|
| Precedente :: Successivo |
| Autore |
Messaggio |
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
 Inviato: 01 Mag 2008 00:09 Oggetto: [Xampp] Configurazioni per la sicurezza |
 |
|
Ciao ragazzi.
Tanto per essere sicura: come bisogna impostare le configurazioni di mysql in xampp per essere nello "stato sicuro"?
La password da inserire è indipendente da quella usata per il db sul server o è la stessa?
 Quest'ultima domanda può sembrare alquanto strana, ma deriva dal fatto che il mio sito è sul server di un amico e l'ho caricato tramite un ftp che mi ha passato lui.
Ora però devo apportare dei cambiamenti strutturali e vorrei poter fare delle prove offline, quindi vorrei copiarmi il sito in locale.
Il sito è fatto con Joomla, di qui l'idea di installarmi xampp (che avevo già usato agli albori della creazione del sito, ma su un altro computer), ma non so come settare i parametri per la sicurezza.
Ecco, forse adesso sono stata ancor meno chiara... 
Be', se qualcuno sa aiutarmi... grazie. 
Gavilan.  |
|
| Top |
|
 |
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 01 Mag 2008 13:13 Oggetto: Re: [Xampp] Configurazioni per la sicurezza |
|
|
| Gavilan ha scritto: | Ciao ragazzi.
Tanto per essere sicura: come bisogna impostare le configurazioni di mysql in xampp per essere nello "stato sicuro"?
La password da inserire è indipendente da quella usata per il db sul server o è la stessa?
Quest'ultima domanda può sembrare alquanto strana, ma deriva dal fatto che il mio sito è sul server di un amico e l'ho caricato tramite un ftp che mi ha passato lui.
Ora però devo apportare dei cambiamenti strutturali e vorrei poter fare delle prove offline, quindi vorrei copiarmi il sito in locale.
Il sito è fatto con Joomla, di qui l'idea di installarmi xampp (che avevo già usato agli albori della creazione del sito, ma su un altro computer), ma non so come settare i parametri per la sicurezza.
Ecco, forse adesso sono stata ancor meno chiara...
Be', se qualcuno sa aiutarmi... grazie.
Gavilan. |
Ciao Gavilan, vengo in pace! 
Dunque, se ho capito bene, nella schermata Sicurezza di XAMPP dovresti trovarti una segnalazione tipo "L'utente admin di MySQL non ha una password", con a fianco lo stato rosso "INSICURO": è così?
Se si, significa che qualsiasi persona che ha accesso alla postazione locale può accedere al tuo db LOCALE.
Sul server invece tu avrai sicuramente specificato una password (se non l'hai fatto, fallo IMMEDIATAMENTE!), che può essere anche diversa da quella che hai usato sotto localhost.
Non c'è un legame inscindibile tra i 2 ambienti, è solo una comodità.
L'unico mio dubbio, in quanto non ho mai provato direttamente, è quando fai l'export del db da un ambiente e poi l'import sull'altro ambiente: potrebbe essere che l'interfaccia non consenta di fare un trasferimento "fromuser...touser" e che quindi user e psw debbano essere gli stessi tra i 2 ambienti, occorre provare.
Il problema è solo se, come ti dicevo prima, altri hanno accesso al tuo localhost, se conoscono la password del MySQL su host (solitamente rilasciata dal gestore del servizio se è in hosting).
Vedo però che il server è di un tuo amico: significa quindi che lui conosce i tuoi dati di accesso?
Non capisco invece cosa intendi dire con "un FTP che mi ha passato lui"...
Non hai trasferito le cartelle e i files che hai sotto XAMPP\htdocs\joomla usando ad es. FileZilla (tanto x dirne 1 a caso)?
X settare i parametri di sicurezza, vai nella schermata di prima (XAMPP > Sicurezza), clicchi sul link "=> http://localhost/security/xamppsecurity.php " che c'è in basso.
Nella schermata successiva avrai il tuo Superuser (es. root) e la casella dove cambiare la password.
A questo punto io metterei la stessa del server, meglio ancora se con lo stesso utente del server, che creerai con abilitazioni da Superuser (praticamente come root).
Altra cosa: sempre nella stessa schermata puoi assegnare una psw anche alla cartella XAMPP; se hai necessità di proteggere il db, allora tanto vale che proteggi anche le altre cartelle, giusto? 
Spero di essere riuscito a darti una mano....... |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 21:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 01 Mag 2008 18:17 Oggetto: |
|
|
Ciao,
gli export sono indipendenti da password e utenti.
Tu in locale puoi avere una password di root di mysql e online un'altra.
Anche la password del db può essere qualunque giù e diversa su.
Idem per l'utente.
A parte la password di root però è conveniente avere i dati di connessione uguali sia in locale che online perchè se giù al db "db" si connette l'utente "ugo" con pwd "ugo" e online al db "db" l'utente è diverso, se x caso mandi su le pagine di configurazione il sito online smette di andare (xchè non riesce a connettersi al db).
Se non hai esigenza di attaccarti da remoto al dbms imposta mysql in modo che risponda solo su "localhost" (in teoria è l'impostazione di default però dacci un occhio). |
|
| Top |
|
|
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 01 Mag 2008 18:41 Oggetto: |
|
|
@freemind
Quindi le utenze, il db, il path......sta tutto SOLO e soltanto nel file configuration.php? |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 01 Mag 2008 23:32 Oggetto: Re: [Xampp] Configurazioni per la sicurezza |
|
|
Allora, rispondo e intanto vediamo se ho capito...
| guardianodelfaro ha scritto: | | Dunque, se ho capito bene, nella schermata Sicurezza di XAMPP dovresti trovarti una segnalazione tipo "L'utente admin di MySQL non ha una password", con a fianco lo stato rosso "INSICURO": è così? |
Sì.
Anzi, a dirla tutta, l'unico che è in stato sicuro è phpMyAdmin...
N.D. che significa?
| Citazione: | Se si, significa che qualsiasi persona che ha accesso alla postazione locale può accedere al tuo db LOCALE.
Sul server invece tu avrai sicuramente specificato una password
|
Of course.
| Citazione: | Il problema è solo se, come ti dicevo prima, altri hanno accesso al tuo localhost, se conoscono la password del MySQL su host (solitamente rilasciata dal gestore del servizio se è in hosting).
Vedo però che il server è di un tuo amico: significa quindi che lui conosce i tuoi dati di accesso? |
Sì. Inizialmente mi ha dato una mano, e poi è una persona di fiducia.
| Citazione: | Non capisco invece cosa intendi dire con "un FTP che mi ha passato lui"...
Non hai trasferito le cartelle e i files che hai sotto XAMPP\htdocs\joomla usando ad es. FileZilla (tanto x dirne 1 a caso)? |
Sì, non era proprio FileZilla ma un software del genere. Funziona allo stesso modo.
| Citazione: | X settare i parametri di sicurezza, vai nella schermata di prima (XAMPP > Sicurezza), clicchi sul link "=> http://localhost/security/xamppsecurity.php " che c'è in basso.
Nella schermata successiva avrai il tuo Superuser (es. root) e la casella dove cambiare la password.
A questo punto io metterei la stessa del server, meglio ancora se con lo stesso utente del server, che creerai con abilitazioni da Superuser (praticamente come root).
Altra cosa: sempre nella stessa schermata puoi assegnare una psw anche alla cartella XAMPP; se hai necessità di proteggere il db, allora tanto vale che proteggi anche le altre cartelle, giusto? |
Ok, capito.
Leggo un attimo anche i consigli di Freemind e poi agisco.
| Citazione: | | Spero di essere riuscito a darti una mano....... |
Certo, grazie! |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 01 Mag 2008 23:49 Oggetto: |
|
|
Ciao Freemind, grazie per essere intervenuto!
| freemind ha scritto: | Ciao,
gli export sono indipendenti da password e utenti.
Tu in locale puoi avere una password di root di mysql e online un'altra.
Anche la password del db può essere qualunque giù e diversa su.
Idem per l'utente.
A parte la password di root però è conveniente avere i dati di connessione uguali sia in locale che online perchè se giù al db "db" si connette l'utente "ugo" con pwd "ugo" e online al db "db" l'utente è diverso, se x caso mandi su le pagine di configurazione il sito online smette di andare (xchè non riesce a connettersi al db).
Se non hai esigenza di attaccarti da remoto al dbms imposta mysql in modo che risponda solo su "localhost" (in teoria è l'impostazione di default però dacci un occhio). |
Dunque, non so se ho capito cosa intendi...
Io in remoto agisco quasi esclusivamente dal pannello di controllo del mio sito in joomla.
Ovviamente, se devo caricare dei file o se devo cambiare dei permessi uso l'ftp.
E in remoto sono a posto.
In locale ho una copia obsoleta del sito e vorrei sovrascriverla con la versione nuova che ho in remoto e provare delle modifiche (in locale).
Quando troverò quella giusta la applicherò anche in remoto.
Ho controllato: l'impostazione di default per mysql è "localhost".
A questo punto, fondendo i consigli che mi avete dato entrambi, devo assegnare delle password in "SEZIONE MYSQL: PASSWORD "ROOT" e in "PROTEZIONE DIRECTORY XAMPP (.htaccess)" (qui anche uno username).
Ed è più comodo se uso le stesse password che ho in remoto.
Giusto?
Suppongo che la user e la password che devo assegnare alle cartelle siano quelle che uso per connettermi con l'ftp (volendo sceglierle uguali al remoto)... sbaglio? |
|
| Top |
|
|
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 02 Mag 2008 08:48 Oggetto: Re: [Xampp] Configurazioni per la sicurezza |
|
|
| Gavilan ha scritto: | Allora, rispondo e intanto vediamo se ho capito...
| guardianodelfaro ha scritto: | | Dunque, se ho capito bene, nella schermata Sicurezza di XAMPP dovresti trovarti una segnalazione tipo "L'utente admin di MySQL non ha una password", con a fianco lo stato rosso "INSICURO": è così? |
Sì.
Anzi, a dirla tutta, l'unico che è in stato sicuro è phpMyAdmin...
N.D. che significa?
| Citazione: | Se si, significa che qualsiasi persona che ha accesso alla postazione locale può accedere al tuo db LOCALE.
Sul server invece tu avrai sicuramente specificato una password
|
Of course.
| Citazione: | Il problema è solo se, come ti dicevo prima, altri hanno accesso al tuo localhost, se conoscono la password del MySQL su host (solitamente rilasciata dal gestore del servizio se è in hosting).
Vedo però che il server è di un tuo amico: significa quindi che lui conosce i tuoi dati di accesso? |
Sì. Inizialmente mi ha dato una mano, e poi è una persona di fiducia.
| Citazione: | Non capisco invece cosa intendi dire con "un FTP che mi ha passato lui"...
Non hai trasferito le cartelle e i files che hai sotto XAMPP\htdocs\joomla usando ad es. FileZilla (tanto x dirne 1 a caso)? |
Sì, non era proprio FileZilla ma un software del genere. Funziona allo stesso modo.
| Citazione: | X settare i parametri di sicurezza, vai nella schermata di prima (XAMPP > Sicurezza), clicchi sul link "=> http://localhost/security/xamppsecurity.php " che c'è in basso.
Nella schermata successiva avrai il tuo Superuser (es. root) e la casella dove cambiare la password.
A questo punto io metterei la stessa del server, meglio ancora se con lo stesso utente del server, che creerai con abilitazioni da Superuser (praticamente come root).
Altra cosa: sempre nella stessa schermata puoi assegnare una psw anche alla cartella XAMPP; se hai necessità di proteggere il db, allora tanto vale che proteggi anche le altre cartelle, giusto? |
Ok, capito.
Leggo un attimo anche i consigli di Freemind e poi agisco.
| Citazione: | | Spero di essere riuscito a darti una mano....... |
Certo, grazie! |
Se ti compare anche il messaggio "Queste pagine sono accessibili da chiunque in rete", sappi che ti interessa impostarlo su SICURO solo se XAMPP è installato su una postazione con un IP statico (che non credo sia il tuo caso, anche perchè sono servizi a pagamento)
"N.D." significa Non Disponibile |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 21:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 02 Mag 2008 09:42 Oggetto: |
|
|
@Gavilan,guardianodelfaro.
Ciao ragazzi,
rispondo ad entrambi.
Il discorso che ho fatto su utenti e password non si riferiva a xampp in particolare ma proprio alla configurazione di mysql.
Indipendentemente con che cosa si lavori, quando un sito si connette ad un db dovrà usare un utente e una password.
In teoria questo utente DOVREBBE poter agire SOLO sul db in questione in modo che abbia il minor numero di privilegi possibile.
Il sito che si connette al db, avrà da qualche parte una pagina che configura la connessione allo stesso; se in locale hai delle impostazioni e online altre, dovrai stare attenta a non mandar su (o a non scaricare) queste impostazioni perchè altrimenti o uno o l'altro smetterà di funzionare.
L'utente root locale e quello online possono essere diversi.
Per quanto riguarda xampp cerca di avere tutte le scritte verdi (sicuro) e in teoria non avrai problemi. |
|
| Top |
|
|
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 02 Mag 2008 11:16 Oggetto: |
|
|
Approfitto x farvi una domanda: avete x caso attivato il modulo Joomla di gestione dei Feed RSS?
In locale mi funziona perfettamente, mentre sul server web mi da problemi di visualizzazione |
|
| Top |
|
|
mdweb
Dio maturo
Registrato: 18/12/07 16:59
Messaggi: 4412
|
| Inviato: 02 Mag 2008 13:30 Oggetto: |
|
|
| apri una altro thread. |
|
| Top |
|
|
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 02 Mag 2008 13:38 Oggetto: |
|
|
| ok mdweb, provvedo subito. |
|
| Top |
|
|
mdweb
Dio maturo
Registrato: 18/12/07 16:59
Messaggi: 4412
|
| Inviato: 02 Mag 2008 13:44 Oggetto: |
|
|
| guardianodelfaro ha scritto: | | ok mdweb, provvedo subito. |
Questo è un consiglio che mi ha dato kluster e me lo tengo stretto...Non si riesco a gestire troppi problemi in un thread.
|
|
| Top |
|
|
guardianodelfaro
Dio minore
Registrato: 20/02/08 07:42
Messaggi: 987
Residenza: Milano, con vista sul mare
|
| Inviato: 02 Mag 2008 13:53 Oggetto: |
|
|
| Saggio consiglio, grazie! |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 02 Mag 2008 17:34 Oggetto: |
|
|
| guardianodelfaro ha scritto: | | Se ti compare anche il messaggio "Queste pagine sono accessibili da chiunque in rete", sappi che ti interessa impostarlo su SICURO solo se XAMPP è installato su una postazione con un IP statico (che non credo sia il tuo caso, anche perchè sono servizi a pagamento) |
Uhm... no, non credo proprio sia il mio caso.
| freemind ha scritto: | | Il sito che si connette al db, avrà da qualche parte una pagina che configura la connessione allo stesso; se in locale hai delle impostazioni e online altre, dovrai stare attenta a non mandar su (o a non scaricare) queste impostazioni perchè altrimenti o uno o l'altro smetterà di funzionare. |
Ah capito: infatti nell'altro computer - in cui avevo già installato xampp per fare le prime prove di sito, ma senza dar troppo peso alla sicurezza  - ho salvati a parte dei file config.php, uno per il locale e uno per il remoto.
| freemind ha scritto: | | Per quanto riguarda xampp cerca di avere tutte le scritte verdi (sicuro) e in teoria non avrai problemi. |
Però in "PHP" c'è scritto che gli sviluppatori non dovrebbero mettere lo stato "sicuro" perché in tal modo si limiterebbero la capacità di agire... sai cosa significa?
Grazie  |
|
| Top |
|
|
freemind
Supervisor sezione Programmazione
Registrato: 04/04/07 21:28
Messaggi: 4643
Residenza: Internet
|
| Inviato: 08 Mag 2008 20:19 Oggetto: |
|
|
Ciao Gavilan,
come promesso eccomi qui.
Ho finito ora per cui essendo abbastanza stanco non scriverò un mega-super-muuu papiro.
Prima cosa di segnalo un link:
link
che guarda caso riguarda proprio il problema del safe_mode.
Di fatto questi parametri si occupano di gestire le restrizioni su alcune funzioni.
Postare qui un discorso completo sull'argomento vorrebbe dire tirare in ballo il come un sistema operativo gestisce gli utenti, i permessi de files, su come il webserver lavora e tantissime altre cose e quindi verrebbe molto scomoda la trattazione.
In soldoni, attivando la modalità sicura, php esegue i controlli sui permessi degli script, sull'accesso al disco, verifica che l'esecutore dello script sia effettivamente chi deve essere e tante altre cose che riguardano questi problemi.
In teoria queste cose dovrebbero essere impostate tutte a livello di sistema operativo e di web server, ma se io non posso gestire il web-server xchè lo fa un altro e ho solo la possibilità di lavorare con le impostazioni di php, dovrò gestirmi queste.
Se php ha lavora come root (in caso di linux/unix) e la modalità sicura è disattivata, se il web-server non è impostato in modo più che adeguato per vincolare la scalata della root-dir, in una pagina che riceve come parametro un file da eliminare, qualunque cosa io scriva come parametro questo (se esiste) verrà eliminato (anche /etc/crontab che solo root può eliminare)!.
Al link che sugue:
link
ci sono esempi che descrivono quello che ti ho detto.
Nel weekend provo a mettere giù qualcosa di più significativo di questo riassuntino.
Saluti |
|
| Top |
|
|
Gavilan
Moderatore Salotto delle Muse
Registrato: 19/12/06 00:09
Messaggi: 4094
Residenza: l'Universo... che, come disse un mio buon amico (tale H.Rouge), non è meritocratico.
|
| Inviato: 08 Mag 2008 22:49 Oggetto: |
 |
|
Ok, grazie mille Freemind! 
Non pensavo di aver tirato in ballo un argomento così complesso...
Intanto vado a leggere le pagine che mi hai linkato.
 Gavy |
|
| Top |
|
|
|
|
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
