Jump to content

Recommended Posts

Ciao, avrei una domanda sul modulo per apache mod_security, che mi sta dando non pochi problemi su un piano hosting di cui sono titolare. Sfortunatamente le risposte ottenute dall'help desk del provider che mi hosta mi sono sembrate, come dire, evasive, per cui chiedo lumi su quanto mi è stato risposto.

 

Ho registrato una eccessiva "invadenza" del modulo nel momento in cui a fronte di azioni assolutamente innocenti degli utenti del sito, iniziavano ad apparire pagine di errore 403 Forbidden, dopo l'invio di form testuali. Sulle prime avevo pensato a un errore nelle funzioni a cui faccio filtrare gli input degli utenti prima di farli accedere al database, ma ho rapidamente individuato la fonte del problema, anzi dei due problemi.

 

1) Wordlist antispam: La famigerata pagina di errore 403 Forbidden appare appena si tenta di inviare tramite form una qualsiasi parola "proibita". Peccato che il controllo scatta anche su parole di uso comune in italiano, come "casino" (inteso come confusione, non come casa da gioco) o come "poker". Risultato, se un qualunque utente invia un messaggio di testo in cui ha la sfiga di aver scritto "ho fatto casino" oppure "non bluffare come se fossi a un tavolo da poker", mod_security dà per scontato che l'utente sia uno spammer che pubblicizza casinò online e giochi d'azzardo.

 

2) Codice inviato tramite form: Mi è capitato di dover spiegare a un utente la sintassi base di una banalissima query mysql, nel momento in cui il mio messaggio ha oviamente dovuto contenere un esempio come "SELECT * FROM nome_tabella WHERE nomecampo = valore", mod_security ha dato per scontato che io fossi un hacker che tentava di forzare l'esecuzione di query dannose. E quindi mi ha fatto apparire dopo il submit la famigerata 403 Forbidden, ovviamente con perdita di tutte le spiegazioni che avevo scritto e imprecazioni a corredo che ho pronunciato quando mi è appparsa la pagina di errore

 

Ho quindi chiesto all'help desk del mio hosting se fosse possibile disabilitare alcuni controlli eccessivamente invasivi o quantomeno esaminare la wordlist delle parole proibite per eliminare parole che in lingua italiana e nell'uso comune non implicano alcun tentativo di spam.

 

L'help desk del mio hosting mi ha risposto che

 

1) Non mi può essere fornita la wordlist delle parole proibite perchè "proprietaria"

2) Che le configurazioni sono attive a livello di server e non possono essere personalizzate

3) Che la mia unica opzione è disabilitare del tutto mod_security tramite cpanel

 

Quindi, riassumendo, secondo loro o mi tengo un modulo di sicurezza che fa apparire una pagina 403 Forbidden appena un utente scrive la parola "casino", e ovviamente rinuncio a qualunque possibilità di spiegare a un mio utente come funziona una query sql, oppure disabilito completamente il modulo mod_security rinunciando a qualunque protezione da esso offerta.

 

Qualcuno mi può confermare che le cose stanno effettivamente così o, come sospetto, qualcuno sta semplicemente tergiverando perchè non ha voglia/tempo di cancellare un paio di righe da una wordlist e/o da un file di configurazione?

Share this post


Link to post
Share on other sites

Si tratta di una loro politica.

La configurazione di mod_security è scritta all'interno di file di testo, in chiaro e modificabili, regola per regola (incluse le stringhe in blacklist).

In genere però occorre l'accesso come utente privilegiato per modificarli.

Share this post


Link to post
Share on other sites

Sì, sì, che non posso accederci io da utente hostato lo sapevo, al massimo posso disattivarlo in blocco da cpanel.

Quindi mi confermi che il concetto non è "non possiamo" ma "non vogliamo". Quindi il concetto per la loro "politica" è che o rinuncio in toto alla protezione di mod_security, oppure mi tengo le pagine 403 forbidden che appaiono a pennuto di cane appena un utente usa una parola della blacklist che in italiano non ha alcuna implicazione di spam... fico.....

Share this post


Link to post
Share on other sites

E' molto meglio una regola o una stringa in meno che disattivarlo del tutto, dal punto di vista della sicurezza.

Occorre soltanto il tempo di aprire un file, cambiare una riga di testo, salvare ed un reload del webserver (circa 30 secondi in tutto).

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×