| In questo breve e ci auguriamo utile documento, abbiamo stilato un elenco delle precauzioni e norme più comuni rispetto ad un tema delicato quale quello della sicurezza informatica. Non si tratta di un manuale, né tantomeno di un elenco esaustivo di possibili protezioni contro gli attacchi di hackers, spammers, ecc, o di base per l'ottemperanza ad un DPS (Documento programmatico di Sicurezza) ma semplicemente di un VADEMECUM che consenta anche all'amministratore di sito meno esperto di evitare le distrazioni e gli errori più comuni quando si usufruisce di un servizio di hosting. Naturalmente siamo totalmente disponibili a suggerimenti su come migliorare o espandere questo documento:
Molte di queste norme ai più sembreranno elementari e comunque già ottemperate dalle normative sulla sicurezza informatica e sulla Privacy attualmente vigenti, ma abbiamo ritenuti di fare cosa utile riassumerle qui:
1) POSTA ELETTRONICA
Con tutti i piani di hosting viene solitamente fornito l'accesso ad un mail server, che consente sia la ricezione della posta elettronica (tramite connessione POP3 oppure webmail) sia l'invio della posta tramite SMTP (o webmail)
Poichè solitamente viene creata una sola casella preesistente e poi viene lasciata all'iniziativa del Cliente la possibilità di gestirsi le proprie caselle di posta tramite il pannello di controllo fornito in dotazione con il servizio, è quantomai utile rammentare poche regole basilari sulla configurazione delle caselle di posta:
a) le password devono essere composte da almeno 6 caratteri alfanumerici, possibilmente sia lettere che numeri, e non dovrebbero contenere parole gia' presenti nell'indirizzo di posta ne' in alcun modo essere riconducibili alla persona che utilizza la casella di posta (NO nome, NO cognome) o all'attività lavorativa che svolge (es: nome ditta). Allo stesso modo non dovrebbero contenere nomi di uso comune, in special modo nomi di città o nomi propri. In generale, è opportuno che i caratteri utilizzati nelle password di posta siano RANDOM, ovvero una sequenza casuale di lettere e numeri.
b) le password non dovrebbero essere annotate su alcun documento non criptato che sia presente sul proprio hard disk.
c) Nel caso di aziende con più dipendenti e quindi più caselle di posta, ciascuna casella di posta deve disporre di una propria password NON COMUNE alle altre caselle e conosciuta esclusivamente dal titolare della casella stessa, e/o tutt'al più da una persona identificata come responsabile tecnico che le abbia in custodia. Queste norme sono previste anche dai requisiti minimi di sicurezza redatti nei Documenti Programmatici per la Sicurezza previsti dalla legge sulla Privacy.
d) Un sistema antivirus aggiornato dovrebbe essere sempre presente e funzionante sul computer locale, indipendentemente dal funzionamento sul server, onde prevenire l'installazione e la diffusione di virus informatici tramite posta elettronica.
2) CONSERVAZIONE PASSWORD
Le password di accesso di qualsiasi servizio installato sul vostro dominio dovrebbero essere conservate in un luogo sicuro, possibilmente su stampa oppure su file criptato. Conservare le password in un unico file di testo in chiaro è quantomai rischioso poichè, se trovato o "carpito" da un virus informatico, consentirebbe in un colpo solo di conoscere tutti gli accessi a tutti i servizi.
3) SCRIPTS PHP, CGI
Uno dei metodi più utilizzati dai pirati informatici per guadagnare accesso illegale ad un sistema informativo e in questo caso ad un server, è quello di sfruttare falle di sicurezza presenti nel sistema stesso. Nel caso di servers adibiti ad hosting di siti web, la via più "facile" per l'hacker è quella di studiare e quindi violare i software php, perl o asp eventualmente installati su un account e non adeguatamente protetti o testati contro un uso che non sia quello previsto.
L'argomento è troppo lungo e complesso per essere affrontato in poche righe qui, tuttavia può essere sufficiente tenere presente poche norme:
a) qualsiasi script commerciale acquistato e quindi installato su un account DEVE essere constantemente aggiornato all'ultima versione resa disponibile dagli sviluppatori. Questo serve a correggere non solo i bugs del programma in sè, ma spesso anche le falle di sicurezza individuate da tali sviluppatori.
b) La stessa regola vale anche per i software/scripts distribuiti gratuitamente.
Alcuni scripts tra i più famosisono particolarmente presi di mira:
- PhpBB, PHPNuke, PostNuke, Joomla, Mambo, ecc.
E' importante che questi script, se installati dal cliente, siano sempre aggiornati dal Cliente all'ultima versione disponibile
4) FORM MAIL: dal form sul sito alla vostra email IN SICUREZZA
Un altro capitolo a parte è dedicato all'uso degli scripts che consentono di inviare una email da una pagina web direttamente ad una casella di posta. Sono noti come Form Mail o Sendmail, dai nomi dei rispettivi software più comuni. Un capitolo a parte è stato dedicato a questo argomento delicato e da cui dipende la capacità di contrastare uno spammer che voglia sfruttare proprio il vostro sito per inviare decine di migliaia di email anonimamente!
L'articolo è presente in questa stessa Knowledgebase
5) ACCESSO FTP
Valgono le stesse regole già descritte al punto 1) per le email, riguardo alla password e alla sua conservazione.
6) MANTENIMENTO DI UNA COPIA DEL SITO SUL VOSTRO HARD DISK
Sebbene tutti i nostri servers dispongano di unità locali per il backup che viene effettuato secondo le modalità previste dal contratto, senza costi aggiuntivi, è assolutamente raccomandato che ciascuno conservi una copia in locale di tutti i files, in modo che nel caso malaugurato di compromissione o perdita di dati esista sempre una copia fisicamente collocata in un altro luogo e su un altro sistema hardware/rete.
7) NON ABBANDONATE IL VOSTRO SITO
Anche se si tratta di un servizio che utilizzate solo occasionalmente, è sempre bene che ogni tanto venga fatto un rapido controllo dei siti per controllare che i dati e i contenuti corrispondano a quelli che vi aspettereste di trovare. Non lasciate, se possibile, la posta elettronica nelle vostre caselle per troppo tempo ma provvedete a scaricarla in locale tramite il vostro programma di posta e quindi a cancellarla dal server (questa operazione può essere effettuata configurando opportunamente il proprio software di posta elettronica es: Outlook), misura che tra l'altro vi servirà a non consumare inutilmente spazio su hard disk tra quello a vostra disposizione.
Nel caso si preveda una lunga assenza e l'impossibilità di gestire il proprio sito, è opportuno incaricare qualcuno in vostra vece e/o comunicare a noi le variazioni di recapito in caso di urgenza
8) MANTENERE AGGIORNATI I PROPRI CONTATTI
Lineahosting.it utilizza il contatto email principale da voi fornito alla sottoscrizione del servizio. Tale email dovrebbe essere controllata almeno 1 volta al giorno o comunque con una certa frequenza, in modo che possiate ricevere tempestivamente eventuali nostri aggiornamenti, richieste, comunicazioni ecc.
Allo stesso modo, dovrebbero essere aggiornate nell' Area Clienti tutte le eventuali variazioni relative a recapiti telefonici, indirizzi ecc.
9) CONSULTATE QUESTO HELPDESK
Oltre alle sezioni che tutti conoscono relative all'apertura di ticket di assistenza, molti non sanno che le altre sezioni contengono molti articoli, costantemente aggiornati, circa l'utilizzo dei nostri servizi e la risposta alle problematiche più comuni. Questi articoli, sovente, possono far risparmiare molto tempo nella ricerca dell'informazione utile.
10) DUBBI? CONTATTATE IL SUPPORTO TECNICO
Se un software, uno script non vi convincono, se avete bisogno di un consiglio su un aspetto di sicurezza o sul corretto uso del servizio di hosting, chiedere è molto meglio che rischiare! Il nostro supporto tecnico tramite ticket sarà lieto di fornirvi tutte le spiegazioni oppure le indicazioni su dove e come reperire la documentazione per essere correttamente informati.
|
INFO-LINE 199.443221 (lun-ven h10-18)
