phpBB Italia

Premetto che ho cercato tramite la funzione cerca e non ho trovato nulla a riguardo, dunque presumo che io sia uno dei pochi ad avere questo problema

Dunque, la faccio breve. Capita che alcune volte, mentre il reply in un topic viene processato, appaia un errore 403 da parte di LiteSpeed (il web server che il nostro hosting ci mette a disposizione). Se torno indietro e posto contenuto completamente diverso, non lo fa. Lo stesso se esco dalla risposta, dal topic e rientrando ripostando lo stesso contenuto. Pensando fossero i bbcode, li ho tolti dal messaggio e anche li, stesso problema. Idem per gli URL. Anche il solo testo fa partire il 403.

Contatto l'assistenza clienti dell'hosting e mi dicono che il problerma è causato dal modulo mod_secuirty che loro abilitano a chiunque e che volendo si può disattivare, ovviamente perdendo la protezione, e che si attiva perchè "Alcune regole di mod_security possono andare in conflitto con applicativi web sviluppati in PHP e mal programmati in termini di sicurezza dai relativi sviluppatori."

Ora, questa cosa si attiva a random e non riesco ad individuare cosa faccia partire il blocco, e non credo che il problema sia qualche mod che ho installato (ho giusto Poster IP in viewtopic), ma vorrei poter tenere attivo mod_security. È un problema risolvibile o mi sono trovato davanti ad un bug sconosciuto del cms?

Il phpBB3, non è un CMS, ma un software per creare e gestire forum.

Se hai spazio, dovresti installare una versione vergine in parallelo, installazione da effettuare con pacchetto scaricato da qui o dal com. Senza ulteriori modifiche. Se il problema si pone con l'installazione vergine, è un problema del tuo host. In tal caso, sta a loro rendere compatibile il loro modulo di protezione, con il phpBB3, e non il contrario. Altrimenti gli sviluppatori del phpBB3, dovrebbero codificare per ogni host del globo, il che sarebbe impossibile oltre che illogico.

Si potrebbe discutere per ore sul significato di CMS visto che tecnicamente anche un forum è un gestore di contenuti,

Tornando in topic:

Il problema avviene veramente a random, a volte passano 50 reply prima che si manifesti, e non so neanche la causa scatenante visto che parte anche con solo testo semplice. Può essere che intervenga una qualche variabile sul codice di phpbb oppure che vada a richiamare una funzione che mod_security mi blocca (non sono esperto di PHP, ho giusto un pò di nozioni imparate da solo)? Alla fine il codice è pulito, non ci sono grosse modifiche e quelle che ci sono, avrebbero dato problemi fin dall'inzizio.

Ah, dimenticavo che l' hosting è Netsons se può servire alla risoluzione del problema

Le classificazioni dei software in CMS o meno, non sono basate su opinioni, ma su classificazioni ufficiali. E il phpBB3 non è un CMS. Non è un'opinione, un punto di vista, o una cosa su cui si può discutere: è un fatto oggettivo e indiscutibile, finché chi di competenza, non stabilirà una cosa diversa in modo ufficiale. Punto.


Anche questo Forum è Hostato su Netsons, e come vedi il problema non si pone. Dovresti chiedere a Carlo, se è abilitato il modulo in questione... e se gli risulta un'incompatibilità con il phpBB3.

Sicuramente quando potrà leggere l'argomento, darà qualche indicazione specifica, o altri che usano Netsons.

Aggiungi nell'.htaccess queste due righe di codice: P.S.: Anch'io avevo questo problema fino a un po' di tempo fa.

È quello che mi hanno detto quelli dell'assistenza. Se lo si disattiva non succede niente di grave nel senso, a livello di sicurezza si perde molto?

Tieni conto che alcuni hosting ci vivono senza.

Su Netsons infatti fino a un po' di tempo fa non era installato.
Quando lo hanno installato, qui abbiamo incominciato ad accorgercene, in quanto anche noi avevamo errori HTTP 403 quando inserivamo del codice PHP nei post, cosa indispensabile per il nostro forum.
Poi ho risolto inserendo quelle righe di codice nell'.htaccess.

La migliore e più efficace forma di sicurezza, consiste nell'effettuazione di backup completi, sistematici, collaudati. Il resto... è secondario. Posto ovviamente, sistemi puliti.. virus, spyware, ecc.

Angolo ha scritto:La migliore e più efficace forma di sicurezza, consiste nell'effettuazione di backup completi, sistematici, collaudati. Il resto... è secondario. Posto ovviamente, sistemi puliti.. virus, spyware, ecc.

Certo, ma un exploit 0day ti tira giù tutto, anche se hai backup è comunque una rogna da sistemare, e a meno che l'admin non sia un bravo programmatore con doti di bug hunting per fixare il problema, la vulnerabilità resta aperta a nuovi raid finchè non c'è un update che la corregge.

Comunque vi ringrazio per la soluzione, farò così.

Per completo e sistematico, si intende appunto la presenza di più copie pulite e integre.
Circa attacchi a un livello superiore, è compito dell'host ripristinare la piattaforma.
Circa il mantenimento dell'integrità di un backup e del backup stesso, la sicurezza, impone un occasionale archiviazione nel proprio PC; oppure, se si hanno soldi, alcuni host, offrono un servizio aggiuntivo di archiviazione su server diverso da quello in cui è hostato il sito.
In queste condizioni, non c'è virus, exploit attacco dos che tenga... si cancella tutto e si ripristina tutto.
Molti ripristini, appaiono fallimentari, perché si procede al ripristino, prima di cancellare tutto, utilizzando la sovrascrittura. Un backup integro, sul vuoto, non può dare risultati fallimentari. Un backup integro su non vuoto, sì.