elena 0 Segnala messaggio Inviato 14 Febbraio , 2019 Ho realizzato con Contao (Vers. 3.5) alcuni siti internet per la Pubblica Amministrazione adeguando il template alle nuove linee Guida imposte dall'AGID (Es. www.comune.arona.no.it) . Alcuni comuni mi chiedono, a seguito di una circolare (https://www.cert-pa.it/notizie/suggerimenti-per-la-sicurezza-dei-siti-web/) di produrre una documentazione inerente al sistema CMS utilizzato. Avete qualche suggerimento da darmi ? Nel senso ...Contao CMS permette di garantire un adeguato livello di sicurezza perchè ... A me ne sono venuti in mente qualcuno, tipo Viene garantito il rilascio di nuove release e aggiornamenti anche per la sicurezza. request token (puo' essere messo nell'elenco ? Se si in che modo rientra nella sicurezza di un CMS?) prevenzione da SQL injection (giusto ? Le query non sono mai in chiaro) Compressione degli script e del codice HTML (aumenta la sicurezza ?) Password criptate.(con quale sistema ?) Url rewrite Livelli di accesso alle funzionalità back-end completamente personalizzabili Possibilità di richiesta cambio password al primo accesso Form con domanda di sicurezza (non sarà il capcha ma è pur sempre qualcosa) ....???? .....????? Ogni suggerimento è ben accetto ... sto brancolando un po' nel buio e facendo molta fatica perchè non credo di aver le competenze sufficienti per giudicare la sicurezza di Contao ... ma soprattutto vorrei scrivere con lessico e terminologie corrette :-) ... Ho guardato nel sito ufficiale ... nemmeno li si fanno riferimenti alla sicurezza. Un grazie infinito a tutti coloro che potranno aiutarmi .... Condividi questo messaggio Link di questo messaggio Condividi su altri siti
PaoloB 0 Segnala messaggio Inviato 15 Febbraio , 2019 Ciao Elena, ho letto la circolare e la maggiorparte di indicazioni sono di tipo generico applicabile a tutti i sistemi informatici in genere. Es. Disabilitare account non più attivi, oppure schedulare attività di ricerca delle vulnerabilità. Per il CMS nello specifico, puoi pensare di indicare: - Team di sviluppo che rilascia in modo regolare e programmato aggiornamenti del sistema. - Aggiornamenti di sicurezza vengono rilasciati tempestivamente nel caso di problematiche di vulnerabilità. - Immune da attacchi di SQL injection. Per SQL injection si intente la possibilità di inserire codice malevole in campi input, es. modulo contatto. - La domanda di sicurezza è a tutti gli effetti un capcha, per la prevenzione di spam da parte di sistemi automatici e bot - La cifratura delle password avviene tramite algoritmo MD5 Puoi menzionare che esiste una gestione degli utenti di backed molto granulare e potente. Come dicevi, è possibilefar si che l'utente al primo login personalizzi la sua password in modo che sia nota solo a lui. E' possibile indicare una data di scadenza in modo che per utenti a tempo determinato non sia più possibile accedere alla scadenza del loro contratto. La gestione delle ACL, i permessi dell'utente e dei gruppi è tale da garantire che i vari utenti accedano solo alle funzioni a loro abilitate. Gli altri punti che hai indicato, Url Rewrite e comperssione degli script ad esempio non sono caratteristiche legate alla sicurezza. Mi piacerebbe poi leggere il documento che andrai a fare. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
elena 0 Segnala messaggio Inviato 15 Febbraio , 2019 Ciao Paolo e grazie mille ! senz'altro lo condividero' con il Forum ... Se hai letto la circolare, a me spetta solo la parte legata al CMS ... poi il provider si occuperà di presentare la parte relativa alla sicurezza del server. ... Cambiano argomento, ho ancora grossi problemi con l'installazione della versione 4 sul mio server (quello dell'ufficio). Purtroppo nonostante il sistemista abbia configurato la documet root correttamente, quando tento di lanciare il file contao-manager.phar.php mi compare una schermata vuota .. sembrerebbe la schermata di installazione ma completamente vuota. Ti terro' aggiornato. Ho letto che da luglio per la versione 3.5 non forniranno più forniti aggiornamenti per la sicurezza .. (https://contao.org/de/release-plan.html) Condividi questo messaggio Link di questo messaggio Condividi su altri siti
elena 0 Segnala messaggio Inviato 15 Febbraio , 2019 Ciao Paolo. Come promesso ecco la bozza del documento. Community Italiana .. sentitevi liberi di darmi altri suggerimenti o correggere eventuali inesattezze ... Grazie ! messa in sicurezza incomune.net.pdf Condividi questo messaggio Link di questo messaggio Condividi su altri siti
PaoloB 0 Segnala messaggio Inviato 15 Febbraio , 2019 Ottimo, lo leggo con piacere. Ps. ho separato la discussione sull'installazione di Contao 4 Condividi questo messaggio Link di questo messaggio Condividi su altri siti
elena 0 Segnala messaggio Inviato 15 Febbraio , 2019 ok Condividi questo messaggio Link di questo messaggio Condividi su altri siti
Andrea B. 1 Segnala messaggio Inviato 20 Febbraio , 2019 Il 15/2/2019 at 12:23, elena dice: messa in sicurezza incomune.net.pdf Ho dato solo una lettura veloce, ma mi sembra redatto bene e interessante. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
PaoloB 0 Segnala messaggio Inviato 20 Febbraio , 2019 Ottimo documento Elena. Hai indicato gli aspetti principali relativi alla sicurezza. Condividi questo messaggio Link di questo messaggio Condividi su altri siti
