regoli? Quale metodologia consigli per tenere il sistema in sicurezza rispetto al codice?
Alby
Re: Dubbio su update CMSMS...
Ho letto. Insomma, la sicurezza maggiore si ha facendo sempre gli upgrade alle nuove versioni. Se poi si passa alla versione 2.0, ad esempio, è probabile che vada riscritta qualche riga del proprio codice se non è più compatibile con la nuova vers., ma almeno si sta al passo con le patch.alby wrote:
Nell'annuncio della release è sempre specificato, vedi ad esempio quello relativo a 1.6.3
http://forum.cmsmadesimple.org/index.ph ... #msg170747
Non posso che essere d'accordo. In effetti non si può garantire la manutenzione e gli upgrade a tutti, sempre e comunque...alby wrote:
Non può esserci una metodologia standard: il livello di sicurezza deve essere adeguato all'importanza/servizi presenti in quel sito e al contratto di servizio che tu offri per il mantenimento
Alby
Ok, mi hai schiarito un po' le idee Alby. Gracias!
Re: Dubbio su update CMSMS...
In verità, se scrivi moduli o hai patchato alcuni moduli può capitare che in una major release non funzionino più (esempio nella 1.6 per chi ha un content-type)nervino wrote: Se poi si passa alla versione 2.0, ad esempio, è probabile che vada riscritta qualche riga del proprio codice se non è più compatibile con la nuova vers., ma almeno si sta al passo con le patch.
In genere cerco di limitare il più possibile i patch ai moduli/core ma comunque cerco sempre di tenerli aggiornati "ad ogni modifica" perchè utilizzo le versioni SVN di core/moduli (esempio però da NON SEGUIRE)
Alby
Re: Dubbio su update CMSMS...
Si in effetti il problema potrebbe essere proprio quello di dover modificare i moduli creati. Infatti, ormai se devo aggiungere una applicazione al sito, anche se piccola, sviluppo un modulo senza includere codice PHP "esterno".
Un'ultima domanda (..anzi 2 ).
Può succedere che una falla di sucurezza nel codice di un sito comprometta l'intero server?
Di solito, invece che impostare a 777 le proprietà di una directory, faccio diventare proprietario Apache. È sbagliato?
Un'ultima domanda (..anzi 2 ).
Può succedere che una falla di sucurezza nel codice di un sito comprometta l'intero server?
Di solito, invece che impostare a 777 le proprietà di una directory, faccio diventare proprietario Apache. È sbagliato?
Re: Dubbio su update CMSMS...
certo, peggio ancora se riesce a diventare "root" (ma è più difficile)nervino wrote: Può succedere che una falla di sucurezza nel codice di un sito comprometta l'intero server?
è la prassi, specialmente in un servizio hosting con centinaia di siti, che bucato un sito faccia danni anche in altri
Dipende, al limite potrebbe essere più dannoso (vedi sopra).nervino wrote: Di solito, invece che impostare a 777 le proprietà di una directory, faccio diventare proprietario Apache. È sbagliato?
Con apache 2.4 "dovrebbe" esserci la possibilità di configurare il sito con il proprio account così da evitare proprio il caso sopra
Alby