Re: cgi e sicurezza

2017-09-12 Per discussione Pol Hallen 
secondo me (ma mi sento un profano), qua do di mezzo c'è cgi non c'è da 
affrontare la cosa dal punto di vista della sicurezza quanto della sua 
obsolescenza e del disinteresse nel far si che cgi resti una tecnologia 
moderna e ottimizzata.
la scarsità di informaziomi relativi alla sua sicurezza è solo un 
sintomo, ma il vero problema è che non è piu una tecnologia di cui la 
gente vuole sentir parlare.


concordo in parte, di recente sto cercando info sulla sicurezza di php7 
e non ho trovato granchè... ed è un male :-/


Pol

Re: cgi e sicurezza

2017-09-12 Per discussione Andrea Zagli 

Il giorno mar 12 set 2017 11:30:18 CEST, Alessandro Pellizzari ha scritto:


On 10/09/2017 08:10, Paride Desimone wrote:

Mi sto apprestando a giocare un po' con i cgi, al momento scritti  
in Gnu/COBOL.
Quacuno sa consigliarmi un po' di documentazione sulla sicurezza  
dei cgi? Configurazione apache, permessi, ecc.?




se può interessare ho scritto questa libreria per lo sviluppo di cgi

https://gitlab.com/KrullBorg/libzakcgi

Re: cgi e sicurezza

2017-09-12 Per discussione Alessandro Pellizzari 

On 10/09/2017 08:10, Paride Desimone wrote:

Mi sto apprestando a giocare un po' con i cgi, al momento scritti in 
Gnu/COBOL.
Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei 
cgi? Configurazione apache, permessi, ecc.?


Non c'è sicurezza intrinseca nei CGI, tranne quella "standard" di apache 
e di Linux.


Il CGI riceve in stdin il body della richiesta, e tutto quello che manda 
in stdout viene rimandato al browser. Hai un paio di env vars con la 
query string e quello che c'è nel path dopo il nome dello script.


A livello apache gestisci tutto come se fosse una normale directory: 
permessi, autenticazione, rewrite, ecc.


A livello Linux lo script deve naturalmente essere leggibile ed 
eseguibile dall'utente con cui gira apache (www-data su Debian), e gira 
con i permessi dello stesso utente, per quanto ricordo.


Puoi usare apache-suexec 
(https://httpd.apache.org/docs/2.4/programs/suexec.html) o simili per 
forzare un utente specifico.


Però, onestamente, fossi in te penserei di mettere qualcosa di più 
aggiornato a servire le pagine (tipo php, python, ruby, go, node, ...) e 
chiamerei gli script cobol da lì.


Bye.

Re: cgi e sicurezza

2017-09-11 Per discussione Lorenzo "Palinuro" Faletra 
secondo me (ma mi sento un profano), qua do di mezzo c'è cgi non c'è da 
affrontare la cosa dal punto di vista della sicurezza quanto della sua 
obsolescenza e del disinteresse nel far si che cgi resti una tecnologia moderna 
e ottimizzata.
la scarsità di informaziomi relativi alla sua sicurezza è solo un sintomo, ma 
il vero problema è che non è piu una tecnologia di cui la gente vuole sentir 
parlare.

my 1/2 cent.



Il 11 settembre 2017 23:01:54 CEST, Paride Desimone  ha 
scritto:
>Il 11/09/2017 17:10 Davide Prina ha scritto:
>
>> https://wiki.debian.org/Apache/Hardening
>
>Qui mi dice di disabilitare i moduli che non mi servono, incluso cgi
>:-D
>
>> https://www.debian.org/doc/manuals/debian-handbook/
>
>Sul debian handbook, invece, mi dice come abilitare o disabilitare i 
>moduli per apache, incluso quello per i cgi
>
>> https://www.debian.org/doc/user-manuals#securing
>
>Anche qui nulla.
>
>
>Inizio a pensare che debbo cercare direttamente qualche cosa che tratti
>
>della sicurezza dei cgi...
>
>Attendiamo altri pareri, magari di qualcuno che li usa quotidianamente.
>
>Paride

-- 
Lorenzo "Palinuro" Faletra

Parrot Security

GPG FINGERPRINT: B350 5059 3C2F 7656 40E6 DDDB 97CA A129 F4C6 B9A4

GPG Info: http://pgp.mit.edu/pks/lookup?op=vindex=0x97CAA129F4C6B9A4
GPG Key: http://pgp.mit.edu/pks/lookup?op=get=0x97CAA129F4C6B9A4

Re: cgi e sicurezza

2017-09-11 Per discussione Paride Desimone 

Il 11/09/2017 17:10 Davide Prina ha scritto:


https://wiki.debian.org/Apache/Hardening


Qui mi dice di disabilitare i moduli che non mi servono, incluso cgi :-D


https://www.debian.org/doc/manuals/debian-handbook/


Sul debian handbook, invece, mi dice come abilitare o disabilitare i 
moduli per apache, incluso quello per i cgi



https://www.debian.org/doc/user-manuals#securing


Anche qui nulla.


Inizio a pensare che debbo cercare direttamente qualche cosa che tratti 
della sicurezza dei cgi...


Attendiamo altri pareri, magari di qualcuno che li usa quotidianamente.

Paride

Re: cgi e sicurezza

2017-09-11 Per discussione Davide Prina 

On 10/09/2017 09:06, Paride Desimone wrote:

Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei 
cgi? Configurazione apache, permessi, ecc.?


non sono un esperto, ma puoi iniziare a leggere un po' dalla 
documentazione ufficiale di Debian:


https://wiki.debian.org/Apache/Hardening
https://www.debian.org/doc/manuals/debian-handbook/
https://www.debian.org/doc/user-manuals#securing

Ciao
Davide


--
Dizionari: http://linguistico.sourceforge.net/wiki
Esci dall'illegalità: utilizza LibreOffice/OpenOffice:
http://linguistico.sf.net/wiki/doku.php?id=usaooo
Non autorizzo la memorizzazione del mio indirizzo su outlook

Re: cgi e sicurezza

2017-09-11 Per discussione Pol Hallen 
Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei 
cgi? Configurazione apache, permessi, ecc.?


mi aggrego alla richiesta in quanto anch'io sto facendo qualche script :-)

Pol

cgi e sicurezza

2017-09-10 Per discussione Paride Desimone 

Buongiorno.
Mi sto apprestando a giocare un po' con i cgi, al momento scritti in 
Gnu/COBOL.
Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei 
cgi? Configurazione apache, permessi, ecc.?


Paride

--
http://keyserver.linux.it/pks/lookup?op=get=0xCC6CA35C690431D3

Chi e' pronto a rinunciare alle proprie liberta' fondamentali per 
comprarsi briciole di temporanea sicurezza non merita ne' la liberta' 
ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, 
Assemblea della Pennsylvania, 11 novembre 1755)