Sicurezza GDR

Sicurezza GDR postato il 06/03/2008 18:44:27 nel forum programmazione, gdrcd, open source, hosting e modificato da gianluca il 06/03/2008 18:47:31

Come si suol dire prevenire e meglio che curare.... ed è proprio di questo che voglio parlare in questo topic...

E da molto tempo.. cioè.. da quando ebbe inizio la mania di 'chiunque può farsi un gdr' che svariati utenmti scaricano os li installano su spazi web senza curarne la corretta programmazione...

molti os hanno dei bug.. che permettono a lamer di distruggere tali gdr e di recare danno anche ai server stessi.

Apro questo topic per creare una lista di possibili modalità di attacco e di come prevenirli. Io so di non sapere molto sul fattore sicurezza.

so che ad esempio molti lamer attaccano i gdr usando sql inject...
sapete come si potrebbe prevenire ad esempio un attacco by sql inject??

Io so che disabilitando l'html nel proprio gdr si possono prevenire codesti attacchi.. anche se il tutto non so se sia sufficiente... potreste illuminarvi voi?


P.S
se sapete altre forme usate comunemente per attaccare i gdr postatele in questo topic cosi da creare una vera e propria enciclopedia su come aumentare la sicurezza del proprio gdr... che poi creo un piccolo file .doc e lo metto online.. cosi chiunque scarichi il proprio os.. spero che almeno legga questa piccola guida.. e si adegui..

sopra potrei aver scritto tante cavolate [Moderazione: usiamo termini un pò più educati. Questa volta l'ho modificato io].. o magari non so... esiste già un topic che tratti di questo argomento..

prego a tutti di scusarmi.. e che il peso della cultura è peggio di uno stupefacente...

Grazie

---

quota

06/03/2008 19:07:52

mmm.. peccato.. perchè il fattore sicurezza è importante... cmq il tuo pacchetto non lo ho visto.. ora lo scarico è gli do un occhiata...

---

quota

06/03/2008 21:03:06

ci si fa prendere dalla fregola del gioco e poi in fondo è anche giusto così. Voglio il mio GdR mica per questo devo saper programmarne uno no? (purtroppo la risposta è sì)

Non hai nemmeno idea di quante falle ci sono in un programma complesso, ma insomma i metodi di attacco per fortuna son sempre gli stessi.

Eccone uno dei più comuni, come si previene? Ovviamente con un'accorta programmazione :-)
Per esempio è prassi comune non verificare mai ciò che riportano le variabili, un caso comunissimo di iniezione SQL è quella di prendere il valore da una GET via URL e passrla direttamente ad query al database.

Questo è un po' più difficile, anzi se mi dici come fai poi ti dico bravo :-D

Non sono generalmente contrario a parlare di metodi di intrusione ma con gente già esperta e soprattutto conosciuta, il fatto è che non puoi mai sapere chi legge e cosa farà, io direi più che altro che si può parlare di cosa non fare durante la programmazione e come modificare ciò che c'è già in modo da aumentarne la sicurezza intrinseca.

M.

---

quota

06/03/2008 21:11:01

è consigliabile evitare di parlare di metodi di hacking. Al contrario si può parlare su come evitarli. Ad esempio per evitare l'sql inject bisogna fare dei chek delle variabili passate dal db. Ma se si usa il php generalmente questo tipo di problema è già sistemato dal settaggio del php stesso nel server.
Poi di metodi ce ne sono molti. Per esempio evitare di usare i link per passare dati(es: pagina.php?&CancellaID=XX). Io potrei tranquillamente sostituire la XX con il dato che mi interessa a me e cancellare tutto quello che voglio. Poi fare continui Check sull'utente che accede alle pagine. Anche se la pagina impiega un quarto di secondo in più a caricarsi renderà più sicuro il sito stesso

---

quota

07/03/2008 10:48:12

Chiedere compenso qui sarebbe fuori luogo, anche perché stiamo chiacchierando e come hai giustamente detto tu non è un tema esauribile in cinque minuti, ma ci vogliono pagine e pagine di tomi per parlare di sicurezza.
Però spiegare poche e precise regole per non incappare nei soliti errori credo sia obbligatoro farlo :-)
Il controllo anti injection via url è uno dei tanti e fornisce buoni risultati, ma ci sono altre pratiche da tenere in conto.
Ad esempio il controllo su ciò che l'utente scrive in una qualsiasi textbox che può facilmente mandare in esecuzione codice arbitrario se non controllata.
Il PHP dalla versione 5.2.x ha inserito accanto ai soliti controlli sul tipo di oggetto passato ad una variabile, delle funzioni in grado di controllare e verificare l'esattezza e la provenienza dei dati; importante perché si può anche inviare un url in una textbox, succede in chat, e se quell'url rimanda a qualcosa di nocivo DEVE esserci un controllo.
http://it.php.net/manual/it/function.filter-input.php

Insomma i controlli di base, almeno quelli, ci devono comunque essere se no il lavoro diventa pericoloso sia per chi lo usa che per chi lo gestisce.

---

quota

07/03/2008 14:12:58

Goph, scusa ma non so il tuo di nome e in quanto al mio dato che l'ho messo in chiaro ovvio che puoi chiamarmici.
Non penso che questi siano i forum adatti a questi discorsi, almeno quanto lo pensi tu, ma il sito offre dei programmi di cui si discute, oggi leggevo le FAQ in proposito e ho notato come il 99% dei messaggi sono off topic.
Ma se l'andazzo è quello di chiedere aiuto per problemi di programmazione e se io sono in grado di darli lì do, ovviamente quanto più possibile corretti.
Ovvio che non ho la pretesa di scrivere un'encicplopedia sull'argomento, anche perché, finirei di essere uno dei tanti :-)

---

quota

07/03/2008 14:16:39

Black sbagli atteggiamento, mettere su un GdR non è un gioco, passamela :-) se uno ci prova e sbaglia pazienza, ma io mi riferisco sopratutto a chi ha scritto i software di cui si discute e che vengono qui utilizzati.
Scrivere un software pieno di errori e poi non correggerli o correggerne solo una parte è sbagliato nei confronti di chi lo utilizzerà, non si può scrivere solo per programmatori, non è eticamente corretto.

---

quota

07/03/2008 14:22:30

Mi spiace, ma seppur non sia programmatore, e seppur non abbia mai tollerato l'accanimento di black et simila contro gli OS, mi sento però in dovere di dargli, dal mio punto di vista, ragione.

Quanto si crea una land, uno dei primi fondamenti su cui porre basi solide è proprio la sicurezza, cosicché qualsiasi utenta sia tutelato nel rispetto della privacy, e pure il gestore si metta al sicuro da eventuali attacchi esterni o minacce di denuncia.

Gdr-cd, come altri OS lì offrono l'opportunità anche a chi non ha studiato programmazione o lo fa per lavoro, di poter imbastire una propria land, sfruttando parti di codice già creati. Ma da lì, a far trovare loro tutta la pappa pronta, sarebbe oltremodo eccessivo; a questo punto che Faber faccia una piattaforma stabile in tutto e per tutto dove basta metterci appena l'ambientazione e la grafica. Mentre in questo modo si cerca di aiutare da un lato il neo-programmatore, e dall'altro comunque responsabilizzarlo nella creazione di quello che solo gioco, per certi aspetti, non è.

Poi non esiste solo Gdr-cd; mi pare che anche l'OS di razor non sia malvagio, da quanto dicono, solo ovviamente più scarno.

quota

07/03/2008 15:06:02

Io non voglio offendere nessuno e non attacco nessuno a meno di essere attaccato a mia volta; ma come dici tu non sei un programmatore ma sei un utente e come tale vorresti ruolare in un gioco in modo corretto e tranquillo, non credo che vorresti entrare in una land sapendo che essa ti possa creare dei problemi.

Ma è proprio per questo che si parla di sicurezza, ma se uno prende uno dei software qui a lato e lo mette su sapendo che è bacato lo fa a suo rischio e pericolo, ma anche chi li mette a disposizione dovrebbe stare attento.
Non basta l'avviso di prodotto pericoloso o ad uso di programmatori perché non vuole dire nulla in se.
Se un prodotto è pericoloso non si pubblicizza e basta.

Mi sa che qui non ci siamo capiti, io non ho mai detto che chi li ha fatti è matto o l'ha fatto a posta a farli così, ne ho aperto uno e l'ho detto, e mi sono messo le mani nei capelli, ora facendo un paragone è come se dicessi ad uno che sta prendendo la patente di fare pratica su un carrello del supermercato, non ha senso.
Che gdrcd possa offrire un'opportunità non lo metto in dubbio, ma meglio sarebbe se fosse riscritto, non ha ragione nemmeno black quando parla di incitamento a perfezionarsi partendo da un prodotto con dei bug messi a bella posta.
Ma chi vuoi che lo voglia un prodotto così, ma se lo dovessi vendere sai in quanti lo comprerebbero?
Ma anche se è rilasciato ad uso libero un software va sempre scritto bene, persino un software didattico, si impara più su un software scritto bene che su uno fatto male credimi ;-)
In ogni caso tutto questo non è un attacco a chi l'ha scritto, le risposte qui non erano polemiche ma solo un incitamento a correggere i bugs del prodotto, tutto sommato, a fare esattamente ciò che black auspica, cioè a migliorare il prodotto e le prorpie conoscienze :-)

M.

---

quota

08/03/2008 19:14:40

http://sourceforge.net/softwaremap/trove_list.php?form_cat=18 ↗

mi da 118580 voci

insomma, non è cosa così folle fare qualcosa per gli altri. Se poi qualcuno sente di avere conoscenze elitarie che vuole mantenere tali...beh può anche tenerle per sè. La mia impressione è che molti che sanno programmare siano quasi...offesi per gli Os, come se un sacrilego avesse deciso di condividere con gli infedeli una conoscenza segreta. Mettere in circolazione un prodotto con bug strategici oppure "criptato" e faticoso da utilizzare per scremare gli utenti mi sembra abbstanza antipatico. sarebbe un pò come fare bignami con pagine mancanti (lo volevi il riassunto eh? comodo! col cavolo, te lo do a metà, brutta capra!), o fare una mensa per barboni dove devono cucinare (ci mancherebbe che gli diamo la cena così, bella e fatta! se la cucinino da soli così almeno se la sono guadagnati un minimo, sti fancazzisti!).
Se si sente davvero il bisogno di aiutare a istruire i futuri gestori si potrebbe creare non codici buggati o a tranello ma guide apposite che spieghino la costruzione di un modello di codice base indirizzato ai GDr. Insomma non fare un OS ma un manuale che ti porta passo passo alla creazione di quel dato codice (non so se ne esistano già) credo sia più onesto e utile

insomma..non so, nessuno obbliga nessuno a fare qualcosa gratis, ma se la si fa in genere è cosa ...normale farla bene o almeno in maniera "propositiva", non partendo da una sorta di astio verso chi potrebbe mettere le mani sul nostro lavoro senza esserselo guadagnato

---

quota

Superheroes Age of War

Intervista al gestore di Superheroes Age of War il gioco di ruolo play by chat ambientato in un mondo di supereroi!

Giochi di Carte

Quali sono i giochi di carte online più diffusi?

Underworld of Rome

Intervista alla gestrice di Underworld of Rome.. il play by chat ambientato nel World of Darkness romano!

Crea il tuo GDR

Scopri come creare da zero un gdr in PHP! Partiamo dalla registrazione..