Problema di sicurezza nel mio sito web

Problema di sicurezza nel mio sito web postato il 30/06/2017 13:06:54 nel forum programmazione, gdrcd, open source, hosting

Buongiorno,

Premetto che non sono un programmatore esperto, quindi chi può darmi una mano a riguardo lo invito molto gentilmente e lo prego di spiegarmi le cose immaginando che io sia una scimmietta :-)

Attualmente il mio sito web è completamente privo di sicurezza. Motivo? perché sto facendo la mia strada nel mondo dell'informatica e non ho mai ancora avuto modo di poter imparare.

Nel sito le uniche cose che mi preoccupano al momento che possano essere "rubate" sono le emails personali degli utenti, i tokens e le password...

Vorrei capire in che modo si possa migliorare la sicurezza del mio sito web.

Qualche cosa conosco per esempio che si può crittografare l'indirizzo... da http a https... e so che per fare ciò bisogna avere bisogno di un protocollo.

Il server del mio sito l'ho preso su OVH, immagino che conosciate la società. Loro mi hanno detto che è possibile e per farlo è necessario attivare un certificato SSL e mi hanno rifilato questa guida: https://www.ovh.it/g1594.i_certificati_ssl_sugli_hosting_web_ovh

Ma, non riesco a superare le prime 5 righe della stessa, perché credo di non avere una preparazione necessaria a comprendere cosa mi sta cercando di dire.

Quindi perché sto scrivendo questa discussione?

1) c'è qualcuno che vuole sistemarmi un po la sicurezza del sito ora che quest'ultimo ancora non è aperto al pubblico?
2) c'è qualcuno che voglia spiegarmi dove posso andare a studiare per poter anche solo imparare a leggere e capire la guida di cui sopra?
3) c'è qualcuno che possa suggerirmi dove devo andare a studiare per poter imparare quali tipo di sicurezze io possa "installare" nel mio sito e quali no e perché? ed in che modo si fa?
4) non lo so XD

Insomma

Grazie in anticipo

quota

30/06/2017 14:54:20

Caspita è una domanda molto complicata.


Se non trovi nessuno di buona volonta le cose che devi studiare e attenzionare sono queste:


1- Studiati SQLInjiection, è la prima e forse piu importante vulnerabilità dei siti web fanmade. Una SQL iniettata correttamente puo: distruggerti tutto il database, rubare tutte le passwords, fare accedere persone non dovute con account amministratori...
https://it.wikipedia.org/wiki/SQL_injection

2- Secondo usa md5 (c'è chi propone altri metodi ma personalmente md5 non è tanto male) per criptare le passwords: MAI e ancora MAI avere passwords in chiaro nel database.
Perchè finche rubano le email, poco male, un po di spam in piu, ma se rubano le password + email hai esposto i tuoi utenti a rischi su privacy e quant'altro enormi.

3- Per HTTPS, dipende dal hosting dovresti cercare qualche guida nel fornitore dell'hosting, su altervista è parecchio noioso -per quanto facile- in quanto a ogni prossima modifica del sito devi ripulire la cache ... insomma io ci rinuncio alla fine per un gdr dubito ci siano amplissimi rischi... ma se devi fare un sito web professionale devi metterci mano senz'altro.

---

quota

30/06/2017 15:39:44

Appena ho tempo di poter scrivere una risposta esauriente lo faccio, nel frattempo mi preme intervenire a chiarire una cosa tra i punti elencati da twcot.

Mai usare md5() per il criptaggio delle password.
L'algoritmo è vecchio e i moderni computer sono capaci di far collidere gli hash e di trovare con facilità una key che produca la stessa stringa criptata in output con altri valori. Usare md5/sha1 per le password al giorno d'oggi per archiviare le password è da irresponsabili quasi al pari di averle salvate in bianco.

Fortunatamente su GDRCD vengono salvate con un metodo notoriamente più sicuro, quindi riguardo all'archiviazione delle password puoi non preoccupartene.

quota

30/06/2017 15:57:49 e modificato da twcotstaff il 30/06/2017 15:58:25

Altri metodi invece del md5 sono solo piu lenti, non piu sicuri...

Non penso che avere una funzione che impiega 4 volte piu tempo significa competere con l'aumento delle capacità computazionali dei computer.

Ma al di la della filosofia, md5 è un buon criptaggio molte delle combinazioni se non tutte quelle che hanno 1 numero, 1 lettera maiuscola e ecc.... dubito siano state tutte decriptate.

Per dire una passwrod tipo "twcot" è piu vulnerabile di "Twcot128". Perchè a oggi, correggimi se sbaglio, l'unico modo per violare l'md5 è avere un database con tutte le combinazioni alfanumeriche...

Poi ok mi accodo ai professionisti, ma non ne vedo urgenza... tutto qua.

---

quota

30/06/2017 16:26:19

Non è così e non si tratta di filosofia ma di fatti concreti: le vulnerabilità dell'md5 sono ben documentate e note.
http://www.mscs.dal.ca/~selinger/md5collision/ http://www.mscs.dal.ca/~selinger/md5collision/
http://merlot.usc.edu/csac-f06/papers/Wang05a.pdf http://merlot.usc.edu/csac-f06/papers/Wang05a.pdf

Algoritmi di hashing più moderni non sono "solo" più lenti, ma anche più difficili da collidere, producono hash differenti in output a partire dallo stesso input e ci sono una caterva di altre motivazioni che possono rendere la robustezza di un hash valida per mesi in termini di sicurezza e si, la lentezza dell'algoritmo è un ulteriore deterrente che contribuisce a questo, al contrario delle poche ore necessarie per far collidere un md5.

quota

30/06/2017 18:11:43

Ciao,

il tema è molto complesso e non esiste una soluzione valida per tutti i casi. L'informatica evolve in continuazione quindi ad esempio l'algoritmo di criptazione che oggi va tanto già domani potrebbe non essere più in grado di funzionare correttamente perché sono state scoperte vulnerabilità relative. Questo flusso mette in luce la necessità di un aggiornamento continuo dei sistemi di "difesa" per limitare al minimo la possibilità di intrusioni. Aggiornamento continuo che va ponderato in base alle finalità del sito. Chiarito ciò, bisogna dire una cosa e bisogna digerirla bene. Ci sono aziende leader nei settori informatici che hanno team di notevoli dimensioni e vengono comunque attaccate.

Detto questo ti lascio alcune informazioni base che ti serviranno per sondare terreni forse nascosti ma molto utili per la tua richiesta.

Per prima cosa devi sapere quali tipo di vulnerabilità web (base) esistono. OWASP fa al caso tuo.
https://www.owasp.org/index.php/Top_10_2017-Top_10

poi devi sapere come poter testare i tipi di vulnerabilità, qui ti viene in aiuto kali linux(vecchio BackTrack) esistono diversi tutorial che ti spiegano come effettuare test di sicurezza relativi alle vulnerabilità base web, per intenderci: sessioni, xss, sql injection.
Kali linux : https://www.kali.org/

oltre a kali c'è un software questa volta a pagamento (versione di prova disponibile) che ti permette di testare la sicurezza del tuo sito, io non l'ho mai usato ma sembra essere tanto chiacchierato tanto vale provare.
https://www.acunetix.com/

poi c'è l'onore Italiano purtroppo oramai in America ma comunque. Wireshark. Studiare come funziona un pacchetto nel traffico web è molto importante ai fini della tua conoscenza in ambito sicurezza. Soprattutto per quello che riguarda i concetti relativi al certificato SSL. Per intenderci quello che riguarda la criptazione dei dati durante una trasmissione di pacchetti.
https://www.wireshark.org/

poi, considerato che hai una tua macchina personale, devi prendere in considerazione l'idea di installare, se già non c'è, un firewall. Di seguito un firewall base
https://wiki.ubuntu-it.org/Sicurezza/Ufw

Sono molti e complessi gli argomenti che trovi in questo ramo dell'informatica, ti consiglio di ponderare le tue scelte in base alla finalità del tuo sito e non mettere troppa carte sulla brace.

---

quota

07/07/2018 22:47:14

Scusami ma credo che per affrontare il discorso bisogna approfondire qualcosina, non credo nemmeno che per ora il pensiero principale debba essere quello di cosa scegliere per criptare una password.

Fammi capire meglio, te hai una vpn, server dedicato, cloud, hosting condiviso o cosa? In soldoni, hai accesso con ssh al server?
Perchè se così fosse non si parla di sicurezza del solo sito ma del server stesso.

Adesso senza usare troppi terminoni, cerco di spiegarti il processo da effettuare se hai accesso ssh al server.
Ti connetti e tramite la guida di Let's Encrypt, guardi cosa c'è da installare per generare il certificato.
Una avviatpo il processo per generare (ti apparirà la procedura nella shell dove ti chiederà il dominio ecc...), imposti tutto e generi.
Bene, sempre se devi configurare tutto a manina (anche qui non so se utiulizzi qualche strumento particolare che faccia queste cose in pochi click da interfaccia grafica, come plesk ad esempio, oppure se configuri tutto tramite shell e quindi a manina), devi andarti ad aggiornare i file di configuirazione di apache o nginx, ed in soldoni devi dire al server cosa fare se qualcuno richiede il tuo sito tramite https ed http.
Visto che il sito funziona, da quello che ho capito, signifca che la configurazione http è presente e quindi il server sa cosa fare quando qualcuno effettua richieste con quel protocollo, mentre se ci prova con https ovviamente non sa cosa fare, quindi una volta che hai creato la configurazione anche per https ed inserito qui i path del certificato che precedentemente hai creato, il tuo sito sarà raggiungibile sia su http che su https e quindi qui chiudi il cerchio facendo fare un redirect di tutte le richieste http su https.

Adesso ti ho spiegato giusto la linea da seguire, ovviamente devi apporfondire tutto,m comunque hai già un'idea di cosa cercare e cosa fare.

Ritornando alla questione di criptare o meno i dati, credo che la cosa più importante sia capire come avvengono determinati attacchi, così hai un'idea di cosa devi fare per evitarli.
Come ti hanno scritto sopra un attacco può essere l' SQl injection che può avvenire per la banale (non proprio banale, ma visto che si parla di neofiti) dimenticanza di escape di determinati caratteri.

Insomma prenditi il tuo tempo ed inzia dalla base un passo per volta, non cimentarti a chiudere le finestre se poi lasci la porta apeta :D

quota

08/07/2018 08:13:07

...questo topic è di un anno fa.

quota

08/07/2018 13:46:53

...sti cavoli. Può comunque tornare utile, per i posteri.

quota

Cruoris Aetas GdR

Intervista alle gestrici di Cruoris Aetas GdR.. il gioco di ruolo Potteriano!

Jedi Survivor

Star Wars Jedi: Survivor, sarà una trilogia? Leggiamo il commento di Stig Asmussen!

Lord of Sea

Intervista alla gestrice del GdR Lord of Sea. Calati nei panni di un pirata e solca i mari!

Creare Mappe Fantasy

Vi presentiamo 5 programmi gratuiti per creare mappe fantasy per i vostri giochi!