Sicurezza: SPIP e IIS

Impedire l’accesso ai dati riservati di SPIP con Microsoft IIS

Se il server del proprio sito non utilizza Apache, il server Web più diffuso, ma il software Microsoft IIS, è importante leggere questo articolo.

Sicurezza predefinita di SPIP

SPIP ha due cartelle contenenti dati "sensibili", ovvero CACHE e ecrire/data. La prima contiene tutti i file che la propria cache utilizza per velocizzare la visualizzazione delle pagine; essa è quindi mediamente sensibile. La seconda, invece, contiene i log dell’attività di SPIP (gli spip.log) e permette di creare il file dump.xml, ovvero il file di backup del database.

Ora, il file dump.xml contiene dati molto sensibili: in particolare è possibile vedere tutti gli articoli, anche quelli non nell’area pubblica, senza contare che elenca anche gli identificativi e le password di connessione [1] dei redattori e degli amministratori del sito.

La sicurezza di tutti questi file è solitamente garantita da file di configurazione di accesso chiamati .htaccess. SPIP crea automaticamente questi file per impedire l’accesso ai dati sensibili contenuti sul server: è possibile verificare che CACHE e ecrire/data contengano ognuno un file .htaccess. Sfortunatamente, questi file funzionano su piattaforma Apache (il server Web libero su cui gira la maggioranza dei siti Web in Internet) ma non su IIS (Internet Information Services, il server Web di Microsoft).

Protezione dei dati con IIS: una fase aggiuntiva

Se il proprio sito SPIP gira sotto IIS, chiunque può vedere le cartelle apparentemente protette da .htaccess: è necessario quindi una diversa protezione.

Per proteggere una cartella sul proprio sito: andare nel pannello di amministrazione del proprio server Web, cliccare con il pulsante destro del mouse sulla cartella in questione, cliccare su "Proprietà", e nella linguetta "Cartella" deselezionare la casella "Leggere".

Le panneau de propriétés du dossier /ecrire/data/
Le panneau de propriétés du dossier /ecrire/data/
Décocher la case "Lire" suffit à protéger le dossier exactement comme le fait Apache avec les fichiers .htaccess

Questa procedura deve essere eseguita per ogni cartella, CACHE e ecrire/data. Se essa va a buon fine non sarà più possibile accedere ai file contenuti in queste cartelle attraverso il server Web. Verificare la configurazione cercando di visualizzare http://www.miosito.com/ecrire/data/spip.log nel proprio browser. Si deve ottenere un messaggio del tipo "Accesso rifiutato".

Note

[1Le password sono cifrate, ma nessuna protezione è assolutamente inviolabile.

Autore Fausto Barbarito Publié le : Mis à jour : 26/10/12

Traductions : català, English, Español, français, italiano