Hardware Upgrade Forum - View Single Post - 3 milioni di server a rischio ransomware per via di software non aggiornato

Tasslehoff · 18-04-2016, 16:51

Ma questa non è una vulnerabilità del prodotto, è una vulnerabilità nella testa della gente che usa il prodotto...

Se qualcuno espone a web un intero application server senza filtri (o con filtri inutili e insufficienti, es un reverse proxy totale senza alcun filtro) e senza preoccuparsi di cosa gira su quel servizio è un incosciente o un ignorante, e non serve essere un esperto di sicurezza per arrivarci, basta il comune buon senso.

Esistono modi molto semplici e assolutamente economici (non dico gratuiti perchè anche i 5 minuti che servono per implementarli costano, seppur un'inezia...) per esporre solo il context di una applicazione deployata su un application server o un servlet container j2ee, basta una banale istanza apache con mod_proxy e un semplice proxypass.
Poi se uno vuol mascherare anche il prodotto nell'header http o implementare chissà quale altra misura di sicurezza ben venga, ma esporre a web il context di un servizio è il minimo sindacale, per il resto console (web o jmx) sono strumenti utilissimi, anzi indispensabili per il monitoraggio e il problem solving, quindi eliminarli mi pare una soluzione inutile e controproducente a prescindere...

18-04-2016, 16:51	#3
Tasslehoff Senior Member Iscritto dal: Nov 2001 Città: Kendermore Messaggi: 6651	Ma questa non è una vulnerabilità del prodotto, è una vulnerabilità nella testa della gente che usa il prodotto... Se qualcuno espone a web un intero application server senza filtri (o con filtri inutili e insufficienti, es un reverse proxy totale senza alcun filtro) e senza preoccuparsi di cosa gira su quel servizio è un incosciente o un ignorante, e non serve essere un esperto di sicurezza per arrivarci, basta il comune buon senso. Esistono modi molto semplici e assolutamente economici (non dico gratuiti perchè anche i 5 minuti che servono per implementarli costano, seppur un'inezia...) per esporre solo il context di una applicazione deployata su un application server o un servlet container j2ee, basta una banale istanza apache con mod_proxy e un semplice proxypass. Poi se uno vuol mascherare anche il prodotto nell'header http o implementare chissà quale altra misura di sicurezza ben venga, ma esporre a web il context di un servizio è il minimo sindacale, per il resto console (web o jmx) sono strumenti utilissimi, anzi indispensabili per il monitoraggio e il problem solving, quindi eliminarli mi pare una soluzione inutile e controproducente a prescindere... __________________ https://tasslehoff.burrfoot.it \| Cloud? Enough is enough! \| SPID… grazie ma no grazie "Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say."