Discussione:
sicurezza per il mio portale..come?? please...
(troppo vecchio per rispondere)
malaka76
2007-12-07 12:36:07 UTC
Permalink
Buongiorno a tutti,

mi scuso in anticipo con tutti quelli che troveranno la mia domanda
troppo "elementare"... da qualche parte bisogna però cominciare...

Dunque..ho intenzione di aprire un piccolo portale contenente:

- qualche documento scaricabile in formado pdf
- un forum (previa registrazione)
- form oppure email per ricevere richieste da parte di utenti (anche
non registrati)
- testo e fotografie
- link interni al portale e/o collegati ad altri siti
- banner pubblicitari (click for view o altre forme del genere)
- programmazione in html con elemeti di flash

Vorrei "immaganizzare" il portale su un server di cui io sarei
amministratore unico.

Non essendo molto pratico in ambito di sicurezza avrei bisogno di
qualche suggerimento:

- secondo voi è più sicuro un server windows o un server linux?
- quali altre precauzioni dovrei adottare per rendere il server
"difficilmente" attaccabile?
- dimentico qualcosa di cui dovrei assolutamente tener conto?

Grazie
Raffaello
Pablo Xon
2007-12-07 13:25:27 UTC
Permalink
Post by malaka76
- secondo voi è più sicuro un server windows o un server linux?
Quello che si conosce meglio.
Post by malaka76
- quali altre precauzioni dovrei adottare per rendere il server
"difficilmente" attaccabile?
Chiedere a un consulente che si occupa di sicurezza.
Post by malaka76
- dimentico qualcosa di cui dovrei assolutamente tener conto?
Che in nessun lavoro ci si improvvisa esperti, se non si vuole sbattere
il naso.

Non voglio sembrarti polemico ma se hai esigenze concrete ti servono
esperienze concrete, non suggerimenti in un ng.

Ciao,
Paolo
malaka76
2007-12-07 14:02:04 UTC
Permalink
capisco...ma volendo fare una cosa a livello amatoriale e non a scopo
di lucro non posso rivogermi ad un consulente...

grazie comunque!
Post by Pablo Xon
Post by malaka76
- secondo voi è più sicuro un server windows o un server linux?
Quello che si conosce meglio.
Post by malaka76
- quali altre precauzioni dovrei adottare per rendere il server
"difficilmente" attaccabile?
Chiedere a un consulente che si occupa di sicurezza.
Post by malaka76
- dimentico qualcosa di cui dovrei assolutamente tener conto?
Che in nessun lavoro ci si improvvisa esperti, se non si vuole sbattere
il naso.
Non voglio sembrarti polemico ma se hai esigenze concrete ti servono
esperienze concrete, non suggerimenti in un ng.
Ciao,
Paolo
Pablo Xon
2007-12-07 14:06:19 UTC
Permalink
Post by malaka76
capisco...ma volendo fare una cosa a livello amatoriale e non a scopo
di lucro non posso rivogermi ad un consulente...
Ma se ti serve una cosa amatoriale perché vuoi gestirti il server in
toto e non affidarti a una società?
Se non sono indiscreto...

Ciao,
Paolo
malaka76
2007-12-07 14:34:46 UTC
Permalink
ops...non avevo aggiornato, ho risposto 2 volte la stessa cosa..

Una società? Tipo?
Post by Pablo Xon
Post by malaka76
capisco...ma volendo fare una cosa a livello amatoriale e non a scopo
di lucro non posso rivogermi ad un consulente...
Ma se ti serve una cosa amatoriale perché vuoi gestirti il server in
toto e non affidarti a una società?
Se non sono indiscreto...
Ciao,
Paolo
Pablo Xon
2007-12-07 14:37:28 UTC
Permalink
Post by malaka76
Una società? Tipo?
Un hosting provider, ce ne sono a migliaia.

Ciao,
Paolo
malaka76
2007-12-07 14:40:37 UTC
Permalink
Ok.. grazie!!!

qualche consiglio su hostingparticolarmente "sicuro"?
Meglio hosting basati su windows o linux?
Post by Pablo Xon
Post by malaka76
Una società? Tipo?
Un hosting provider, ce ne sono a migliaia.
Ciao,
Paolo
Pablo Xon
2007-12-07 15:03:15 UTC
Permalink
Post by malaka76
qualche consiglio su hostingparticolarmente "sicuro"?
Qui ti risponderà meglio qualcun altro, io ho i server "in casa"...
Post by malaka76
Meglio hosting basati su windows o linux?
Vale la risposta di prima, dipende tutto dalle competenze.
A parità di competenze direi sicuramente linux, se non altro per due motivi:
- compartimentazione degli utenti;
- possibilità di installare solo il minimo indispensabile (es. kernel +
utilità di base + web server, e la semplicità è quasi sempre sinonimo di
sicurezza).
Poi se la sicurezza è una priorità molto alta meglio puntare su sistemi
dedicati, come OpenBSD (anche se recentemente è un po' in crisi con i
fondi).

Ciao,
Paolo
malaka76
2007-12-07 15:24:13 UTC
Permalink
In base ai vostri suggerimenti ho dato un'occhiata in giro...

Risulta che se sono disposto a spendere 50/100 euro mensili oltre ad
un hosting condiviso posso anche optare per un un server dedicato
"virtuale" o un server dedicato.

Sono soluzioni più sicure rispetto ad un hosting condiviso?
Posso gestirle anche senza particolari conoscenze nella sicurezza di
un server? O meglio...la sicurezza è gestita dal fornitore del
servizio oppure è qualcosa di cui mi devo occupare personalmente?


Grazie ancora!!
Raffaello
Post by Pablo Xon
Qui ti risponderà meglio qualcun altro, io ho i server "in casa"...
Post by malaka76
Meglio hosting basati su windows o linux?
Vale la risposta di prima, dipende tutto dalle competenze.
- compartimentazione degli utenti;
- possibilità di installare solo il minimo indispensabile (es. kernel +
utilità di base + web server, e la semplicità è quasi sempre sinonimo di
sicurezza).
Poi se la sicurezza è una priorità molto alta meglio puntare su sistemi
dedicati, come OpenBSD (anche se recentemente è un po' in crisi con i
fondi).
Ciao,
Paolo
Pablo Xon
2007-12-07 18:41:34 UTC
Permalink
Post by malaka76
Risulta che se sono disposto a spendere 50/100 euro mensili
Non per farmi gli affari tuoi, ma per una cosa amatoriale mi sembra un
botto di soldi. Soprattutto considerato che affermavi di non poterti
rivolgere a un consulente.
Post by malaka76
Sono soluzioni più sicure rispetto ad un hosting condiviso?
Teoricamente sì. Dipende da come è implementato il tutto.
Post by malaka76
la sicurezza è gestita dal fornitore del
servizio oppure è qualcosa di cui mi devo occupare personalmente?
Scusa la curiosità ma mi spieghi come mai questa "ossessione" per la
sicurezza?
malaka76
2007-12-07 19:22:19 UTC
Permalink
Post by Pablo Xon
Non per farmi gli affari tuoi, ma per una cosa amatoriale mi sembra un
botto di soldi. Soprattutto considerato che affermavi di non poterti
rivolgere a un consulente.
tralasciando per un attimo che si tratta di un sito amatoriale..ma
scusa...un consulente costerebbe 50/100 euro al mese??mi sembra un po'
pochino....
Post by Pablo Xon
Scusa la curiosità ma mi spieghi come mai questa "ossessione" per la
sicurezza
dormo ancora con la luce accesa... ;-)
Post by Pablo Xon
Quindi compra uno spazio di hosting a 9 euro che sicuramente sarà più
affidabile di quanto possa fare tu da solo.
concordo...vale anche per un server dedicato "virtuale" o un server
dedicato?
Pablo Xon
2007-12-07 19:29:57 UTC
Permalink
Post by malaka76
tralasciando per un attimo che si tratta di un sito amatoriale..ma
scusa...un consulente costerebbe 50/100 euro al mese??mi sembra un po'
pochino....
No, ma un consulente lo contatti per fare un lavoro di un paio di giorni
e poi sei a posto per anni.
A livello teorico e ipotetico...

Ciao,
Paolo
Christian Paparelli [MVP]
2007-12-07 19:55:49 UTC
Permalink
sorry se ti correggo
Post by Pablo Xon
- compartimentazione degli utenti;
stesso discorso per windows, usando iis 6 con application pool isolation
Post by Pablo Xon
- possibilità di installare solo il minimo indispensabile (es. kernel +
utilità di base + web server, e la semplicità è quasi sempre sinonimo di
sicurezza).
anche qui, dipende come e soprattutto chi ha fatto l'installazione
Post by Pablo Xon
Poi se la sicurezza è una priorità molto alta meglio puntare su sistemi
dedicati, come OpenBSD (anche se recentemente è un po' in crisi con i
fondi).
e su quali basi, puoi argomentare??

Senza entrare in polemica il livello di sicurezza lato macchina lo si risolve
con un installazione e relativa configurazione a regola d'arte, ma i grossi
buchi di sicurezza stanno principalmente nell'applicativo usato e alla sua
architettura e pertanto che sia win o linux poco importa

Problemi come sql injection sono una piaga sia per win che per linux e quindi
affermare che uno o l'altro sia più sicuro è assolutamente inutile e fuorviante.

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-07 21:07:37 UTC
Permalink
Post by Christian Paparelli [MVP]
stesso discorso per windows, usando iis 6 con application pool isolation
Ti sfugge un piccolo dettaglio: avere un'applicazione multiutente con
compartimentazione degli utenti non equivale ad avere un sistema
nativamente multiutente.
Pensa solo al filesystem (casualmente winFS è in cantiere da ormai 7-8
anni): in un caso vi è un controllo applicativo sull'utenza, nell'altro
un controllo a basso livello.
Post by Christian Paparelli [MVP]
anche qui, dipende come e soprattutto chi ha fatto l'installazione
No, non dipende: windows o lo installi oppure no. Non puoi installarlo
senza interfaccia grafica, per esempio.
Il mio discorso era semplice: più applicazioni e servizi girano, più è
probabile che ci sia un bug, più è probabile che un attaccante lo sfrutti.
Windows si porta dietro un "malloppo" di servizi e applicazioni che lo
rendono più vulnerabile.
Ci sono poi le "anomalie specifiche", ad esempio il registry di windows:
da un lato hai n file di configurazione, con diversi privilegi di
accesso, dall'altro una struttura centralizzata facilmente accessibile
da ogni utente. Altro esempio è il sistema di criptazione delle
password: un sistema proprietario e fisso (e già bucato) da un lato, n
algoritmi diversi tra cui scegliere, dall'altro.
Post by Christian Paparelli [MVP]
e su quali basi, puoi argomentare??
Argomentare cosa? Che OpenBSD è in crisi economica? ;)
Post by Christian Paparelli [MVP]
Senza entrare in polemica il livello di sicurezza lato macchina lo si
risolve con un installazione e relativa configurazione a regola d'arte,
ma i grossi buchi di sicurezza stanno principalmente nell'applicativo
usato e alla sua architettura e pertanto che sia win o linux poco importa
Premesso che neppure io voglio fare polemiche, e che concordo sul fatto
che spesso i problemi sono causati dagli applicativi stessi, resta il
fatto che da un lato abbiamo un SO pensato per operare in multiutenza e
in ambiente di rete, dall'altra un SO che *per esplicita dichiarazione
degli autori* è stato pensato come sistema monoutente (e l'attenzione
per la rete è arrivata molto, molto dopo).
Post by Christian Paparelli [MVP]
Problemi come sql injection sono una piaga sia per win che per linux e
quindi affermare che uno o l'altro sia più sicuro è assolutamente
inutile e fuorviante.
Secondo me è fuorviante mescolare problemi applicativi con difetti
architetturali. E' come dire che siccome l'autista può ubriacarsi, tutte
le auto sono ugualmente pericolose.
Faccio poi notare che l'affermazione che mi attribuisci è diversa da
quella che ho fatto io.

In ogni caso, visto che le chiacchiere lasciano il tempo che trovano, mi
permetto di citare un paio di link con qualche riferimento (alcuni un
po' vecchiotti) di articoli sulla sicurezza:
http://csc.colstate.edu/summers/e-library/OS.html
http://www.linux.com/articles/36273
http://www.boran.com/security/detail_toc.html
Per chi fosse interessato ad approfondire ci sono comunque migliaia di
siti e parecchi ng sull'argomento. Interessante confrontare la lista
delle vulnerabilità scoperte, la loro gravità e il tempo per risolverle.

Solo una nota personale: in 10 anni non ho mai visto "bucare" un server
linux mentre l'ho visto accadere con più di un server windows (seppur
configurati da professionisti con solidi certificati), e non parlo solo
di NT.

Ciao,
Paolo
Christian Paparelli [MVP]
2007-12-07 22:14:29 UTC
Permalink
Post by Pablo Xon
Ti sfugge un piccolo dettaglio: avere un'applicazione multiutente con
compartimentazione degli utenti non equivale ad avere un sistema
nativamente multiutente.
non mi sfugge, mai spieghi l'attinenza con l'isolazione degli application
pool?
Post by Pablo Xon
Pensa solo al filesystem (casualmente winFS è in cantiere da ormai 7-8
anni): in un caso vi è un controllo applicativo sull'utenza,
nell'altro
un controllo a basso livello.
continuo a non capire, e ti ripeto spiegami l'attinenza?
Post by Pablo Xon
No, non dipende: windows o lo installi oppure no.
?? spero tu stia scherzando vero?? non è che l'installazione la fai con 4
click e premendo 2 volte ok
Post by Pablo Xon
Non puoi installarlo senza interfaccia grafica, per esempio.
Dai un occhiata a Windows 2008 Core edition attualmente in RC1 e lo troverai
senza gui
Post by Pablo Xon
Il mio discorso era semplice: più applicazioni e servizi girano, più è
probabile che ci sia un bug, più è probabile che un attaccante lo sfrutti.
e io cosa ho scritto? Il problema non è quindi sistemistico ma applicativo
Post by Pablo Xon
Windows si porta dietro un "malloppo" di servizi e applicazioni che lo
rendono più vulnerabile.
?? ma parli per sentito dire oppure perchè conosci le cose??

Comunque dai un occhiata qui
http://www.microsoft.com/technet/security/prodtech/IIS.mspx
Post by Pablo Xon
da un lato hai n file di configurazione, con diversi privilegi di
accesso, dall'altro una struttura centralizzata facilmente accessibile
da ogni utente.
ok, ho capito come sempre.... :(

Vabbe risolviamo i dubbi, il registry ha le sue ACL configurabili tranquillamente
da regedt32

Inoltre se parliamo di server web un applicativo non ha accesso al registry
visto che l'utente nel quale gira il processo w3wp.exe non ha i diritti di
logon locally pertanto asp è ok, in asp.net va impostato il medium trust
per impedire l'accesso al registry, per altre tecnologie dipende da come
vengono configurate isapi/cgi o fastcgi ma ovviamente anche a tutti loro
verrà bloccato l'accesso al registry
Post by Pablo Xon
Altro esempio è il sistema di criptazione delle
password: un sistema proprietario e fisso (e già bucato) da un lato, n
algoritmi diversi tra cui scegliere, dall'altro.
anche qui come sempre.... :(

Correggiamo il termine bucato con il termine hash table e attualmente non
complete, comunque dall'interno ovviamente non hai accesso ai file e quindi
che te ne fai?
Post by Pablo Xon
Argomentare cosa? Che OpenBSD è in crisi economica? ;)
spiritoso su questa affermazione "Poi se la sicurezza è una priorità molto
alta meglio puntare su sistemi dedicati"
Post by Pablo Xon
Premesso che neppure io voglio fare polemiche, e che concordo sul
fatto che spesso i problemi sono causati dagli applicativi stessi,
resta il fatto che da un lato abbiamo un SO pensato per operare in
multiutenza e in ambiente di rete, dall'altra un SO che *per esplicita
dichiarazione degli autori* è stato pensato come sistema monoutente (e
l'attenzione per la rete è arrivata molto, molto dopo).
ehm non sto parlando di windows 98 di windows xp
Post by Pablo Xon
Secondo me è fuorviante mescolare problemi applicativi con difetti
architetturali. E' come dire che siccome l'autista può ubriacarsi, tutte
le auto sono ugualmente pericolose.
veramente io di difetti architetturali di iis non ne vedo e soprattutto non
ne sto vedendo in IIS 7, ma farse parliamo di cose diverse non sto parlando
del pc di casa o della segretaria
Post by Pablo Xon
Faccio poi notare che l'affermazione che mi attribuisci è diversa da
quella che ho fatto io.
devi solo rileggere i post
Post by Pablo Xon
In ogni caso, visto che le chiacchiere lasciano il tempo che trovano, mi
permetto di citare un paio di link con qualche riferimento (alcuni un
http://csc.colstate.edu/summers/e-library/OS.html
http://www.linux.com/articles/36273
http://www.boran.com/security/detail_toc.html
Per chi fosse interessato ad approfondire ci sono comunque migliaia di
siti e parecchi ng sull'argomento. Interessante confrontare la lista
delle vulnerabilità scoperte, la loro gravità e il tempo per
risolverle.
che pizza! ma perchè mischiamo server web con il resto??

Perchè non posti questi link??

http://secunia.com/product/1438/?task=statistics

Dove 2 dei 3 bug per default non venivano attivati

e questo
http://secunia.com/product/73/?task=statistics

e lasciamo da parte apache 1.x
Post by Pablo Xon
Solo una nota personale: in 10 anni non ho mai visto "bucare" un
server linux mentre l'ho visto accadere con più di un server windows
(seppur configurati da professionisti con solidi certificati), e non
parlo solo di NT.
se è una barzelletta l'apprezzo vista l'ora

dai un occhiata qui http://www.zone-h.org

Ma se davvero ci credi mi spiace ma forse è ora che aggiorni un po' i link
e soprattutto i riferimenti su iis

Senza farne una guerra di religione, ma parlando di server web non confondere
windows con iis in quanto iis è solo un servizio se poi ti interessa dai
un occhiata a iis 7 su windows 2008 core

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-08 07:55:33 UTC
Permalink
Post by Christian Paparelli [MVP]
che pizza! ma perchè mischiamo server web con il resto??
Perché *io* parlavo di sicurezza di linux (e altri sistemi *NIX)
confrontata con quella di sistemi windows (quindi si SO), *tu* ti sei
messo a parlare di IIS (quindi di un web server) e usarlo come metro di
paragone.
Spero questo risponda anche alle domande precedenti e a buona parte
delle seguenti.
Se credi (o ti fa comodo dire) che un SO e un web server siano la stessa
cosa, che posso aggiungere?
Post by Christian Paparelli [MVP]
?? spero tu stia scherzando vero?? non è che l'installazione la fai
con 4 click e premendo 2 volte ok
Forse tu la fai ricompilando quello che ti serve, come ti serve...
Post by Christian Paparelli [MVP]
anche qui come sempre.... :(
Queste ripetute battutine sarcastiche del piffero puoi anche
risparmiartele: rispondi e documenta o taci, mr MVP!
Post by Christian Paparelli [MVP]
Correggiamo il termine bucato con il termine hash table e attualmente
non complete, comunque dall'interno ovviamente non hai accesso ai file
e quindi che te ne fai?
Metti in esecuzione programmi che non dovrebbero essere eseguiti?
Metti offline un sistema? Ci saranno 20mila virus che lo facevano (e
continuano a farlo).
Post by Christian Paparelli [MVP]
dai un occhiata qui http://www.zone-h.org
E cosa dovrei "scoprire" di nuovo?
Che linux ha più defacements di windows?
Peccato che avessimo esordito il discorso con "il sistema più sicuro è
quello che si conosce e si configura meglio".
Ma questo è un dettaglio, il fatto è che se non citi anche la
*diffusione* (basta farsi un giro su Netcraft) dei sistemi operativi il
resto conta zero.
Hai presente cosa usano praticamente *tutti* i più grossi fornitori di
servizi web, da google a IBM a youtube a flick (tanto per fare pochi
esempi a caso e di diverso tipo)? Ricordi che fino a pochi anni fa
persino microsoft stessa usava server FreeBSD per il suo "network" e per
hotmail?
Post by Christian Paparelli [MVP]
Senza farne una guerra di religione, ma parlando di server web non
confondere windows con iis in quanto iis è solo un servizio se poi ti
interessa dai un occhiata a iis 7 su windows 2008 core
Ci mancherebbe, non è questione di religioni: uso windows dal '92 (anche
se solo fino al 2000 come sistemista) e linux dal '97 e continuerò a
usarli e proporli entrambi ai miei clienti, in funzione delle loro esigenze.
Lavoro con gente che ha _vere_ certificazioni microsoft e uno ha pure
lavorato in microsost italia per 5 anni: sono i primi a riconoscere i
limiti del sistema.
IIS c'entra come i cavoli a merenda e l'ho già detto n volte (non
capisco perché hai spostato la discussione su quello, forse perché siamo
su un ng di webmaster?).
Parli più volte di windows 2008. Windows 2050 probabilmente mi farà
anche il caffé, ma sinora ho sentito solo tante chiacchiere (non mi
riferisco alle tue, o almeno non solo: parlo di microsoft) e pochi
risultati. Adesso abbiamo "Aero", fondamentale, e ancora tocca ancora
fare i defrag dei dischi. Suvvia...

Ciao,
Paolo
Christian Paparelli [MVP]
2007-12-08 09:11:09 UTC
Permalink
Post by Pablo Xon
Perché *io* parlavo di sicurezza di linux (e altri sistemi *NIX)
confrontata con quella di sistemi windows (quindi si SO), *tu* ti sei
messo a parlare di IIS (quindi di un web server) e usarlo come metro di
paragone.
puoi rileggere il topic?? "Meglio hosting basati su windows o linux?" pertanto
si parla di server web e quindi va usato come paragone un server web
Post by Pablo Xon
Spero questo risponda anche alle domande precedenti e a buona parte
delle seguenti.
Se credi (o ti fa comodo dire) che un SO e un web server siano la stessa
cosa, che posso aggiungere?
? vedi sopra
Post by Pablo Xon
Forse tu la fai ricompilando quello che ti serve, come ti serve...
basta installarlo con criterio sapendo cosa si vuole e si deve attivare
Post by Pablo Xon
Queste ripetute battutine sarcastiche del piffero puoi anche
risparmiartele: rispondi e documenta o taci, mr MVP!
ehm veramente ho documentato in modo molto esaustivo alcune delle tue argomentazioni
palesemente errate, tu piuttosto hai fin'ora fatto affermazioni senza argomentare
Post by Pablo Xon
Metti in esecuzione programmi che non dovrebbero essere eseguiti?
allora non capisci, non metti in esecuzione nulla nel contesto rileggi il
post precedente
Post by Pablo Xon
Metti offline un sistema?
ti ripeto dimmi come, visto che l'utente non ha i diritti per farlo
Post by Pablo Xon
Ci saranno 20mila virus che lo facevano (e
continuano a farlo).
vabbe se non vuoi/puoi capire, non fa nulla
Post by Pablo Xon
Ci mancherebbe, non è questione di religioni: uso windows dal '92 (anche
se solo fino al 2000 come sistemista) e linux dal '97 e continuerò a
usarli e proporli entrambi ai miei clienti, in funzione delle loro esigenze.
sono felice per te
Post by Pablo Xon
Lavoro con gente che ha _vere_ certificazioni microsoft e uno ha pure
lavorato in microsost italia per 5 anni: sono i primi a riconoscere i
limiti del sistema.
ehm il fatto che sia MVP non vuol dire che non sia certificato, non mi sembra
che una cosa escluda l'altra.
Post by Pablo Xon
IIS c'entra come i cavoli a merenda e l'ho già detto n volte (non
capisco perché hai spostato la discussione su quello, forse perché siamo
su un ng di webmaster?).
No semplicemente perchè malaka76 ha chiesto come ti ho già fatto notare prima
"Meglio hosting basati su windows o linux?" e per l'hosting parliamo di
server web o sbaglio io??

Se vuoi o puoi argomentare come bucare un server web windows sono tutt'orecchi
e anzi la cosa mi interessa molto
Post by Pablo Xon
Parli più volte di windows 2008. Windows 2050 probabilmente mi farà
anche il caffé, ma sinora ho sentito solo tante chiacchiere (non mi
riferisco alle tue, o almeno non solo: parlo di microsoft) e pochi
risultati.
argomentare, grazie
Post by Pablo Xon
Adesso abbiamo "Aero", fondamentale, e ancora tocca ancora
fare i defrag dei dischi. Suvvia...
vabbe e poi le battutine non te le cerchi??

Ma che c'entra Aero, che è l'interfaccia grafica di Vista con un server hosting
windows? Non penserai mica di voler usare Vista come server web??

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-08 09:22:07 UTC
Permalink
Post by Christian Paparelli [MVP]
puoi rileggere il topic?? "Meglio hosting basati su windows o linux?"
pertanto si parla di server web e quindi va usato come paragone un
server web
1. tu hai risposto a me, e alla mia affermazione, non all'OP
2. hosting e sicurezza significano solo server web?
Post by Christian Paparelli [MVP]
No semplicemente perchè malaka76 ha chiesto come ti ho già fatto notare
prima "Meglio hosting basati su windows o linux?" e per l'hosting
parliamo di server web o sbaglio io??
Sbagli, rileggiti il titolo del thread.
Christian Paparelli [MVP]
2007-12-08 09:37:25 UTC
Permalink
Post by Pablo Xon
1. tu hai risposto a me, e alla mia affermazione, non all'OP
e ovviamente come da netiquette non sono uscito thread ma se tu vuoi generalizzare
allora puoi continuare la discussione su icod
Post by Pablo Xon
2. hosting e sicurezza significano solo server web?
non vedo come si possa fare hosting senza un server web?? e soprattutto non
vedo cosa serva oltre ad un server web per fare hosting
Post by Pablo Xon
Sbagli, rileggiti il titolo del thread.
"sicurezza per il mio portale" adesso senza prenderci in giro, dove gira
un portale??

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-08 10:21:56 UTC
Permalink
Post by Christian Paparelli [MVP]
e ovviamente come da netiquette non sono uscito thread ma se tu vuoi
generalizzare allora puoi continuare la discussione su icod
No grazie, questi flame sterili e inutili già mi annoiavano 5-6 anni fa,
imagina oggi...
Post by Christian Paparelli [MVP]
non vedo come si possa fare hosting senza un server web??
Vedo ancora meno come si possa fare hosting senza un SO. E di questo si
parlava. Anzi, si parlava di hosting E housing, per la precisione.
Post by Christian Paparelli [MVP]
e soprattutto
non vedo cosa serva oltre ad un server web per fare hosting
Un server FTP? Un database? Una piattaforma/linguaggio di sviluppo? Una
SSH? Un desktop remoto? Una VPN?
Devo continuare?
Post by Christian Paparelli [MVP]
"sicurezza per il mio portale" adesso senza prenderci in giro, dove gira
un portale??
Vedi mia risposta precedente: le vulnerabilità delle altre applicazioni
non contano?
Quello che continui a voler ignorare è che su un sistema fatto su misura
puoi escludere tutti i servizi non essenziali, su un sistema "chiuso"
no. Sasser te lo ricordi?

Come già ti dicevo se pensi che la sicurezza di un server equivalga a
quella del web server /forse/ dovresti rifletterci un attimo sopra...

Ciao,
Paolo
Christian Paparelli [MVP]
2007-12-08 12:17:09 UTC
Permalink
Post by Pablo Xon
Vedo ancora meno come si possa fare hosting senza un SO. E di questo
si parlava. Anzi, si parlava di hosting E housing, per la precisione.
allora non confondere security dell'os con security di altri servizi non
usati dal server web
Post by Pablo Xon
Un server FTP?
non vedo bug su ftp di iis in entrambe le versioni
Post by Pablo Xon
Un database?
nessuno sano di mente usa lo stesso server ma sono 2 macchine separate e
soprattutto il server rdbms non sarà accessibile dall'esterno se non via
ipsec/vpn
Post by Pablo Xon
Una piattaforma/linguaggio di sviluppo?
lasciamo perdere
Post by Pablo Xon
Una SSH? Un desktop remoto? Una VPN?
Devo continuare?
idem con patate non vedo bug sui servizi da te citati
Post by Pablo Xon
Vedi mia risposta precedente: le vulnerabilità delle altre
applicazioni
non contano?
certamente, e quindi scegliere linux o windows non offre ne più ne meno vantaggi,
dipende da cosa hai deciso di voler usare
Post by Pablo Xon
Quello che continui a voler ignorare è che su un sistema fatto su misura
puoi escludere tutti i servizi non essenziali, su un sistema "chiuso"
no. Sasser te lo ricordi?
evitiamo di parlare di Sasser in quanto le hotfix erano disponibili da 6
mesi, se imbecilli non le hanno applicate e non hanno disattivato sql browser
lasciando la porta 1434 udp aperta beccarsi sasser era il minimo.

Parliamo invece di configurazioni fatte come si deve dove sql browser va
attivato solo ed unicamente se usi named instance e dove un buon sistemista
vincolerebbe il traffico sulla porta udp 1434 solo ed unicamente ai computer
autorizzati mediante blocco ipsec e pertanto solo la lan interna potrebbe
accedere a questo, ti posso assicurare che con queste configurazioni sasser
non entra nemmeno se canti in cinese
Post by Pablo Xon
Come già ti dicevo se pensi che la sicurezza di un server equivalga a
quella del web server /forse/ dovresti rifletterci un attimo sopra...
Caro Paolo, faccio questo mestiere da alcuni anni, se vuoi darmi consigli
sono sempre pronto ad imparare qualcosa di nuovo, pertanto illuminami e ti
ripeto dimmi come bucare un server web dall'esterno, ovviamente come ho già
detto nel mio post iniziale il grosso del problema security sta lato applicativo
e non lato server pertanto giro e rigira dai post che mi stai inviando stai
arrivando alla mia conclusione e quindi tirando le somme

puoi canticchiare con me dire e che linux sia più sicuro di windows è una
grande ca**ata in quanto come sempre DIPENDE

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-08 15:27:28 UTC
Permalink
Post by Christian Paparelli [MVP]
idem con patate non vedo bug sui servizi da te citati
Non c'è peggior sordo...
Post by Christian Paparelli [MVP]
certamente, e quindi scegliere linux o windows non offre ne più ne meno
vantaggi, dipende da cosa hai deciso di voler usare
Oh cribbio...
Se finalmente mi dai ragione nel dire che la sicurezza dipende anche da
tutte le applicazioni "di corollario" (e non solo dal web server), come
fai a negare che (con le debite premesse già fatte) un sistema in cui
puoi ridurre al minimo il numero di applicazioni è tendenzialmente più
sicuro?
Non noti una leggera contraddizione?
Tra l'altro c'è anche un teorema che lo afferma (relazione tra numero di
righe di codice e possibili bug) ma ora mi so appena svegliato e non mi
viene in mente l'autore... :)
Post by Christian Paparelli [MVP]
evitiamo di parlare di Sasser [...]
No, non evitiamo: non l'ho citato in quanto simbolo di amministratori
incompetenti ma come esempio di bug su un'applicazione che teoricamente
(secondo il tuo discorso) non avrebbe nulla a che fare con web server,
hosting e housing.
Comunque il discorso è lo stesso del punto precedente, per cui
soprassediamo.
Post by Christian Paparelli [MVP]
Caro Paolo, faccio questo mestiere da alcuni anni, [...]
Io lo faccio da tanti anni, pure troppi...
Anch'io quando lo facevo da qualche anno tendevo ad essere un po'
fondamentalista (non in senso offensivo, eh!), poi sono invecchiato. ;)
Post by Christian Paparelli [MVP]
il grosso del problema security sta lato applicativo e non lato
server pertanto giro e rigira dai post che mi
stai inviando stai arrivando alla mia conclusione
e quindi tirando le somme
Che i problemi siano spesso causati da applicazioni fatte col tubo o da
sistemi configurati peggio l'ho detto fin dal primo post.
Se poi ti fa comodo fingere che abbia detto il contrario per ora
cambiare idea e darti ragione, ok.
Post by Christian Paparelli [MVP]
puoi canticchiare con me dire e che linux sia più sicuro di windows è
una grande ca**ata in quanto come sempre DIPENDE
Post da cui è partita tutta questa discussione (ricordo che si parlava
di sicurezza):
OP >> Meglio hosting basati su windows o linux?
PX> Vale la risposta di prima, dipende tutto dalle competenze.
Attribuire ad altri affermazioni che non hanno fatto solo perché si è
convinti che le pensino è tipico comportamento fondamentalista.
Quasi quanto mettere "MVP" una riga sì e l'altra pure... :P

Poi, ripeto, possiamo fare tutte le chiacchiere che vogliamo ma non
siamo noi, sono i fatti che "cantano": come mai tra i "big" pochissimi
usano windows nei server critici?
Te ne ho già citati alcuni, mi vengono anche in mente SAP, la NASA, il
sistema bancario centrale americano ed europeo, wall street.
Da dire poi che pochi di questi usano linux, usano sistemi meno
raffazzonati (linux è sempre stato orientato alle funzionalità più che
alla qualità degli algoritmi).

Ciao,
Paolo
Christian Paparelli [MVP]
2007-12-08 22:10:16 UTC
Permalink
Post by Pablo Xon
Non c'è peggior sordo...
non è questione di sordità, è semplicemente questione che non ci capiamo
Post by Pablo Xon
Oh cribbio...
Se finalmente mi dai ragione nel dire che la sicurezza dipende anche da
tutte le applicazioni "di corollario" (e non solo dal web server), come
fai a negare che (con le debite premesse già fatte) un sistema in cui
puoi ridurre al minimo il numero di applicazioni è tendenzialmente più
sicuro?
per il semplice fatto che su un server windows puoi ridurre al minimo le
applicazioni esattamente come in altri os
Post by Pablo Xon
Non noti una leggera contraddizione?
nessuna ovviamente se mi parli del server che fa da server http, ftp, webdav,
mysql, mssql, smtp, pop3, imap, dns, ecc. vabbe lasciamo perdere ma nel
mondo reale non esistono solo i cesti pieni di uova ci sono anche realtà
che isolano i vari servizi proprio perchè vogliono sicurezza
Post by Pablo Xon
No, non evitiamo: non l'ho citato in quanto simbolo di amministratori
incompetenti ma come esempio di bug su un'applicazione che
teoricamente
(secondo il tuo discorso) non avrebbe nulla a che fare con web server,
hosting e housing.
e infatti non ha nulla a che fare.
Sasser è un virus che coinvolge MSSQL il quale non è pubblico e soprattutto
NON va messo sulla stessa macchina del server web
Post by Pablo Xon
Comunque il discorso è lo stesso del punto precedente, per cui
soprassediamo.
ti ripeto perchè vuoi farti male?? Se parliamo di hosting l'unico servizio
esposto è e rimane http e ftp con le varie varianti https e sftp, tutto il
resto non è pubblico rdp è sotto vpn e/o ipsec, rdbms non sono accessibili
dall'esterno e comunque sono macchine separate e dedicate ma se questo concetto
di sicurezza non lo capisci vabbe continua pure a dire che linux è più sicuro
e smettiamola qui
Post by Pablo Xon
Io lo faccio da tanti anni, pure troppi...
Anch'io quando lo facevo da qualche anno tendevo ad essere un po'
fondamentalista (non in senso offensivo, eh!), poi sono invecchiato.
vedo, senza offesa :)
Post by Pablo Xon
Attribuire ad altri affermazioni che non hanno fatto solo perché si è
convinti che le pensino è tipico comportamento fondamentalista.
basta rileggere, io non mai affermato che win è più sicuro di linux, cosa
che tu hai fatto
Post by Pablo Xon
Quasi quanto mettere "MVP" una riga sì e l'altra pure... :P
si chiama firma e se ti da fastidio basta disattivarla dal newsreader
Post by Pablo Xon
Poi, ripeto, possiamo fare tutte le chiacchiere che vogliamo ma non
siamo noi, sono i fatti che "cantano": come mai tra i "big" pochissimi
usano windows nei server critici?
veramente ci sono pareri contrastanti online
http://www.search-this.com/2007/06/27/microsoft-iis-vs-apache-who-serves-more/

E comunque non mi interessa sapere cosa è più usato o meno ma unicamente
evitare che ci siano persone che dichiarino che linux è più sicuro di windows
senza poi argomentare nulla e dopo un giro di post arrivare con queste conclusioni
ovvero con fuffa

Io la chiudo qui se vuoi continuare ti prego argomenta o postami almeno un
link altrimenti qui andiamo all'infinito, non è mia intenzione o obiettivo
farti cambiare idea ma unicamente non accetto la tua dichiarazione soprattutto
se non argomentata e documentata

--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]
http://mvp.support.microsoft.com
http://italy.mvps.org
My blog: http://blogs.aspitalia.com/cp
Pablo Xon
2007-12-09 07:56:51 UTC
Permalink
Post by Christian Paparelli [MVP]
non è questione di sordità, è semplicemente questione che non ci capiamo
Palesemente.
Post by Christian Paparelli [MVP]
per il semplice fatto che su un server windows puoi ridurre al minimo le
applicazioni esattamente come in altri os
Probabilmente è per questo che non ci capiamo: io nego (e confuto)
questa tua affermazione che è contraria all'evidenza dei fatti.

Un sistema linux (per continuare a usarlo come esempio) è modulare, puoi
compilare e installare solo il sottoinsieme minimo che ti serve (penso
tu abbia letto di server web linux che stanno su un singolo chip o
schedine da 8Mb, comunque su sistemi "minimali", tipo, per citare
l'ultimo che mi è passato sotto gli occhi, questo:
www.aleutia.com/products/e1specs.html).
Siamo nell'ordine di _poche decine di mega_, volendo anche meno.

Windows è un pacchetto chiuso, non modulare (le componenti
dell'architettura, come gui, file system, sistema di gestione dell'hw,
sono *fuse assieme*, non puoi escludere quello che non ti serve); certo
puoi configurarlo, abilitare o meno certi servizi, ma comunque le tue
belle centinaia (o siamo arrivati ai giga?) di mega le installi, volente
o nolente.

Linux (la *stessa versione*) si può installare su centinaia di
piattaforme hw diverse, dai pc desktop ai vari server ai cellulari (per
non parlare di NetBSD, guarda in quante piattaforme gira:
www.netbsd.org/ports/).

Quindi la mia affermazione è semplice e, credo, difficile da negare: a
parità di competenze di installatore/utilizzatore e di qualità del
codice (e già qui ci sarebbe qualcosina da dire...) un sistema "piccolo"
ha una minor probabilità di presentare vulnerabilità rispetto a uno
(molto) più grande.
Se ti interessa trovo i riferimenti di quanto scrivo (comunque basta
cercare, non dovresti avere difficoltà a trovarli), ci sono matematici
che lavorano e pubblicano su questi argomenti.
Trascurando l'aspetto teorico lo si può verificare nella pratica quando
si vuole, confrontando l'nmap su un sito windows e uno linux.


Sorvolo su tutte le altre chiacchiere, compreso il link sui web server
(ancora? quanto volte l'abbiamo detto che si parla di SO, non di web
server?) che non parla della loro diffusione generale, ma di quella
nelle "top 100" di Fortune (che, casualmente, sono tutte americane e con
legami commerciali con microsoft).
Già se scendi nella pagina che hai linkato (controllando le web
companies, ma l'hai letla?) vedi che le proporzioni si ribaltano.

Ciao,
Paolo
Andrea D'Amore
2007-12-09 09:37:39 UTC
Permalink
Post by Pablo Xon
Siamo nell'ordine di _poche decine di mega_, volendo anche meno.
Urca, è grande! Avrei detto meno per un webserver embedded.

Che ricordi c'è anche un webserver che gira come modulo kernel, alla
faccia della multiprogrammazione.
Post by Pablo Xon
un sistema "piccolo" ha una minor probabilità di presentare
vulnerabilità rispetto a uno (molto) più grande.
Eh certo, perché espone meno servizi.
Pablo Xon
2007-12-09 09:54:08 UTC
Permalink
Post by Andrea D'Amore
Urca, è grande! Avrei detto meno per un webserver embedded.
Se vai sugli embedded credo che si riesca a stare sotto i due Mb, ma con
kernel pesantemente modificati.
Questa non è male (già con caratteristiche superiori e più standard):
http://www.areasx.com/index.php?D=1&page=scheda.php&id=465
Post by Andrea D'Amore
Eh certo, perché espone meno servizi.
Esatto, proprio quello che stavo cercando ripetutamente di spiegare.
Unitamente al fatto che con windows non lo puoi fare.

Ciao,
Paolo
ngw
2007-12-10 01:23:34 UTC
Permalink
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Vedo ancora meno come si possa fare hosting senza un SO. E di questo
si parlava. Anzi, si parlava di hosting E housing, per la precisione.
allora non confondere security dell'os con security di altri servizi non
usati dal server web
Vecchio, ma che *cazzo* dici ? :D
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Un server FTP?
non vedo bug su ftp di iis in entrambe le versioni
Il protocollo prima di tutto.
No SFTP no party.
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Un database?
nessuno sano di mente usa lo stesso server ma sono 2 macchine separate e
soprattutto il server rdbms non sarà accessibile dall'esterno se non via
ipsec/vpn
? In parecchi sbattono db e web server sulla stessa macchina - spesso più
server, mailserver e reverse proxy, ad esempio.
E perchè mai non si dovrebbe ? Perchè + codice + potenziali vulnerabilità ?
Questo esclude Windows dal mercato dell'hosting, te ne rendi conto ?
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Una piattaforma/linguaggio di sviluppo?
lasciamo perdere
Post by Pablo Xon
Una SSH? Un desktop remoto? Una VPN?
Devo continuare?
idem con patate non vedo bug sui servizi da te citati
Ma che vuol dire ? Nessuno li vede, poi quando lo sa si caga in mano.
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Vedi mia risposta precedente: le vulnerabilità delle altre
applicazioni
non contano?
certamente, e quindi scegliere linux o windows non offre ne più ne meno vantaggi,
dipende da cosa hai deciso di voler usare
Dipende perchè posso prendere uno Unix e togliere tutto tranne quello che mi
serve, nonchè personalizzarlo fino alla nausea. Lo sai che in alcune aziende
*rinominano gli eseguibili Unix* per mandare in merda un attaccante ? Parlo
di Telecom, mica l'ultima pirla (almeno la penultima, lo giuro).
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Quello che continui a voler ignorare è che su un sistema fatto su misura
puoi escludere tutti i servizi non essenziali, su un sistema "chiuso"
no. Sasser te lo ricordi?
evitiamo di parlare di Sasser in quanto le hotfix erano disponibili da 6
mesi, se imbecilli non le hanno applicate e non hanno disattivato sql browser
lasciando la porta 1434 udp aperta beccarsi sasser era il minimo.
Parliamo invece di configurazioni fatte come si deve dove sql browser va
attivato solo ed unicamente se usi named instance e dove un buon sistemista
vincolerebbe il traffico sulla porta udp 1434 solo ed unicamente ai computer
autorizzati mediante blocco ipsec e pertanto solo la lan interna potrebbe
accedere a questo, ti posso assicurare che con queste configurazioni sasser
non entra nemmeno se canti in cinese
Ma chi se ne fotte di Sasser, mi interessa togliere i servizi inutili per
pararmi il culo.
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Come già ti dicevo se pensi che la sicurezza di un server equivalga a
quella del web server /forse/ dovresti rifletterci un attimo sopra...
Caro Paolo, faccio questo mestiere da alcuni anni, se vuoi darmi consigli
sono sempre pronto ad imparare qualcosa di nuovo, pertanto illuminami e ti
ripeto dimmi come bucare un server web dall'esterno, ovviamente come ho già
detto nel mio post iniziale il grosso del problema security sta lato applicativo
e non lato server pertanto giro e rigira dai post che mi stai inviando stai
arrivando alla mia conclusione e quindi tirando le somme
puoi canticchiare con me dire e che linux sia più sicuro di windows è una
grande ca**ata in quanto come sempre DIPENDE
Dipende mica tanto, in Unix puoi installare solo e unicamente quello che
serve. Che poi l'approccio di Windows non sia *genericamente* sbagliato è
un'altro par di palle, anche i BSD hanno un core applicativo che puoi
eventualmente disabilitare dalla compilazione durante il world, e non un
accrocchio di kernel + quello che ti pare, ma in ambito server avere la
flessibilita' di esporre solo quello che vuoi e in caso eliminare il
superfluo e' un grossissimo vantaggio, senza ricorrere a barbatrucchi per
parare il culo a chi l'ha pestata. Poi chiaro, dal sistemista incompetente
non c'e' difesa, e dal programmatore pirla men che meno, ma l'ultima volta
che ho controllato la sicurezza a "strati di cipolla" era ancora la miglior
cosa disponibile, e con il merdaio che ti installa Windows devi cipollare un
bel po'.

ngw
--
"ma gavte la nata." -- Jacopo Belbo
http://www.tochunky.org
malaka76
2007-12-10 17:38:47 UTC
Permalink
non volevo causare tutto questo marasma... ;-)

Tornando a questioni più "terra terra"... ho fatto qualche ricerca; in
base alle mie esigenze..cito precedente messaggio..


- qualche documento scaricabile in formado pdf
- un forum (previa registrazione)
- form oppure email per ricevere richieste da parte di utenti (anche
non registrati)
- testo e fotografie
- link interni al portale e/o collegati ad altri siti
- banner pubblicitari (click for view o altre forme del genere)
- programmazione in html con elemeti di flash
- particolare attenzione per la sicurezza


..cosa ne pensate di questo servizio?

http://we.register.it/hosting/hosting_business_linux.html

Posso considerarlo valido, rapporto prezzo/qualità?

Il servizio di backup orari/giornalieri/settimanali mi protegge
secondo voi da eventuali attacchi?...non vorrei passare il mio tempo a
risolvere problemi.. (ex attacco al mio forum..)


Grazie
Raffaello
Pablo Xon
2007-12-10 19:16:44 UTC
Permalink
Post by malaka76
non volevo causare tutto questo marasma... ;-)
Non ti preoccupare, è nel DNA di usenet... ;)
Post by malaka76
..cosa ne pensate di questo servizio?
http://we.register.it/hosting/hosting_business_linux.html
Posso considerarlo valido, rapporto prezzo/qualità?
Register è abbastanza caro, rispetto ad altri, ma ne ho sempre sentito
parlare benone.
Sicuramente c'è chi saprà darti informazioni più precise.
Post by malaka76
Il servizio di backup orari/giornalieri/settimanali mi protegge
secondo voi da eventuali attacchi?
Ragionevolmente sì.
Considera solo che devi accorgerti del problema: se i dati vengono
danneggiati e tu (o chi per te) non te ne accorgi in tempo (ossia prima
che il backup venga sovrascritto, e lo storico di backup mantenuti
dipende da loro), li perdi.

Ciao,
Paolo

malaka76
2007-12-10 18:37:32 UTC
Permalink
non volevo creare tutto questo marasma.. ;-)

Tornando a questioni più "terra terra"...ho dato un'occhiata in giro
per quanto riguarda gli hosting..

Quelli gratuiti mi sembrano fin troppo amatoriali..ho trovato invece
questo servizio..

http://we.register.it/hosting/hosting_business_linux.html

Potrebbe andare bene per cominciare viste le mie esigenze?cito da post
precedente..

-documenti scaricabile in formado pdf..che spero vengano scaricati da
molte persone
- un forum (previa registrazione)
- form oppure email per ricevere richieste da parte di utenti (anche
non registrati)
- testo e fotografie
- link interni al portale e/o collegati ad altri siti
- banner pubblicitari (click for view o altre forme del genere)
- programmazione in html con elemeti di flash
- particolare attenzione alla sicurezza..non voglio passare il tempo a
risovere problemi derivanti da "eventuali attucchi"

Altri suggerimenti?

Grazie
Raffaello

ps un'altra domanda mooooolto elementare...quando apriro' il portale
mi trovero' in Portogallo. L'hosting mi conviene sceglierlo portoghese
o è indifferente..??

..so già cosa state pensando..sigh!!!!!





On 8 Dic, 13:17, Christian Paparelli [MVP]
Post by Christian Paparelli [MVP]
Post by Pablo Xon
Vedo ancora meno come si possa fare hosting senza un SO. E di questo
si parlava. Anzi, si parlava di hosting E housing, per la precisione.
allora non confondere security dell'os con security di altri servizi non
usati dal server web
Post by Pablo Xon
Un server FTP?
non vedo bug su ftp di iis in entrambe le versioni
Post by Pablo Xon
Un database?
nessuno sano di mente usa lo stesso server ma sono 2 macchine separate e
soprattutto il server rdbms non sarà accessibile dall'esterno se non via
ipsec/vpn
Post by Pablo Xon
Una piattaforma/linguaggio di sviluppo?
lasciamo perdere
Post by Pablo Xon
Una SSH? Un desktop remoto? Una VPN?
Devo continuare?
idem con patate non vedo bug sui servizi da te citati
Post by Pablo Xon
Vedi mia risposta precedente: le vulnerabilità delle altre
applicazioni
non contano?
certamente, e quindi scegliere linux o windows non offre ne più ne meno vantaggi,
dipende da cosa hai deciso di voler usare
Post by Pablo Xon
Quello che continui a voler ignorare è che su un sistema fatto su misura
puoi escludere tutti i servizi non essenziali, su un sistema "chiuso"
no. Sasser te lo ricordi?
evitiamo di parlare di Sasser in quanto le hotfix erano disponibili da 6
mesi, se imbecilli non le hanno applicate e non hanno disattivato sql browser
lasciando la porta 1434 udp aperta beccarsi sasser era il minimo.
Parliamo invece di configurazioni fatte come si deve dove sql browser va
attivato solo ed unicamente se usi named instance e dove un buon sistemista
vincolerebbe il traffico sulla porta udp 1434 solo ed unicamente ai computer
autorizzati mediante blocco ipsec e pertanto solo la lan interna potrebbe
accedere a questo, ti posso assicurare che con queste configurazioni sasser
non entra nemmeno se canti in cinese
Post by Pablo Xon
Come già ti dicevo se pensi che la sicurezza di un server equivalga a
quella del web server /forse/ dovresti rifletterci un attimo sopra...
Caro Paolo, faccio questo mestiere da alcuni anni, se vuoi darmi consigli
sono sempre pronto ad imparare qualcosa di nuovo, pertanto illuminami e ti
ripeto dimmi come bucare un server web dall'esterno, ovviamente come ho già
detto nel mio post iniziale il grosso del problema security sta lato applicativo
e non lato server pertanto giro e rigira dai post che mi stai inviando stai
arrivando alla mia conclusione e quindi tirando le somme
puoi canticchiare con me dire e che linux sia più sicuro di windows è una
grande ca**ata in quanto come sempre DIPENDE
--
Christian Paparelli
[Microsoft MVP Windows Server - IIS]http://mvp.support.microsoft.comhttp://italy.mvps.org
My blog:http://blogs.aspitalia.com/cp
Claudio Erba - Docebo.com
2007-12-07 13:59:49 UTC
Permalink
Post by malaka76
Buongiorno a tutti,
mi scuso in anticipo con tutti quelli che troveranno la mia domanda
troppo "elementare"... da qualche parte bisogna però cominciare...
Il solo fatto che tu non sia esperto né di sistemi né di applicativi
rende insicuro l'ambiente in cui lavorerai, e l'insicurezza non è data
dalla tecnologia ma dalla tua inesperienza.

In mano di un inesperto anche il sistema più sicuro diventa bucato,
dunque ti conviene affidare queste attività a:

Un sistemista serio lato server
Un programmatore serio lato script

In questo momento la tecnologia è l'ultimo dei tuoi problemi,
l'approccio al lavoro che hai è il primo
Cla
--
http://www.docebo.com [Docebo - The open source e-learning company]
http://claudioerba.blogspot.com [My Blog]

Molto sulle mie, quadrato, incazzoso, tremendo, insopportabile (Non sono
eterno, prendete appunti)
malaka76
2007-12-07 14:16:19 UTC
Permalink
capisco...ma si tratta di un progetto amatoriale e non a scopo di
lucro...gli esperti costano!!!

Non posso mica assumere un tecnico informatico per un hobbie..quindi??


grazie
Raffaello
Post by Claudio Erba - Docebo.com
Post by malaka76
Buongiorno a tutti,
mi scuso in anticipo con tutti quelli che troveranno la mia domanda
troppo "elementare"... da qualche parte bisogna però cominciare...
Il solo fatto che tu non sia esperto né di sistemi né di applicativi
rende insicuro l'ambiente in cui lavorerai, e l'insicurezza non è data
dalla tecnologia ma dalla tua inesperienza.
In mano di un inesperto anche il sistema più sicuro diventa bucato,
Un sistemista serio lato server
Un programmatore serio lato script
In questo momento la tecnologia è l'ultimo dei tuoi problemi,
l'approccio al lavoro che hai è il primo
Cla
--http://www.docebo.com[Docebo - The open source e-learning company]http://claudioerba.blogspot.com[My Blog]
Molto sulle mie, quadrato, incazzoso, tremendo, insopportabile (Non sono
eterno, prendete appunti)
Claudio Erba - Docebo.com
2007-12-07 14:34:24 UTC
Permalink
Post by malaka76
capisco...ma si tratta di un progetto amatoriale e non a scopo di
lucro...gli esperti costano!!!
Non posso mica assumere un tecnico informatico per un hobbie..quindi??
Quindi compra uno spazio di hosting a 9 euro che sicuramente sarà più
affidabile di quanto possa fare tu da solo.

Idem per l'applicativo
Cla
--
http://www.docebo.com [Docebo - The open source e-learning company]
http://claudioerba.blogspot.com [My Blog]

Molto sulle mie, quadrato, incazzoso, tremendo, insopportabile (Non sono
eterno, prendete appunti)
Paolo De Dionigi
2007-12-07 14:04:12 UTC
Permalink
Post by malaka76
Buongiorno a tutti,
Vorrei "immaganizzare" il portale su un server di cui io sarei
amministratore unico.
Non essendo molto pratico in ambito di sicurezza avrei bisogno di
- secondo voi è più sicuro un server windows o un server linux?
- quali altre precauzioni dovrei adottare per rendere il server
"difficilmente" attaccabile?
- dimentico qualcosa di cui dovrei assolutamente tener conto?
Con queste premesse non puoi assolutamente essere tu ad occuparti della
sicurezza del server, ma non intendo solo a livello pratico, ma anche
decisionale. Quindi affidati a qualcuno che ne risponda in toto.
Non avendo però le basi con cui giudicare se ciò che ti viene
prospettato è valido o no, non ti resta che affidarti a qualcuno di
comprovata esperienza e reputazione.
--
-------------------------------------------

Paolo De Dionigi
www.atfriends.net
Responsabile Tecnico Zen Cart Italia
Continua a leggere su narkive:
Loading...