Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Falle di sicurezza sui siti: cosa sono e come si gestiscono

In questo blog sono solito, in più occasioni, descrivere le falle informatiche che vengono scoperte sui vari CMS e siti in generale: conoscerle, infatti, è di grande interesse per chiunque debba gestire un server, un sito o un hosting in generale.

In linea generale, una falla di sicurezza è un problema di cui è affetto un software, e in certi casi può coincidere con una porta di accesso secondaria (backdoor) che permette l’accesso non autorizzato al nostro sito. In altri casi, piuttosto frequenti su CMS come WordPress e Joomla!, può essere un difetto di programmazione nel codice che, se sfruttato da script malevoli, può provocare problemi come la manipolazione dei dati del database, il furto di informazioni di accesso o il defacement della nostra homepage. Nel caso dei software open source queste informazioni sono di solito (anche se non sempre) note in tempo reale, cioè non appena vengono scoperte: in alcune circostanze, vengono rivelate da chi le ha scoperte gradualmente, in modo da dare il tempo agli sviluppatori di prendere provvedimenti.

Quando si dice ad esempio che è stata trovata una falla su WordPress (una ulteriore è stata svelata ieri e riguarda WP 4.2) si fa riferimento ad un problema potenziale che il nostro sito potrebbe avere. Non è detto, infatti, che tale vulnerabilità  venga effettivamente sfruttata, ma è come dire, ogni volta, che le chiavi di casa nostra (cioè l’accesso al nostro sito come amministratore, ad esempio) sia teoricamente possibile per un qualsiasi estraneo. Questa falla è stata, ad esempio, svelata solo dopo una notifica collettiva alla comunità  di sviluppatori, ma su molti plugin è rimasta aperta per molto tempo. In altri casi come una recentemente scoperta falla su Magento, ad esempio, la falla non è (al momento in cui scrivo) ancora stata risolta.

La gestione dei casi di sicurezza informatica sul web è, invece, decisamente controversa. Tutto dipende dalle politiche stabilite dagli autori del software, che possono essere open o chiuse oppure, come avviene forse più frequentemente per il software web, “graduali“. Nel primo caso le falle scoperte vengono pubblicate direttamente su un bollettino via email apposito, dal nome seclist (Security Lists): in altri termini i ricercatori informatici non fanno altro che segnalare che il plugin X o la versione Y di un CMS ha un problema di codice: diventa interessante in questo frangente verificarlo – molte segnalazioni sono fake o relative a problemi non effettivi – e soprattutto fornire una prova fattiva della presenza dello stesso (proof of concept). Nello scenario delle disclosure aperte, fenomeno tipico del software open source come WordPress, quindi, le falle informatiche sono svelate “ai quattro venti“, con tutti i rischi del caso: chiunque, finchè la falla non viene riparata, potrebbe approfittarne. Questo crea una situazione di pericolo che porta, di fatto, molti produttori di CMS non tanto a produrre software web più sicuro quanto, di fatto, a “nasconderlo sotto il tappeto”, o nella migliore delle ipotesi a svelarlo solo in parte o solo dopo che la falla è stata risolta.

Ti potrebbe interessare:  Che vuol dire «sold out»?

Per questi motivi, quindi, le falle informatiche creano una certa preoccupazione negli utenti, che degenera in una paura amplificata a mille, addirittura a danno della produttività  del sito: ma l’approccio corretto a questo tipo di problematiche dovrebbe essere sempre costruttivo. Nel caso dei CMS open source, quantomeno, i pericoli derivanti dalle vulnerabilità  informatiche sono noti periodicamente, ed è tutto sommato un bene che sia cosà¬, cosa che non succede con i software “chiusi” (tipo quelli Apple o Microsoft) che vengono invece rivelati ad esclusiva discrezione dei proprietari. Sapere che il proprio CMS ha dei rischi e potrebbe subire un furto (leak) di dati o un defacciamento è una cosa utile da conoscere per farci prendere contromisure utili al caso: ma non deve in nessun caso farci diffidare dalle tecnologie web.

In molti casi, infatti, è sempre bene avere un backup aggiornato dei dati del proprio sito (via FTP/PhpMyAdmin) e sfruttare i plugin per la sicurezza per stare relativamente più tranquilli, ricordando che questo problema ci sarà  sempre ed è praticamente impossibile da evitare a priori.

 

Da non perdere 👇👇👇



Questo sito web esiste da 4430 giorni (12 anni), e contiene ad oggi 4008 articoli (circa 3.206.400 parole in tutto) e 12 servizi online gratuiti. – Leggi un altro articolo a caso
Non ha ancora votato nessuno.

Ti sembra utile o interessante? Vota e fammelo sapere.

Ti potrebbe interessare:  Falla su Xen, il software che fa funzionare Rackspace ed Amazon
Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.