Sicurezza Oscommerce !!

[mustafa]

forzate l'utilizzo dei cookies e dovreste essere apposto.

[ioivi]

forzate l'utilizzo dei cookies e dovreste essere apposto.

Cosa intendi?
Potresti spiegarmi come posso forzare i cookies e perchè dovrei risolvere in questo modo?
Grazie

[queengraph]

forzando i cookies avranno accesso alle pagine solo gli utenti che hanno una sessione aperta con un cookie nei files temporanei di IE (o altri browser).

il problema dei cookies è che molti antivirus e firewall rompono le scatole agli utenti bloccandoli, cosa che non avviene con le sessioni su db.

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.

[marcus]

A proposito di Spiders c'è un mio topic nel forum problemi risolti:

http://www.oscommerceitalia.com/modules ... pic&t=1999

Marcus

[marcus]

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.

Condivido questa filosofia.

E' meglio non forzare l'uso dei cookie per i problemi citati da queengraph.

Marcus

[ioivi]

forzando i cookies avranno accesso alle pagine solo gli utenti che hanno una sessione aperta con un cookie nei files temporanei di IE (o altri browser).

il problema dei cookies è che molti antivirus e firewall rompono le scatole agli utenti bloccandoli, cosa che non avviene con le sessioni su db.

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.

Ho provato ora a forzare i cookies
Io uso da poco Firefox con la richiesta manuale di accettare cookies.
Ho già accettato sul mio sito i cookies, ora lo giro tranquillamente anche se li ho forzati.
Vediamo se la situazione migliora.
Per ora grazie delle info

[queengraph]

l'inconveniente NON capita se tu hai settato antivirus e firewall (e browser) correttamente.
l'inconveniente CAPITA se gli utenti non sanno neppure cosa sia un cookie (ovvero: spesso e volentieri )

[ioivi]

è una scelta da ponderare. io preferisco che uno spider mi viaggi per il server piuttosto che precludere un acquirente ad un mio cliente (non ho uno shop mio, li realizzo conto terzi), se diventa invasivo lo tronco e tanti saluti.

Condivido questa filosofia.

E' meglio non forzare l'uso dei cookie per i problemi citati da queengraph, e usare la funzionalità nativa di osc per pervenire gli spiders invadenti.

Marcus

Non avevo visto il tuo post nei problemi risolti .. mi dovrai dare una manina per capire bene come si setta ma .. perdona l'insistenza .. va bene essere invadenti e consumare banda, fosse solo quello il problema, io mi preoccupo della sicurezza, visto e considerato me me lo ritovo come "guest" in pagine come write_rewiews oppure checkout_process .. (vado a memoria ma comunque pagine non raggiungibili da un "guest".
Ho caricato delle immagini a dimostrazione di quanto dico, visibili in questo stesso post nella pagina precedente.
Mi dai un parere su questo aspetto? Secondo te risolvo anche questo problema con il suggerimento che già hai dato?

[marcus]

Non avevo visto il tuo post nei problemi risolti .. mi dovrai dare una manina per capire bene come si setta ma .. perdona l'insistenza .. va bene essere invadenti e consumare banda, fosse solo quello il problema, io mi preoccupo della sicurezza, visto e considerato me me lo ritovo come "guest" in pagine come write_rewiews oppure checkout_process .. (vado a memoria ma comunque pagine non raggiungibili da un "guest".
Ho caricato delle immagini a dimostrazione di quanto dico, visibili in questo stesso post nella pagina precedente.
Mi dai un parere su questo aspetto? Secondo te risolvo anche questo problema con il suggerimento che già hai dato?

E' opportuna qualche parola di chiarimento in più onde sgombrare il campo da equivoci.

Intanto ti dico subito che puoi stare tranquillo per l'aspetto sicurezza

Trovare nel pannello 'Chi c'è on line' le stringhe da te riportate è perfettamente normale. Lo spider inizia a navigare il sito dalla index.php e, da questa, seguendo i vari link, naviga praticamente tutti i files sotto catalog.
Ora il fatto che tu veda una stringa del tipo /catalog/account_notifications.php etc etc, NON vuol dire assolutamente che lo spider si è loggato ed entrato nell'area privata di un utente. Ed infatti lo uname è quello di Guest. Vuol dire semplicemente che lo spider ha istanziato, o richiamato, la pagina account_notifications.php e come effetto verra rediretto sulla pagina di login , proprio come accade con un normale browser.

Per quanto riguarda il settaggio del prevent spider session l'ho spiegato nel post problemi risolti.

Spero di esserti stato di aiuto.
Ciao
Marcus

[flasher]

Ciao,

non basterebbe un file chiamato robots.txt in root ?
In genere dovrebbe evitare che i robots dei vari motori di ricerca evitino di curiosare nelle cartelle predefinite nel file robots.txt

Questo è un esempio e non fà riferimento solo a OS...

User-agent: *
Disallow: /privato/
Disallow: /include/
Disallow: /amministra/
Disallow: /catalog/admin/
Disallow: /statistiche/

Nel mio caso non ho notato intrusi... Fatemi sapere se anche a voi funziona

[ioivi]

E' opportuna qualche parola di chiarimento in più onde sgombrare il campo da equivoci.

Intanto ti dico subito che puoi stare tranquillo per l'aspetto sicurezza

....

Spero di esserti stato di aiuto.
Ciao
Marcus

Grazie Marcus per le info, sono più tranquillo