Re: cgi e sicurezza
secondo me (ma mi sento un profano), qua do di mezzo c'è cgi non c'è da affrontare la cosa dal punto di vista della sicurezza quanto della sua obsolescenza e del disinteresse nel far si che cgi resti una tecnologia moderna e ottimizzata. la scarsità di informaziomi relativi alla sua sicurezza è solo un sintomo, ma il vero problema è che non è piu una tecnologia di cui la gente vuole sentir parlare. concordo in parte, di recente sto cercando info sulla sicurezza di php7 e non ho trovato granchè... ed è un male :-/ Pol
Re: cgi e sicurezza
Il giorno mar 12 set 2017 11:30:18 CEST, Alessandro Pellizzari ha scritto: On 10/09/2017 08:10, Paride Desimone wrote: Mi sto apprestando a giocare un po' con i cgi, al momento scritti in Gnu/COBOL. Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei cgi? Configurazione apache, permessi, ecc.? se può interessare ho scritto questa libreria per lo sviluppo di cgi https://gitlab.com/KrullBorg/libzakcgi
Re: cgi e sicurezza
On 10/09/2017 08:10, Paride Desimone wrote: Mi sto apprestando a giocare un po' con i cgi, al momento scritti in Gnu/COBOL. Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei cgi? Configurazione apache, permessi, ecc.? Non c'è sicurezza intrinseca nei CGI, tranne quella "standard" di apache e di Linux. Il CGI riceve in stdin il body della richiesta, e tutto quello che manda in stdout viene rimandato al browser. Hai un paio di env vars con la query string e quello che c'è nel path dopo il nome dello script. A livello apache gestisci tutto come se fosse una normale directory: permessi, autenticazione, rewrite, ecc. A livello Linux lo script deve naturalmente essere leggibile ed eseguibile dall'utente con cui gira apache (www-data su Debian), e gira con i permessi dello stesso utente, per quanto ricordo. Puoi usare apache-suexec (https://httpd.apache.org/docs/2.4/programs/suexec.html) o simili per forzare un utente specifico. Però, onestamente, fossi in te penserei di mettere qualcosa di più aggiornato a servire le pagine (tipo php, python, ruby, go, node, ...) e chiamerei gli script cobol da lì. Bye.
Re: cgi e sicurezza
secondo me (ma mi sento un profano), qua do di mezzo c'è cgi non c'è da affrontare la cosa dal punto di vista della sicurezza quanto della sua obsolescenza e del disinteresse nel far si che cgi resti una tecnologia moderna e ottimizzata. la scarsità di informaziomi relativi alla sua sicurezza è solo un sintomo, ma il vero problema è che non è piu una tecnologia di cui la gente vuole sentir parlare. my 1/2 cent. Il 11 settembre 2017 23:01:54 CEST, Paride Desimoneha scritto: >Il 11/09/2017 17:10 Davide Prina ha scritto: > >> https://wiki.debian.org/Apache/Hardening > >Qui mi dice di disabilitare i moduli che non mi servono, incluso cgi >:-D > >> https://www.debian.org/doc/manuals/debian-handbook/ > >Sul debian handbook, invece, mi dice come abilitare o disabilitare i >moduli per apache, incluso quello per i cgi > >> https://www.debian.org/doc/user-manuals#securing > >Anche qui nulla. > > >Inizio a pensare che debbo cercare direttamente qualche cosa che tratti > >della sicurezza dei cgi... > >Attendiamo altri pareri, magari di qualcuno che li usa quotidianamente. > >Paride -- Lorenzo "Palinuro" Faletra Parrot Security GPG FINGERPRINT: B350 5059 3C2F 7656 40E6 DDDB 97CA A129 F4C6 B9A4 GPG Info: http://pgp.mit.edu/pks/lookup?op=vindex=0x97CAA129F4C6B9A4 GPG Key: http://pgp.mit.edu/pks/lookup?op=get=0x97CAA129F4C6B9A4
Re: cgi e sicurezza
Il 11/09/2017 17:10 Davide Prina ha scritto: https://wiki.debian.org/Apache/Hardening Qui mi dice di disabilitare i moduli che non mi servono, incluso cgi :-D https://www.debian.org/doc/manuals/debian-handbook/ Sul debian handbook, invece, mi dice come abilitare o disabilitare i moduli per apache, incluso quello per i cgi https://www.debian.org/doc/user-manuals#securing Anche qui nulla. Inizio a pensare che debbo cercare direttamente qualche cosa che tratti della sicurezza dei cgi... Attendiamo altri pareri, magari di qualcuno che li usa quotidianamente. Paride
Re: cgi e sicurezza
On 10/09/2017 09:06, Paride Desimone wrote: Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei cgi? Configurazione apache, permessi, ecc.? non sono un esperto, ma puoi iniziare a leggere un po' dalla documentazione ufficiale di Debian: https://wiki.debian.org/Apache/Hardening https://www.debian.org/doc/manuals/debian-handbook/ https://www.debian.org/doc/user-manuals#securing Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki Esci dall'illegalità: utilizza LibreOffice/OpenOffice: http://linguistico.sf.net/wiki/doku.php?id=usaooo Non autorizzo la memorizzazione del mio indirizzo su outlook
Re: cgi e sicurezza
Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei cgi? Configurazione apache, permessi, ecc.? mi aggrego alla richiesta in quanto anch'io sto facendo qualche script :-) Pol
cgi e sicurezza
Buongiorno. Mi sto apprestando a giocare un po' con i cgi, al momento scritti in Gnu/COBOL. Quacuno sa consigliarmi un po' di documentazione sulla sicurezza dei cgi? Configurazione apache, permessi, ecc.? Paride -- http://keyserver.linux.it/pks/lookup?op=get=0xCC6CA35C690431D3 Chi e' pronto a rinunciare alle proprie liberta' fondamentali per comprarsi briciole di temporanea sicurezza non merita ne' la liberta' ne' la sicurezza.(Benjamin Franklin - dalla Risposta al Governatore, Assemblea della Pennsylvania, 11 novembre 1755)