Ciao a tutti!Voglio creare un nuovo GDR via Chat e vorrei sapere, secondo voi, qual'è l'opensource che da migliori garanzie di sicurezza.Grazie delle risposte!
Pagine: 1 [2]
21/02/2009 15:28:20
se vuoi qualcosa di sicuro evita TUTTE le versione di GDRCD, e forse eviterei pure OpenGDR.Tuttavia sono OS, di conseguenza più propensi, di altri, alle debolezze perchè il codice è conosciuto dai più. Ti consiglio, quindi di farne uno da capo a fondo così da essere più sicuro :)
You ask for pity? You demand mercy? I have only Justice.Incoming...
21/02/2009 16:46:45
quello fatto da te stesso :D
Uno che ha capito di non dover gestire una land, e quindi di non farle per gli altri :D (gratis)|Project: 5%|
21/02/2009 16:57:52
Il problema è che non so come impostare la sicurezza su un sito php.Se gli open source sono così fallabili, mi potreste almeno indicare un posto dove prendere i "trucchi" per rendere sicuro il mio codice?Secondo voi quali sono i 'buchi' più pericolosi che si possono creare quando si scrive un codice da 0?
21/02/2009 17:03:50
rhllor ha scritto: se vuoi qualcosa di sicuro evita TUTTE le versione di GDRCD, e forse eviterei pure OpenGDR.Tuttavia sono OS, di conseguenza più propensi, di altri, alle debolezze perchè il codice è conosciuto dai più. Ti consiglio, quindi di farne uno da capo a fondo così da essere più sicuro :)
21/02/2009 17:16:54
direi che il trucco sta nel mettersi l'animo in pace e leggersi pagine e pagine di articoli su internet.Ne trovi su html.it o su php.net, ma anche da tante altre parti :)LE più comuni ti diranno di usare mysql_real_escape_string (e ti faranno fare l'if per verificare se hai magic_quote on od off). Ti diranno di usare htmlentities, di fare con un str_replace la cancellazione di quei caratteri mysql come il % che non vengono tolti dall'escape ma che sono potenzialmente dannosi.In verità il discorso è ben pù ampio.Per sicurezza in senso generalizzato si potrebbe considerare ogni tipo di errore non previsto; un software deve girare bene e non si deve mai dare nulla per scontato (hume docet).Ad esempio è meglio mettere un captcha in fase di iscrizione per evitare iscrizioni massive che ti buttano giù il db, è meglio controllare che eventuali campi di tipo int (sul database) siano realmente numeri (come variabili php) altrimenti la query non viene eseguita e si potrebbero verificare malfunzionamenti..E' importante controllare che ogni parte "gestionale" sia severamente controllata, ecc, ecc, ecc :)
Se darkside non va alla montagna...Darkside va al mare.[Link ]
21/02/2009 18:29:54
darkside of breakfast ha scritto: direi che il trucco sta nel mettersi l'animo in pace e leggersi pagine e pagine di articoli su internet.Ne trovi su html.it o su php.net, ma anche da tante altre parti :)LE più comuni ti diranno di usare mysql_real_escape_string (e ti faranno fare l'if per verificare se hai magic_quote on od off). Ti diranno di usare htmlentities, di fare con un str_replace la cancellazione di quei caratteri mysql come il % che non vengono tolti dall'escape ma che sono potenzialmente dannosi.In verità il discorso è ben pù ampio.Per sicurezza in senso generalizzato si potrebbe considerare ogni tipo di errore non previsto; un software deve girare bene e non si deve mai dare nulla per scontato (hume docet).Ad esempio è meglio mettere un captcha in fase di iscrizione per evitare iscrizioni massive che ti buttano giù il db, è meglio controllare che eventuali campi di tipo int (sul database) siano realmente numeri (come variabili php) altrimenti la query non viene eseguita e si potrebbero verificare malfunzionamenti..E' importante controllare che ogni parte "gestionale" sia severamente controllata, ecc, ecc, ecc :)
21/02/2009 20:39:03
se devi usare un os il codice più pulito, sicuro e ben organizzato tra quelli presenti (detto soprattutto dagli sviluppatori degli stessi os) è accent....
Progetti, siti, articoli, lavori vari iniziati e mai terminati: non quantificabili
21/02/2009 21:00:10
bhe quando crei un gdr ma anche un sito ricorda di eseguire svariati controlli su ogni input... cmq come os consiglio anche io accent..
E´ proprio quando un popolo è all´apice del successo, che ha inizio il suo declino..
22/02/2009 01:36:19
oorazoroo ha scritto: Accent non è perfetto, ne è sicuro al 100%. E' probabilmente molto più sicuro degli altri (sicuramente lo è di più di GDRCD), ma non basta. Devi comunque aggiungere del tuo (e non solo sul lato della sicurezza). E' uno scheletro, se vogliamo paragonarlo agli alrti open source esistenti, e quindi offre giusto le basi per quanto riguarda la sicurezza, ho implementato solo le cose basilari. Non ti aspettare miracoli.
22/02/2009 13:59:32
Alla fine mi sono messo a scrivere un codice completamente da zero.Sto anche sperimentando un approccio abbastanza nuovo: voglio provare a escludere completamente i frame, per ottenere un prodotto che, seppur non al 100%, sia accessibile.Ma, come dicevo prima, quello che mi fa più paura è la sicurezza.Ora torno a leggermi i vari articoli per internet
