Aggiornato il: 13-02-2023 08:38
È presto detto: nonostante possa fare il finto fonto, il tuo hosting ha la possibilità di sapere tutto, o quasi, su quello che noi carichiamo sui nostri siti web. Sa tutto di te: la tua anagrafica, i tuoi contatti (quantomeno), ed i dati riservati per accedere al tuo sito.
L’hosting che adottiamo per i nostri siti conosce in primis i nostri dati anagrafici, e li custodisce di solito mediante appositi CMS (come ad es. WHMCS, scelta comune a molti provider): senza entrare nello specifico molte volte si tratta di portali fallati, trascurati e poco seguiti. Bisognerebbe fare attenzione a scegliere l’hosting più affidabile, in effetti, anche per via del fatto che un attacco informatico potrebbe svelare quei dati pubblicamente, il che ci metterebbe ben poco a riparo da abusi di vario genere e violazioni della privacy.
Spesso quando registriamo un dominio, come se non bastasse, siamo tenuti a dare informazioni molto confidenziali come:
- nome e cognome;
- indirizzo;
- città ;
- numero di telefono (spesso cellulare);
- indirizzo email;
Anche solo gli ultimi due ci porterebbero a rischi di esposizione di spam, senza contare che in molti ambiti online circolano liste di indirizzi complete che vengono utilizzate per inviarci newslettere mirate, a volte senza il nostro consenso.
Altri esempi più “tecnologici”: via FTP siamo soliti caricare i file PHP per far funzionare i nostri siti: mediante un account superadmin, almeno in teoria, qualsiasi hosting può vedere in chiaro le password per permettere al CMS di funzionare (quelle in WP memorizzate in wp-config.php, per capirci). Si tratta di un qualcosa di realmente pericoloso o di cui preoccuparsi? In realtà no, per quanto dovrebbero esistere dei meccanismi di autenticazione più efficaci e tenendo conto del limite che, in un sistema organizzato per gerarchie di utenti, qualsasi utente di grado superiore, proprio come nella vita reale, potrebbe abusare dei grant che possiede nei confronti di quelli di gerarchia inferiore.
Sui database ci sarebbe poi da fare un discorso a parte: una regola generale da verificare è che i CMS memorizzino le password crittografate (quantomeno in MD5, l’ideale è SHA1) e non in chiaro. wordpress ad esempio lo fa già in automatico, molti CMS realizzati manualmente no: un modo facile per accorgersene è verificare la procedura di ripristino della password.
In altri termini, provo a spiegarmi meglio: andate a ripristinare la vostra password sul CMS che state utilizzando, e verificate i dati contenuti nella mail ricevuta per il ripristino. Se ricevete la password in chiaro, o peggio (come mi è capitato) se un superadmin è in grado di vedere la vostra password per suggerirvela, ad esempio, il sistema non è affatto sicuro. Se ricevete un link in cui viene indicata la vecchia password, il sistema è insicuro; se invece, come correttamente dovrebbe avvenire, l’unico modo per recuperare una password smarrita o dimenticata è quello di crearne una nuova con un link “one-time” (che funziona una sola volta), vuol dire che presumibilmente si tratta di password crittografate.
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
