pagina recensioni e commenti

[nicolass]

Ciao, non te la prendere...ma hai letto davvero cosa conteneva il .htaccess??? Te lo traduco io se vuoi, e lascerò a te le conclusioni:

<trova files "con estensione .ini, .db, .txt, .lang, .bak">
nega l'accesso a tutti
</trova files>

... se non ti è chiaro ancora, era un'impostazione di sicurezza. (* v. Nota)

il file .htaccess che ho eliminato dal server pesava 800 kb ed era pine zeppo di righe che sembravano incrementare un redirect esterni al dominio.
il file .htaccess che ho eliminato dal server non conteneva le tre righe come sopare, ma il nuovo file presente sul server presenta le righe che ho scritto.

- non hai implementato correttamente il captcha nel tuo form
- hai implementato correttamente il captcha, ma esso risulti come le solite 4-5 cifre su sfondo bianco da digitare che qualunque bot quantomeno bravo riesce a leggerlo...

ho implementato il reCAPTCHA di google, e i messaggi non partono se ometto il codice recaptca e parte se inserisco il codice, quindi penso che sia implementato bene, almeno questo è quello che penso io!
Per quanto riguarda il fatto che vorresti crearti uno script di commenting / ranking, imho non so quanto riusciremmo a darti le dritte se hai problemi a creare una connessione ad un database... Dovrebbe esserci qualcuno che crei lo script (parte pubblica + admin) e te lo passi pari-pari già configurato ed eventualmente con la solita paginetta dell'install...personalmente non ho tempo da dedicarci ed ovviamente parlo di un lavoro fatto come si deve...

la cosa strana è che lo stesso guestbook Link: Guestbook Senza Database MySql l'ho inseriteo in due domini e in uno mi dà tutti questi messaggi di spamming mentre nell'altro sito non ricevo nessun messaggio spamming e in quest ultimo sito ho inserito la versione originale senza il reCAPTCHA.
Pensate ci possa essere qualche virus sul server?

- - - Updated - - -

il fatto che mi arrivi ancora spamming nonostante io abbia inserito il controllo di reCAPTCHA nel modulo di invio del guestbook, questa problematica è sicuramente dovuta al fatto che gli spammer riescono ad accedere alla pagina di admin e visto che in tale pagina non sono siuscito ad integrare il codice reCAPTCHA da qui possono inviare liberamente i loro spamming. Quindi qualcuno sa indicarmi come e dove inserire il controllo di reCAPTCHA anche nel form di inserimento di user e password peraccedere alla zona di amministrazione del guest book?

 

[vbs]

1.
il file .htaccess che ho eliminato dal server pesava 800 kb ed era pine zeppo di righe che sembravano incrementare un redirect esterni al dominio.
il file .htaccess che ho eliminato dal server non conteneva le tre righe come sopare, ma il nuovo file presente sul server presenta le righe che ho scritto.

2.
ho implementato il reCAPTCHA di google, e i messaggi non partono se ometto il codice recaptca e parte se inserisco il codice, quindi penso che sia implementato bene, almeno questo è quello che penso io!

3.
la cosa strana è che lo stesso guestbook Link: Guestbook Senza Database MySql l'ho inseriteo in due domini e in uno mi dà tutti questi messaggi di spamming mentre nell'altro sito non ricevo nessun messaggio spamming e in quest ultimo sito ho inserito la versione originale senza il reCAPTCHA.
Pensate ci possa essere qualche virus sul server?

4.
il fatto che mi arrivi ancora spamming nonostante io abbia inserito il controllo di reCAPTCHA nel modulo di invio del guestbook, questa problematica è sicuramente dovuta al fatto che gli spammer riescono ad accedere alla pagina di admin e visto che in tale pagina non sono siuscito ad integrare il codice reCAPTCHA da qui possono inviare liberamente i loro spamming. Quindi qualcuno sa indicarmi come e dove inserire il controllo di reCAPTCHA anche nel form di inserimento di user e password peraccedere alla zona di amministrazione del guest book?

1. Su uno dei miei domini ho un .htaccess che supera i 2Mb, quindi non è lì che si risparmia sulle quote dell'hosting. Ripeto, il .htaccess gestisce tante cose che riguardano la sicurezza del sito e le direttive per il mod_rewrite nonché alcune impostazioni per il vhost (come ad esempio il peso massimo per l'upload di un file tramite form ecc ecc..)...quindi a patto che dal codice non risulti un'ovvia manomissione di sicurezza, esso non andava cancellato...

2. se verificato, ok

3. non avendo il tempo necessario per scaricare e verificare cosa fa realmente quel codice, mi riservo il sospetto che tale codice non sia del tutto ottimizzato per la sicurezza (visto che risale al 2006/2009, si trova in versione alfa e dal demo mi è chiaro che non ci siano controlli sugli input) e per di più anarchia punto com non m'ispira fiducia come portale di codici ("a pelle")... Per quanto riguarda la possibilità di codice maligno sul tuo sito dovresti verificare a mano tutti i files per vedere se per caso hai subito qualche XSS, quindi se è stato alterato in qualche maniera il tuo codice originale... Anche se non risultasse alcuna infezione, dovresti comunque validare la sessione utente in modo da non permettere agli bot di inserire contenuti...poi mi fa "senso" il "senza database", credo che i dati siano salvati in qualche .txt o .log con tanto di permessi di scrittura a chiunque (voglio sbagliarmi su quest'ultima supposizione)

4. A patto che l'area admin si trovi in una cartella dedicata (es. /admin, /backoffice ecc..), essa dovrebbe essere messa in sicurezza sotto un .htaccess con relativa password in maniera che tu sia obbligato ad autenticarti prima di accedere alla cartella (metodo http_auth), ed una volta autenticato dovresti autenticarti con un secondo uname / password tramite form. Ergo avresti 2 autenticazioni per la stesa area, una gestita dal server (.htaccess), l'altra gestita da script (tramite form).
4b. il reCaptcha lo devi inserire con lo stesso metodo che hai usato nel primo caso, ma comunque la cosa migliore è quella di dividere l'area admin dall'area utente soprattutto dal punto di vista dell'autenticazione...

Finalmente concludo, ma devo fare una considerazione: tante volte è meglio scrivere il codice da 0 che rattoppare l'inesattezze del codice altrui ;)