11.dicembre.2009 h. 9:00 - 18:00
Dipartimento di Tecnologie dell'Informazione (DTI) dell'Università Statale di Milano a Crema
Talk proposto da ingo86 il 20 novembre, 2009 - 01:46
Drupal 6.0 - 6.13, la sicurezza che non c'era
Nessun sistema web è sicuro, Drupal compreso. L'essere al di sopra di uno stack software rende la sicurezza ancora più teorica ed approssimativa.
Per questo motivo, non limitarsi ad aggiornare core e moduli ma analizzare sempre le vulnerabilità riscontrate è importante per non commettere l'errore già commesso da altri.
Ricordando che il principio della perversità della programmazione dice:
"C'è sempre un altro bug", un walkthrough attraverso le release di Drupal 6 per analizzare tutte le vulnerabilità che sono state riscontrate e corrette.
| Allegato | Dimensione |
|---|---|
| 844.84 KB |
- Login o registrati per inviare commenti
Chi ha votato questo talk?
Su DrupalItalia.org c'è stato un discorso su i password e MD5:
http://www.drupalitalia.org/node/8431
Sono troppo paranoico o quel (mio) discorso è valido?
Io mi preoccuperei di più del fatto che la password è inviata in chiaro e solo salvata in md5.
I certificati SSL servono anche a questo, HTTPS e via. Altrimenti tutti i form web inviano in chiaro eh, quello è normale.
Ma nella sicurezza delle applicazioni web i veri problemi di solito sono molto molto più stupidi, basta vedere ad oggi quanti siti vengono ancora bucati con sql injection!
Saluti
BES
Dunque,
ho letto tutta la discussione su drupalitalia. Drupal come correttamente osservato salva la password in MD5 puro, non salted hash.
Come sapete le point release di Drupal non contengono modifiche al sistema, ma solo la correzione di falle di sicurezza. Il security team ha ritenuto che questa non fosse una falla di sicurezza, (continuo, nonostante abbia parlato con un membro del security team, ad essere piuttosto scettico) con la motivazione che, se l'attacker vede gli hash degli utenti, il problema sta nel fatto che li veda, di conseguenza non dovresti perdere del tempo usando salt sulle password perchè il problema sta da un'altra parte.
Ciò è palesemente vero, ma si scontra con security by design, il sistema deve essere sicuro anche quando l'attaccante possiede tutti i dati che esso utilizza.
Tuttavia la decisione è stata questa, ed il ciclo di sviluppo di Drupal non ha permesso i cambiamenti che invece saranno riportati in Drupal 7.
C'è da dire però che, nonostante l'uso di md5 come sistema di default, che è una pessima scelta per un sistema di salvataggio password (*), Drupal stesso è molto modulare, se hai bisogno di maggiore sicurezza è bene che tu ricorra ad uno dei molti moduli che ti permettono di risolvere questo problema.
(*) Perchè MD5 è una pessima scelta? Perchè è maledettamente veloce.
Approfondimenti quì.