Sicurezza: rinominare il DataBase

Di Daniele Vietri | Twitter @marlenek | Facebook danielevietri
03/11/2007 - in dBlog - Commenti (2)
Questo post è stato letto 5390 volte in 1559 giorni.
 

Qualche settimana fa Acor3 mi ha segnalato questo alert di Security Reason che riguarda dBlog, ma non si tratta di un bug ed in realtà è applicabile a qualsiasi software online basato su un DataBase scaricabile (come Access). Il rischio di sicurezza indicato è comunque basso e non dipende da dBlog, ma da come l'hosting offre i propri servizi. Tuttavia vedremo qualche semplice trucchetto per migliorare la sicurezza dei nostri file.

Il rischio
Nell'exploit segnalato il rischio è quello che il DataBase del blog venga interamente scaricato e consultato, proprio come un classico file con estensione mdb. Una delle conseguenze potrebbe essere il tentativo di crackare la password di amministratore che, seppur attualmente cifrata in SHA (un sistema "one way" non leggibile direttamente), è ,come tutto, bucabile.

Chi ne è affetto
Il problema è legato solo alle installazioni che non dispongono dei permessi corretti sulla cartella mdb-database. Di norma tutti i fornitori di hosting negano il permesso di download sulla cartella dei DataBase e questo è già sufficiente ad escludere completamente il rischio. Ad esempio Aruba, uno dei più economici e bistrattati, ne è immune in quanto assegna i giusti permessi alla cartella. La pagina descrittiva su Security Reason indica che mediamente il 20% degli hosting non offrono questa misura minima di sicurezza.

Come verificare
Ora la parte più "divertente": verifichiamo se il tuo hosting soffre di questo problema! Il test è molto semplice, basta richiamare direttamente il file del DataBase come se fosse una pagina web, un indirizzo URL. Ad esempio, su Aruba presumibilmente basterebbe aprire il browser (Firefox, Explorer, etc) e digitare http://www.iltuodominio.it/mdb-database/dblog.mdb. Se il tuo hosting permette di scaricare il file allora il tuo sito è affetto da questo problema di sicurezza, invece se ricevi un errore di accesso negata, pagina non trovata, o qualsiasi altro errore... beh, sei tra l'80% che ha scelto un buon fornitore di hosting e non devi fare nulla!

Come risolvere
Oggi non è il tuo giorno fortunato? Puoi risolvere questa falla di sicurezza in due modi:

1. Chiama o scrivi al tuo fornitore di hosting e pretendi che ti vengano assegnati i permessi corretti sulla cartella contenente i DataBase ovvero la possibilità di scrittura, ma non quella di download. Questo è il metodo migliore, che consiglio, nessun hosting si negherà ad una richiesta del genere (in fondo è una loro dimenticanza) a meno che non sia dichiarato nelle caratteristiche dell'offerta, ma in questo caso sarebbe il caso di guardarsi in giro per una valida alternativa.
2. Rinomina fisicamente il file DataBase e/o la cartella e ricorda di riportare la stessa modifica anche all'interno del file inc_db.asp. Chiaramente questo non risolve il problema, ma è un semplice trucchetto per aggirarlo (sperando che almeno il browsing delle cartelle sia stato inibito o che sia stato assegnato un file predefinito).
   

Intanto per maggiore sicurezza e conoscenza di tutti i futuri utilizzatori ho aggiunto queste note anche all'interno del file di installazione dell'attuale versione di dBlog, scaricabile dal sito ufficiale.

---

Questo articolo ti è piaciuto?

Se desideri stamparlo clicca qui oppure potresti essere interessato alla sottoscrizione del feed RSS per ricevere gratuitamente nel tuo aggregatore tutti gli aggiornamenti di questo blog.

 

Commenti

Nuovo commento

Non inserire testo nel campo sotto (altrimenti non riuscirai a commentare)

Testo (max 1000 caratteri)

Nome

e-Mail / Link ("nofollow", "no-rel", non pubblicato)

Disclaimer
L'indirizzo IP del mittente viene registrato, in ogni caso si raccomanda la buona educazione.