Sicurezza su Altervista

Un utente di un altro forum mi ha messo da tempo una pulce nell'orecchio. Nelle faq infatti si legge questo:

Posso cambiare i permessi ai files e alle cartelle con chmod?

È possibile ma altamente sconsigliabile.
Su AlterVista il motore php è configurato specificamente per fare in modo che ogni script funzioni ed abbia pieno accesso a tutti i files e alle cartelle senza dover modificare alcun permesso.
Indipendentemente da quello che riportano le istruzioni di installazione delle tue applicazioni ti sconsigliamo pertanto di eseguire questa operazione, che, in caso di errore, può anche compromettere il corretto funzionamento dei tuoi scripts.

Ma questo comportamento non potrebbe essere pericoloso, nel caso qualcuno riesca ad infilare codice dannoso o spia sul mio sito?

[funcool]

Se uno riesce a infilare del codice dannoso sul tuo sito, non ti devi certo preoccupare dei permessi. E' più facile che ti vengano cancellati file.

Si, ma se il tizio fosse un poco piu' furbo della norma (ma neanche tanto ) e invece di cancellarmi il sito mettesse uno scriptino che gli invia le password che gli utenti dovrebbero inviare solo al mio database? E non rispondetemi "devi criptare le password anche in trasmissione..." :P

[funcool]

Non ho capito cosa c'entrano i permessi in questo caso.

[Gianluca]

Senza quel tipo di privilegi molti applicativi non funzionerebbero.

Per verificarsi quello che scrivi dovresti tu caricare uno script vulnerabile che permetta ad un esterno tramite l'esecuzione di determinati comandi di modificare gli altri tuoi script. Se mantieni sempre aggiornato il software (come si dovrebbe sempre fare) è un'eventualità rara.

Nessuno comunque ti vieta ad esempio di creare una cartella base per gli scripts, ad esempio /php/ e togliere i permessi di scrittura a quello che vi è al suo interno, in tal caso, anche in presenza di un'applicativo vulnerabile nessuno potrebbe modificarteli.

D'accordo, ma resterebbero gli altri file, come ad esempio i php, a rischio. Per andare sul sicuro dovrei mettere nella cartella tutti i file del mio sito, e questo porterebbe la sicurezza a livelli normali... per fare un'esempio, invece che mettere i file del mio sito in http://prova000.altervista.org/ dovrei metterli in http://prova000.altervista.org/main/ e mettere un redirect... capisci che non e' proprio una soluzione elegantissima

Non sarebbe meglio invece mettere a disposizione nel pannello dell'amministratore un'opzione avanzata che permetta di disabilitare le impostazioni dei permessi di default? In questo modo gli utenti "niubbi" continueranno a non avere problemi di installazione, mentre quelli piu' esperti avranno la possibilita' di una normale sicurezza.

(PS: poi, senza alcuna polemica... il discorso di tenere aggiornato il software non funziona. Secondo questo principio ogni volta che viene aggiornato il software delle board phpBB, ad esempio, dovrei riuppare tutti i file invece che solo quelli modificati. Anzi, meglio sarebbe secondo questo ragionamento se periodicamente riuppassi tutti i file senza aspettare aggiornamenti del software, che tra l'altro potrebbero non esserci )