IL ROMANZO
Nella bacheca, all’entrata dell’Accademia, era affisso un avviso che riportava in rosso e maiuscoletto la dicitura:
“ATTENZIONE – PER GLI ALUNNI DEL PRIMO ANNO”
E poi, più in sotto, in neretto:
“Per gli attacchi comuni, come attacchi di inclusione di file comuni, cross-site_scripting e SQL_injection richiedere le Subroutine al Dottor Site”.
Gli avvisi di quel genere, erano molto apprezzati dagli alunni che in quel modo potevano accedere velocemente a mini lezioni sintetiche che il Dottore Site intitolava “Subroutine” e in cui all’interno della bacheca, il Dottor Site e Mister Web in lui, utilizzavano per dare soluzioni potenti e sintetizzate a chi era alle prime armi nella sicurezza informatica.
Il dottore, credeva importante che questa conoscenza fosse messa a disposizione di tutti, mentre, Mister Web in lui riteneva che le preziose subroutine dovevano essere date, solo a chi aveva già percorso il sentiero della programmazione e quindi almeno era in già abituato a praticare la buona Regola dello Storico.
Per questa ragione, ci scuserete se nelle diverse convinzioni tra le due personalità, alcune volte ometteremo dei passaggi che per noi sembrano essere semplici o, aggiungeremo al contrario, delle spiegazioni che per voi sono già scontate.
Quindi, introduciamo ora la Subroutine del Dottor Site e Mister Web per quanto riguarda la protezione o il condizionamento tramite file .htaccess e mod-rewrite, di un attacco di inclusione di file locali, cross-site scripting o SQL Injection.
Tutte queste azioni di malware sono portate a segno mediante comandi ostili posti in atto attraverso una richiesta HTTP.
Le soubroutine consigliate sono potenti e in grado di discriminare l’attacco in anticipo, evitandolo o ammaestrandolo prima, dopo e durante la sua verifica.
QUESTA E’ LA VERA SICUREZZA INFORMATICA! Sottomettere l’avversario prima che diventi tale.
Ricordiamoci… Che il sistema binario è il mezzo più potente dopo il controllo elettronico dell’elettricità che ci permette di definire con precisione la tipologia dell’inviolabilità del sistema informatico.
Quindi, pur restando un potente deterrente, il file .htaccess non pretende di risolvere tutti i problemi della sicurezza, ma resta sicuramente uno dei files più versatili, a nostra disposizione, per discriminare fastidiosi attacchi di hacker e cracker.
LA SOLUZIONE
Su server Apache il file .htaccess, se configurato bene e con mod_rewrite è una difesa estremamente utile. L’importante è fare un backup della configurazione del sito web prima di iniziare le operazioni.
Un errore di sintassi e… 6 out! Con un bel “Internal Server Error 500”!
Verifica le funzionalità, in caso… Rimuovi o commenta.
Se usi il Note Pad per l’editing, non va molto bene, passa al word_wrap se quando salvi non funzionerà.
Cos’è il file .htaccess
E’ un file di testo per configurazione distribuita ed è un elenco di direttive applicate a singola directory base.
Queste, vengono lette ed applicate immediatamente ad ogni chiamata HTTP su server web.
Se il vostro sito è ospitato su un server Apache, il servizio di hosting dovrebbe consentirne l’uso.
Se il vostro host non ne consente l’uso, vi consiglio di passare a uno che lo fa.
Tipo?… Neanche a dirlo al nostro!
Richiedilo adesso! contattaci.
Cosa può fare il file .htaccess
Autorizzare con (username / password) per controllo directory
Discriminare gli utenti secondo IP o dominio
Messaggi personalizzati su pagine di errore
Discriminare le directory tramite URL Rewriting
Ottimizzazione SEO tramite reindirizzamento del contenuto, protezione contro hot linking o altro malware, etc….
Insomma… L’uvo di Colombo!
E ‘abilitato il file .htaccess?
Se non si dispone di shell (o altro) per l’accesso al file di configurazione di Apache (httpd.conf) e se l’host supporta php, basta incollare il testo qui scritto, in un editor di testo e salvare il file come info.php e poi aggiungerlo nel percorso html pubblico.
<?php phpinfo(); ?>
Accedere da browser al file info.php. Scorrere fino alla sezione Apache e verificare moduli caricati.
Una volta che hai ottenuto le informazioni necessarie, eliminare info.php dal server per sicurezza.
Un altro modo per verificare se mod_rewrite è abilitato consiste nella creazione di un unico redirect per testarlo.
Aggiungi nella parte superiore del file .htaccess e ri-carica il server.
RewriteEngine on RewriteRule testpage\.html http://www.google.com [R]
Una volta aggiornato, scrivi nel browser:
http://www.ilnomedeltuositoweb.it/testpage.html
Questo dovrebbe reindirizzare automaticamente a Google.
Se funziona, mod_rewrite sul server c’è e sei a posto, se no… La svolti così.
Come abilitare il file .htaccess?
Vai a file httpd.conf e con un editor di testo (senza word-wrap abilitato), Cerca la riga…
AllowOverride None
E cambia in …
AllowOverride All
Riavvia Apache. Ora il file .htaccess dovrebbe funzionare.
Se non hai accesso ai file di configurazione, chiedi al Provider se l’ .htaccess funziona e come riavviare il sito se appare il 500 (Internal Server Error).
Se fanno ostruzione poi ti spieghiamo cosa fare.
Mentre se non hai l’accesso FTP, cPanel o Plesk per il tuo sito, NON caricare o creare il file .htaccess prima di esserti accertato delle modalità di supporto e su come poter fare a riconfigurare il sito, lato browser, una volta che si verifica l’error 500.
Ancora problemi?
Se ancora non hai accesso ai file .htaccess di configurazione del server allora probabilmente sei su un cazzo di hosting condiviso di merda, che cosa aspetti a cambiarlo? Vieni da noi!