info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Rendere sicuro il back panel di un sito internet
11 views
Skip to first unread message
^Bart
Nov 20, 2021, 4:42:32 AM11/20/21
to
Salve,
in genere quando si realizzano siti internet viene previsto un front
panel ovviamente per l'utente finale ed un back panel per amministrarlo
ed il tutto gira sempre tramite browser.
Morale della favola se vi fosse un problema di sicurezza ovvero venisse
intercettata\sniffata\decrittografata la password dell'utente admin il
sito verrebbe compromesso.
Dovendo far realizzare un sito da terzi (io non ho ora le competenze ed
il tempo per realizzarlo) pensavo per il back panel di far creare un
software tipo in Python che possa quindi girare su Mac, Windows e Linux
il quale tramite VPN si collegasse al server dove risiede il database
per gestire i dati del sito.
Consigli in merito?
Saluti.
^Bart
in genere quando si realizzano siti internet viene previsto un front
panel ovviamente per l'utente finale ed un back panel per amministrarlo
ed il tutto gira sempre tramite browser.
Morale della favola se vi fosse un problema di sicurezza ovvero venisse
intercettata\sniffata\decrittografata la password dell'utente admin il
sito verrebbe compromesso.
Dovendo far realizzare un sito da terzi (io non ho ora le competenze ed
il tempo per realizzarlo) pensavo per il back panel di far creare un
software tipo in Python che possa quindi girare su Mac, Windows e Linux
il quale tramite VPN si collegasse al server dove risiede il database
per gestire i dati del sito.
Consigli in merito?
Saluti.
^Bart
rootkit
Nov 20, 2021, 8:03:32 AM11/20/21
to
conosciuto o qualcosa di fatto in casa?
^Bart
Nov 21, 2021, 5:04:39 AM11/21/21
to
> beh intanto di cosa stiamo parlando? wordpress, qualche altro cms
> conosciuto o qualcosa di fatto in casa?
Ti ringrazio intanto per la risposta, sarà qualcosa fatto in casa o
> conosciuto o qualcosa di fatto in casa?
meglio fatto ad hoc, un portale per fornire servizi ad utenti legati
alla ristorazione quindi vi sarà un accesso da parte degli utenti finali
ed un accesso da parte dei proprietari dei locali.
Come già accennato se l'accesso admin completo fosse "solo" lato web
quindi ipoteticamente utilizzabile da tutti a mio avviso sarebbe già
questa una falla in termini di sicurezza e quindi credo che convenga
instaurare un canale sicuro tramite VPN verso il server ed a questo
punto o si crea un software tipo con Python che possa girare su più s.o.
oppure una sorta di sincronizzazione tra server locale e server web.
Saluti.
^Bart
rootkit
Nov 21, 2021, 5:59:00 AM11/21/21
to
sviluppare la parte backoffice come applicativo a parte, che poi sarebbe
pubblicato solo sulla rete interna e non su internet, ma potrebbe darti
solo un falso senso di sicurezza.
quando parli di "server locale" cosa intendi? l'applicativo ha un
database dedicato con i soli dati che servono a lui, oppure accede
direttamente ad una base dati aziendale?
^Bart
Nov 21, 2021, 7:09:14 AM11/21/21
to
> andrebbe studiata tutta la soluzione architetturale. puoi chiedere di
> sviluppare la parte backoffice come applicativo a parte, che poi sarebbe
> pubblicato solo sulla rete interna e non su internet, ma potrebbe darti
> solo un falso senso di sicurezza.
Intendiamoci... non sarà certo un sito ambito dagli hacker di tutto il
> sviluppare la parte backoffice come applicativo a parte, che poi sarebbe
> pubblicato solo sulla rete interna e non su internet, ma potrebbe darti
> solo un falso senso di sicurezza.
mondo però comunque va garantita la sicurezza soprattutto per l'accesso
admin e lasciarlo, come già accennato, tutto lato web non mi da sicurezza!
Effettivamente pur usando un appplicativo a parte dovrebbe comunque
puntare verso un server remoto ma a questo ci arriverebbe non dal web ma
tramite VPN quindi questo dovrebbe darmi maggiore sicurezza...
> quando parli di "server locale" cosa intendi? l'applicativo ha un
> database dedicato con i soli dati che servono a lui, oppure accede
> direttamente ad una base dati aziendale?
di eccessivo ma la sicurezza a cui nessuno pensa nemmeno chi di lavoro
ti propone software per me invece è importante!
Non vi è una base dati aziendale, gli unici servizi sono quelli proposti
lato web, qualcosa di simile a Couchsurfing.org quindi non c'è necessità
che giri qualcosa localmente!
Io conosco (non sono un esperto!) php+mariadb e Python quindi la scelta
dei linguaggi sarà questa in modo da poter controllare in prima persona
il codice che dovessero propormi il tutto su server Debian.
Saluti! :)
^Bart
rootkit
Nov 21, 2021, 11:21:06 AM11/21/21
to
On Sun, 21 Nov 2021 13:09:12 +0100, ^Bart wrote:
>> quando parli di "server locale" cosa intendi? l'applicativo ha un
>> database dedicato con i soli dati che servono a lui, oppure accede
>> direttamente ad una base dati aziendale?
>
> Ancora tutto dev'essere progettato, non vorrei mettere in campo qualcosa
> di eccessivo ma la sicurezza a cui nessuno pensa nemmeno chi di lavoro
> ti propone software per me invece è importante!
>
> Non vi è una base dati aziendale, gli unici servizi sono quelli proposti
> lato web, qualcosa di simile a Couchsurfing.org quindi non c'è necessità
> che giri qualcosa localmente!
>
> Io conosco (non sono un esperto!) php+mariadb e Python quindi la scelta
> dei linguaggi sarà questa in modo da poter controllare in prima persona
> il codice che dovessero propormi il tutto su server Debian.
la soluzione non può essere questa. e non parlo dei linguaggi o della
>> quando parli di "server locale" cosa intendi? l'applicativo ha un
>> database dedicato con i soli dati che servono a lui, oppure accede
>> direttamente ad una base dati aziendale?
>
> Ancora tutto dev'essere progettato, non vorrei mettere in campo qualcosa
> di eccessivo ma la sicurezza a cui nessuno pensa nemmeno chi di lavoro
> ti propone software per me invece è importante!
>
> Non vi è una base dati aziendale, gli unici servizi sono quelli proposti
> lato web, qualcosa di simile a Couchsurfing.org quindi non c'è necessità
> che giri qualcosa localmente!
>
> Io conosco (non sono un esperto!) php+mariadb e Python quindi la scelta
> dei linguaggi sarà questa in modo da poter controllare in prima persona
> il codice che dovessero propormi il tutto su server Debian.
distribuzione da mettere sul server, parlo di voler controllare in prima
persona non avendo esperienza su questo tipo di architetture.
dovresti affidarti a degli sviluppatori/architect che sappiano proporti
delle soluzioni convincenti senza essere vincolati a linguaggi e
architetture solo perché li conosci te.
per dire, per realizzare un portale del genere si può partire benissimo
da basi consolidate, come ad esempio il citato wordpress oppure liferay:
per il problema delle autorizzazioni e identity management si può
integrare un servizio openid come keycloak che fa quello di mestiere e
che ti da gratis anche una autenticazione a due fattori: per il timore
che sniffino la password di admin è d'obbligo https.
per la sicurezza in una applicazione web non è questione di essere o meno
eccessivi, ci sono delle linee guida da seguire e chi fa questo tipo di
software le deve conoscere. se "non ci pensa nemmeno" è decisamente un
problema e non è il caso di commissionargli il software.
^Bart
Nov 22, 2021, 6:49:04 AM11/22/21
to
> la soluzione non può essere questa. e non parlo dei linguaggi o della
> distribuzione da mettere sul server, parlo di voler controllare in prima
> persona non avendo esperienza su questo tipo di architetture.
>
> dovresti affidarti a degli sviluppatori/architect che sappiano proporti
> delle soluzioni convincenti senza essere vincolati a linguaggi e
> architetture solo perché li conosci te.
Giusta osservazione!
> distribuzione da mettere sul server, parlo di voler controllare in prima
> persona non avendo esperienza su questo tipo di architetture.
>
> dovresti affidarti a degli sviluppatori/architect che sappiano proporti
> delle soluzioni convincenti senza essere vincolati a linguaggi e
> architetture solo perché li conosci te.
> per dire, per realizzare un portale del genere si può partire benissimo
> da basi consolidate, come ad esempio il citato wordpress oppure liferay:
il progetto è "abbastanza" semplice e partire con un db o una struttura
come quella proposta da wordpress mi sembra mettere in campo troppa roba
ovvero sarebbe più il tempo perso per tagliare ciò che non serve e
modificare quel poco che serve! :)
> per il problema delle autorizzazioni e identity management si può
> integrare un servizio openid come keycloak che fa quello di mestiere e
> che ti da gratis anche una autenticazione a due fattori: per il timore
> che sniffino la password di admin è d'obbligo https.
l'avevo dato per scontato ma hai fatto bene a precisarlo!
> per la sicurezza in una applicazione web non è questione di essere o meno
> eccessivi, ci sono delle linee guida da seguire e chi fa questo tipo di
> software le deve conoscere. se "non ci pensa nemmeno" è decisamente un
> problema e non è il caso di commissionargli il software.
comunque corretto che un committente si informi prima per evitare che
gli vengano proposte soluzioni eccessive o "eccessivamente semplici"!
Saluti.
^Bart
rootkit
Nov 22, 2021, 5:29:00 PM11/22/21
to
On Mon, 22 Nov 2021 12:49:02 +0100, ^Bart wrote:
> Ok ma mi preoccupa il discorso personalizzazione, alla fin fine per ora
> il progetto è "abbastanza" semplice e partire con un db o una struttura
> come quella proposta da wordpress mi sembra mettere in campo troppa roba
> ovvero sarebbe più il tempo perso per tagliare ciò che non serve e
> modificare quel poco che serve! :)
premetto che wordpress era solo un esempio senza conoscere il problema,
> Ok ma mi preoccupa il discorso personalizzazione, alla fin fine per ora
> il progetto è "abbastanza" semplice e partire con un db o una struttura
> come quella proposta da wordpress mi sembra mettere in campo troppa roba
> ovvero sarebbe più il tempo perso per tagliare ciò che non serve e
> modificare quel poco che serve! :)
inoltre la domanda riguardava uno specifico aspetto e non voglio dare
consigli non richiesti; però lasciami dire che fare qualcosa di simile al
link che avevi postato di semplice c'è poco. cioè non sottovaluterei un
progetto che si prefigge di erogare servizi perché il modello dati appare
(a torto o a ragione) banale. la base dati è l'ultimo dei problemi.
Leonardo Serni
Nov 24, 2021, 1:41:44 PM11/24/21
to
On Sat, 20 Nov 2021 10:42:30 +0100, ^Bart <gabriel...@hotmail.com> wrote:
>Dovendo far realizzare un sito da terzi (io non ho ora le competenze ed
>il tempo per realizzarlo) pensavo per il back panel di far creare un
>software tipo in Python che possa quindi girare su Mac, Windows e Linux
>il quale tramite VPN si collegasse al server dove risiede il database
>per gestire i dati del sito.
Mi sembra più semplice usare HTTPS, e richiedere un client certificate. A quel
>Dovendo far realizzare un sito da terzi (io non ho ora le competenze ed
>il tempo per realizzarlo) pensavo per il back panel di far creare un
>software tipo in Python che possa quindi girare su Mac, Windows e Linux
>il quale tramite VPN si collegasse al server dove risiede il database
>per gestire i dati del sito.
punto ti puoi collegare solo se sul PC è installato il certificato.
Leonardo
--
"You all presumably know why" :-) :-(
0 new messages