Sicurezza Oscommerce !!

Postate qui discussioni di carattere generale riguardo a problemi di installazione e configurazione di osCommerce

Moderatore: mod Generali

mustafa
membro Senior
membro Senior
Messaggi: 357
Iscritto il: 15/06/2004, 0:00
Località: Lecce

Messaggio da mustafa »

forzate l'utilizzo dei cookies e dovreste essere apposto.
Avatar utente
ioivi
membro Regular
membro Regular
Messaggi: 153
Iscritto il: 11/02/2004, 1:00
Località: Reggio Emilia
Contatta:

Messaggio da ioivi »

mustafa ha scritto:forzate l'utilizzo dei cookies e dovreste essere apposto.
Cosa intendi?
Potresti spiegarmi come posso forzare i cookies e perchè dovrei risolvere in questo modo?
Grazie
Avatar utente
queengraph
membro Baby
membro Baby
Messaggi: 62
Iscritto il: 28/04/2004, 0:00
Località: Novara
Contatta:

...

Messaggio da queengraph »

forzando i cookies avranno accesso alle pagine solo gli utenti che hanno una sessione aperta con un cookie nei files temporanei di IE (o altri browser).

il problema dei cookies è che molti antivirus e firewall rompono le scatole agli utenti bloccandoli, cosa che non avviene con le sessioni su db.

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Messaggio da marcus »

A proposito di Spiders c'è un mio topic nel forum problemi risolti:

http://www.oscommerceitalia.com/modules ... pic&t=1999

Marcus
Ultima modifica di marcus il 24/11/2004, 1:03, modificato 1 volta in totale.
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: ...

Messaggio da marcus »

queengraph ha scritto: è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.
Condivido questa filosofia.

E' meglio non forzare l'uso dei cookie per i problemi citati da queengraph.

Marcus
Ultima modifica di marcus il 24/11/2004, 1:02, modificato 1 volta in totale.
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
Avatar utente
ioivi
membro Regular
membro Regular
Messaggi: 153
Iscritto il: 11/02/2004, 1:00
Località: Reggio Emilia
Contatta:

Re: ...

Messaggio da ioivi »

queengraph ha scritto:forzando i cookies avranno accesso alle pagine solo gli utenti che hanno una sessione aperta con un cookie nei files temporanei di IE (o altri browser).

il problema dei cookies è che molti antivirus e firewall rompono le scatole agli utenti bloccandoli, cosa che non avviene con le sessioni su db.

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.
Ho provato ora a forzare i cookies
Io uso da poco Firefox con la richiesta manuale di accettare cookies.
Ho già accettato sul mio sito i cookies, ora lo giro tranquillamente anche se li ho forzati.
Vediamo se la situazione migliora.
Per ora grazie delle info
Avatar utente
queengraph
membro Baby
membro Baby
Messaggi: 62
Iscritto il: 28/04/2004, 0:00
Località: Novara
Contatta:

....

Messaggio da queengraph »

l'inconveniente NON capita se tu hai settato antivirus e firewall (e browser) correttamente.
l'inconveniente CAPITA se gli utenti non sanno neppure cosa sia un cookie (ovvero: spesso e volentieri :lol: )
Avatar utente
ioivi
membro Regular
membro Regular
Messaggi: 153
Iscritto il: 11/02/2004, 1:00
Località: Reggio Emilia
Contatta:

Re: ...

Messaggio da ioivi »

marcus ha scritto:
queengraph ha scritto: è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.
Condivido questa filosofia.

E' meglio non forzare l'uso dei cookie per i problemi citati da queengraph, e usare la funzionalità nativa di osc per pervenire gli spiders invadenti.

Marcus
Non avevo visto il tuo post nei problemi risolti .. mi dovrai dare una manina per capire bene come si setta ma .. perdona l'insistenza .. va bene essere invadenti e consumare banda, fosse solo quello il problema, io mi preoccupo della sicurezza, visto e considerato me me lo ritovo come "guest" in pagine come write_rewiews oppure checkout_process .. (vado a memoria ma comunque pagine non raggiungibili da un "guest".
Ho caricato delle immagini a dimostrazione di quanto dico, visibili in questo stesso post nella pagina precedente.
Mi dai un parere su questo aspetto? Secondo te risolvo anche questo problema con il suggerimento che già hai dato?
Avatar utente
marcus
membro Master
membro Master
Messaggi: 1619
Iscritto il: 04/12/2003, 1:00
Contatta:

Re: ...

Messaggio da marcus »

ioivi ha scritto:
Non avevo visto il tuo post nei problemi risolti .. mi dovrai dare una manina per capire bene come si setta ma .. perdona l'insistenza .. va bene essere invadenti e consumare banda, fosse solo quello il problema, io mi preoccupo della sicurezza, visto e considerato me me lo ritovo come "guest" in pagine come write_rewiews oppure checkout_process .. (vado a memoria ma comunque pagine non raggiungibili da un "guest".
Ho caricato delle immagini a dimostrazione di quanto dico, visibili in questo stesso post nella pagina precedente.
Mi dai un parere su questo aspetto? Secondo te risolvo anche questo problema con il suggerimento che già hai dato?
E' opportuna qualche parola di chiarimento in più onde sgombrare il campo da equivoci.

Intanto ti dico subito che puoi stare tranquillo per l'aspetto sicurezza :wink:

Trovare nel pannello 'Chi c'è on line' le stringhe da te riportate è perfettamente normale. Lo spider inizia a navigare il sito dalla index.php e, da questa, seguendo i vari link, naviga praticamente tutti i files sotto catalog.
Ora il fatto che tu veda una stringa del tipo /catalog/account_notifications.php etc etc, NON vuol dire assolutamente che lo spider si è loggato ed entrato nell'area privata di un utente. Ed infatti lo uname è quello di Guest. Vuol dire semplicemente che lo spider ha istanziato, o richiamato, la pagina account_notifications.php e come effetto verra rediretto sulla pagina di login , proprio come accade con un normale browser.

Per quanto riguarda il settaggio del prevent spider session l'ho spiegato nel post problemi risolti.

Spero di esserti stato di aiuto.
Ciao
Marcus
Nuovo pacchetto osCommercePRO (osCPRO) + Modulo Interfacciamento Gestionale Danea.
Visita la demo: http://oscpro.oscommercedev.com/index.php
flasher
membro Baby
membro Baby
Messaggi: 57
Iscritto il: 07/07/2004, 0:00

Messaggio da flasher »

Ciao,

non basterebbe un file chiamato robots.txt in root ?
In genere dovrebbe evitare che i robots dei vari motori di ricerca evitino di curiosare nelle cartelle predefinite nel file robots.txt

Questo è un esempio e non fà riferimento solo a OS...

User-agent: *
Disallow: /privato/
Disallow: /include/
Disallow: /amministra/
Disallow: /catalog/admin/
Disallow: /statistiche/

Nel mio caso non ho notato intrusi... Fatemi sapere se anche a voi funziona :D
Avatar utente
ioivi
membro Regular
membro Regular
Messaggi: 153
Iscritto il: 11/02/2004, 1:00
Località: Reggio Emilia
Contatta:

Re: ...

Messaggio da ioivi »

marcus ha scritto:

E' opportuna qualche parola di chiarimento in più onde sgombrare il campo da equivoci.

Intanto ti dico subito che puoi stare tranquillo per l'aspetto sicurezza :wink:

....

Spero di esserti stato di aiuto.
Ciao
Marcus
Grazie Marcus per le info, sono più tranquillo :wink:
Rispondi