Avviso di sicurezza - Google Code Search

vamba · 11.10.2006, 10:39

Google ha rilasciato un nuovo prodotto, Google Code Search, che è capace di indicizzare ed infilarsi attraverso i file archiviati nelle directory contenute nei server web. Stiamo segnalando questo come avviso di sicurezza perché abbiamo scoperto che alcuni amministratori di siti web stanno lasciando archivi e backup nella directory radice loro spazio web. Per questo motivo, Google Code Search può inserirsi negli archivi e leggere i file PHP non interpretati come se fossero testo normale. Perciò alcune informazioni sensibili potrebbero essere accessibili, comprese le password di MySQL e le credenziali SMTP.

Abbiamo ritenuto che era necessario pubblicare un avviso di sicurezza per avvertire siti esposti al pericolo e allo stesso tempo proteggere ed istruire i nostri utenti su alcune pratiche lper mantenere il vostro sito sicuro.

1. Non immagazzinare mai una copia di sicurezza o una versione archiviata del vostro sito Web nelle cartelle accessibili pubblicamente del web server.
2. Non lasciare file nella directory principale se non si vuole che siano letti/indicizzati/scaricati.
3. Se è necessario assolutamente, chiedere al proprio Hosting Provider di disabilitare la generazione dell'indicizzazione della directory per quella directory.*
4. Password per proteggere le directory che contengono le informazioni sensibili.

Ancora, se pensate che le informazioni di accesso al vostro sito siano compromesse in questo modo, prego rimuovete i backup/archivi immagazzinati nella radice dello spazio web, cambiate tutte le password collegate e se necessario, chiede al vostro Hosting Provider di ripristinare il vostro sito da un backup precedente e di essere sicuro che rimuovano l'archivio che hanno usato ristabilire il vostro sito.

Se preferite la protezione più attiva contro l'indicizzazione ed il download degli archivi relativi, guardate questa discussione nel Forum di Sicurezza di Joomla, in cui si sta svolgendo una discussione su come proteggersi da questi problemi. http://forum.joomla.org/index.php/topic,101880.0.html

* L'indicizzazione della directory è una caratteristica di mod_dir, un modulo di Apache che crea una lista di tutti i file in una directory se non esiste index.html /php/etc in quella directory. E' in questo modo che probabilmente saranno trovati i vostri file con Google code Search.

vamba · 11.10.2006, 12:06

Un metodo semplice per non permettere l'indicizzazione da parte di google del contenuto di una cartella che si trova nella root

Joomla e Mambo hanno nella root un file che si chiama robot.txt e questo è il suo contenuto

Code:

User-agent: * 
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/

In pratica questo file non permette agli spiders dei motori di ricerca di indicizzare i file contenuti in queste cartelle
se abbiamo delle cartelle nella root inserite o create dopo l'installazione di joomla o mambo procediamo ad aggiungerle al file semplicemente indicandone il nome.
....esempio abbiamo aggiunto la cartella forum aggiungeremo il nome della cartella e il file robot.txt dovrà apparire così

Code:

User-agent: * 
Disallow: /administrator/
Disallow: /cache/
Disallow: /components/
Disallow: /editor/
Disallow: /help/
Disallow: /images/
Disallow: /includes/
Disallow: /language/
Disallow: /mambots/
Disallow: /media/
Disallow: /modules/
Disallow: /templates/
Disallow: /installation/
Disallow: /forum/

fate così per tutte le cartelle che avete aggiunto, non ci saranno problemi di visualizzazione o di funzionamento ma solo non sarà permesso agli spider di individurane il contenuto e indicizzarlo pericolosamente nei motori di ricerca.