osCommerceITalia

date un'occhiata qui

Da un controllo piuttosto sommario mi risulta che non siano stati inseriti i doverosi controlli per la validazione dei dati di input nel form registrazione utenti.

Perchè?
Ho visto che i campi sono protetti all'interno dei tep files che "preparano" i dati da girare al db, però se provo a registrarmi digitando caratteri potenzialmente pericolosi, come $, /, <, >, % la registrazione avviene con successo...

Certo non basta un js nella pagina di registrazione, se un marmocchio sa giocare con l'url di un sito sviluppato su osC sono volatili per diabetici...

Aspetto conferme, esperienze e problemi riscontrati, intanto mi documento ulteriormente... forse sarò paranoico, ma mi sembra una questione fondamentale da affrontare

pare non interessi a nessuno

vabbè, incrociamo le dita, spero che nessuno dei vostri db sia spazzato via da un momento all'altro (confermo cmq quanto sopra)

Io non sono esperto di PHP ma certamente la sicurezza del mio sito m'interessa eccome!!

Se hai novità in merito ti prego di farcele sapere.

Io suggerivo addirittura di aprire una sezione nel forum dedicata esclusivamente alla discussione sulla sicurezza di OSC.


Che ne pensi?

il discorso "sicurezza" è stato considerato nella MS3. Quindi, a patto di attendere qualche mese, le sql injection non saranno più possibili su quei websites che utilizzeranno stripslashes e rimozione di caratteri potenzialmente pericolosi (+ accorgimenti vari nelle personalizzazioni apportate), quindi basta scrivere php well formed e prendere le dovute precauzioni che un coder dovrebbe conoscere.
Alla versione attuale (ci tengo a precisare: la versione standard) restano dei seri problemi, certamente la sicurezza non è preclusa nel 90% dei casi, ma un utente "smaliziato" con competenze di php potrebbe rompere le scatole piuttosto facilmente. E' anche vero che, mediante i files di log, è possibile risalire all'autore del misfatto, quindi...
Le password sono comunque criptate in MD5...

neeo ha scritto:date un'occhiata qui

A me il link sopra non funziona ...

L'argomento interessa molto anche a me.
In passato postai in questo post alcune considerazioni e perplessità circa l'intrusione su pagine accessibili solo da utenti loggati.
Il problema per la cronaca non è cessato ... mi ritrovo l'ip di Microsoft come "guest" in pagine riservate a utenti registrati.
Torno sull'argomento .. mi piacerebbe che anche Microsoft si muovesse solo dove gli è consentito

il link sopra non funziona perchè oscommerce.com ha cambiato, nel frattempo, URL e applicativo per gestire le discussioni (sono passati da phpBB a invision powerboard).
Sull'ip di microsoft ho qualche perplessità sinceramente...

queengraph ha scritto: Sull'ip di microsoft ho qualche perplessità sinceramente...

A chi lo dici ...
1) strano che arrivi nel mio sito
2) perchè loro e solo loro possono permettersi di arrivare in pagine irraggiungibili da un Guest!