[Linuxtrent] Re: riflessione sulla sicurezza di alcune applicazioni LAMP
- From: Mario Alexandro Santini <alexmario74@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Wed, 24 Feb 2010 00:42:44 +0100
Ciao,
premetto che non sono un grande esperto di sicurezza.
Qualunque tipo di software presenta per sua natura delle
vulnerabilità, certo alcuni programmi ne presentano sicuremente più di
altri, ma credo che questa valutazione possa essere fatta con una
comparazione di massima dell'applicativo.
Se un software è insicuro, non serve essere così esperti per
rendersene conto da una prima analisi.
Detto questo, quello che conta di più è la possibità di utilizzare
strategie note per aumentare la sicurezza.
Non penso che compilare apache o PHP (e io qualcosa ne so) lo rende più sicuro.
Se compili Apache, per esempio, non sigifica nulla, perché dipende dai
moduli che includi e da come poi li andrai a configurare.
Stessa cosa vale per PHP.
Io credo che se vuoi la sicurezza o meglio, se la sicurezza è un
fattore importante allora devi documentarti su quali sono le strategie
più comuni per risolvere i problemi.
Poi le varie vulnerabilità, o esce la patch o riesci a patcharlo da
solo o se ti forano ti forano, pure se hai il super tool della Nasa
inchiavettato a mano...
La prima cosa da considerare sulla sicurezza è che la difesa è vana:
se vogliono ti aprono.
Ergo devi valutare i mezzi economici/tempo/competenze che hai a
disposizione e valutare quanto costa proteggere i tuoi dati.
Naturalmente in questo processo devi dare, per prima cosa, un valore
ai tuoi dati. Intendo proprio un valore economico.
2010/2/23 Marco Ciampa <ciampix@xxxxxxxxx>:
> Mi sono domandato spesso: applicazioni LAMP, così prone a problemi (anche
> gravi) di sicurezza,
> sono (poche, per la verità) presenti nei repository Debian / Ubuntu.
> Per esempio Drupal e Mediawiki.
> Quanto è sicuro usare questi archivi piuttosto che installarsi a mano
> l'applicazione e
> aggiornarsela quando ci sono bollettini di sicurezza che invitano a farlo?
>
> E, per la cronaca, il sito del LT è installato dai sorgenti o dai repository
> Debian?
>
> Grazie per le vostre opinioni.
>
>
> --
>
>
> Marco Ciampa
>
> +--------------------+
> | Linux User #78271 |
> | FSFE fellow #364 |
> +--------------------+
> --
> Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>
--
Ciao,
Mario
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts:
