Sicurezza

Decaptcha è il nome di un’applicazione sviluppata dai ricercatori della Stanford University il cui scopo è quello di decifrare le stringhe proposte attraverso CAPTCHA (completely automated public turing test to tell computers and humans apart), il noto sistema per la protezione dei moduli form che mira a proporre agli utenti una sequenza alfanumerica difficilmente leggibile dai Bot. Continua a leggere →

Lo scamming è un metodo utilizzato spesso da spammers e crackers per mettere a disposizione degli utenti (si fa per dire) delle pagine Web “taroccate”; quando vedete su Internet degli screenshot relativi a pagine Web che mostrano straordinari guadagni di AdSense, diffidate sempre, non di Google, ma di chi vi mostra questi contenuti. Volete un esempio? Allora non cambiate pagina e nella barra delle URL del browser digitate la seguente stringa:

Continua a leggere →

CAPTCHA è universalmente riconosciuto come uno dei metodi più sicuri per la protezione dei form dall’azione degli spammers e dei BotNet, nello stesso tempo, si tratta anche di uno dei sistemi di protezione meno graditi dagli utilizzatori:, chi non si annoierebbe a dover copiare un’incomprensibile immagine che rappresenta un sequenza di caratteri? Chi non si è mai arrabbiato dovendo ripetere questa fastidiosa procedura? NuCaptcha può però essere un’alternativa gradevole al solito CAPTCHA. Continua a leggere →

Ho trovato in Rete un articolo, non recentissimo ma ancora molto interessante, che presenta una semplice tabella in cui sono contenute 500 parole (o se preferite, “keywords”) da non utilizzare per nessun motivo per proteggere i propri account; si tratta in buona parte di termini di utilizzo abbastanza comune (soprattutto per quanto riguarda gli anglossassoni), per il resto si trovano stringhe numeriche, alfanumeriche, nomi propri e anche parole assolutamente prive di senso. Continua a leggere →

Chi utilizza IPtables per il firewalling, sa che per bloccare l’accesso ad un singolo IP sarà possibile utilizzare un’istruzione sul modello della seguente:

iptables -I INPUT -s 192.168.0.76 -j DROP

Esiste però un modo molto semplice per utilizzare questo comando anche su una lista di indirizzi IP; per far questo dovrete creare un nuovo file (il nome non è vincolante, quindi sceglietelo pure a vostra discrezione) all’interno del quale inserire le seguenti righe d’istruzioni: Continua a leggere →

La directory “wp-admin” di WordPress è una delle parti principali del noto Blog engine Open Source utilizzato in milioni di siti Web; se è possibile a questa cartella non deve poter accedere nessun altro oltre voi, neanche per errore; a questo scopo però non basta un semplice robot.txt che ne neghi la visibilità ai motori di ricerca, sarà invece necessario una breve ma preziosa istruzione da inviare al Web server. Continua a leggere →

In genere tutte le versioni di un CMS di grandi dimensioni, come per esempio WordPress, sono interessate da bugs che vengono man mano scoperti e risolti dalla comunità di supporto; non sempre però le vulnerabilità vengono rilevate in breve tempo, inoltre, per la loro eliminazione spesso è necessario del tempo durante il quale le applicazioni rimangono esposte alle minacce provenienti dall’esterno.

Una delle procedure più semplici per rendere più difficile la vita dei crackers è quella di non mostrare il numero della versione di WordPress che si sta utilzzando per il proprio sito Web; questa proedura consiste nella cancellazione di una singola informazione: Continua a leggere →

Uno dei migliori sistemi per rendere sicura la propria installazione del Blog engine WordPress è quello che prevede di proteggere il file di configurazione dell’applicazione; nel file “wp-config.php” sono presenti infatti numerose informazioni inportanti come per esempio:

• i dati per l’autenticazione al database;
• le informazioni relative all’Auth Key;
• i prefissi delle tabelle;
• i percorsi ad alcuni file.

Continua a leggere →

Joomla è uno dei CMS più diffusi in Rete. Nonostante sia un prodotto ben fatto e olto diffuso, il noto CMS open-source non può certamente dirsi immune da attacchi hacker ed altri rischi per la sicurezza.
Garantire l’invulnerabilità è, ovviamente, un’utopia… lavorare per migliorare gli standard di sicurezza, viceversa, è un dovere per ogni webmaster che tenga alla salute del proprio sito. Continua a leggere →

Nikto2 è un Web server scanner rilasciato sotto licenza Open Source che permette di effettuare dei test di sicurezza alla ricerca di eventuali minacce per i siti Web e le risorse gestite.

L’applicazione è in grado di scovare oltre 6 mila tra file ed eseguibili CGI potenzialmente pericolosi, di rilevare se la versione di un Web server non è aggiornata e di notificare all’utilizzatore oltre 260 diverse problematiche per la sicurezza che generalmente possono interessare gli Host per pagine Internet. Continua a leggere →