cloudflare

Cloudbleed: Di cosa si tratta e come reagire?

di
cloudbleed

Cloudflare, lo sappiamo tutti, è sempre stato sinonimo di: sicurezza; efficienza; stabilità; qualità! … Ma questa volta, invece, il problema “sicurezza” è nato proprio da (a causa di) #Cloudflare ed ha causato un vero e proprio allarme sull’intero web. Stiamo parlando di: Cloudbleed.

Giusto in poche righe, la vulnerabilità – scoperta da Tavis Ormandy (ricercatore alle dipendenze di #Google) – è stata battezzata #Cloudbleed perché ricorda un po’ la “vecchia” e ben nota Heartbleed e sembra sia stata presente dal 22 Settembre 2016 fino al 18 Febbraio 2017 (ma venuta a galla solo negli ultimi giorni e prontamente affrontata da Cloudflare e i vari motori di ricerca). Cosa centrano i motori di ricerca? Il problema è proprio che determinate informazioni “riservate” venivano accidentalmente conservate, causa errata gestione di Cloudflare, nella cache dei motori di ricerca (con tutti i rischi che ne possono derivare). Si parla di messaggi privati; intere chat; password …. anche su siti di incontri (vi immaginate?)!

Leggi tutto

#WordPress: Come passare gratuitamente da #http a #https

di

Ormai l’https (HTTP over SSL) è un requisito fondamentale per ogni sito web e grazie a Let’s Encrypt e/o Cloudflare, per fortuna, possiamo averlo senza pagare un solo centesimo 😀

L’HyperText Transfer Protocol over Secure Socket Layer (HTTPS), (anche noto come HTTP over TLS, HTTP over SSL e HTTP Secure) è un protocollo per la comunicazione sicura attraverso una rete di computer, il quale è largamente utilizzato su Internet.

Fonte: https://it.wikipedia.org/wiki/HTTPS
Immagine in anteprima: Di Sean MacEntee – https://flic.kr/p/qi1eYu, CC BY 2.0, https://commons.wikimedia.org/w/index.php?curid=41015981

Io, ad esempio, qui su L’AltroWeb, uso un certificato #letsencrypt + #cloudflare strict (impostato a strict grazie alla presenza del certificato proprietario).

Riguardo a letencrypt – su #cPanel o #Plesk, spesso troviamo strumenti automatici per averlo con pochi click!

Diversamente, se abbiamo un blog WordPress, possiamo provare:

Leggi tutto

Hosting, quale scegliere e perché è importante scegliere bene

di

Un tempo ero su AlterVista, freehosting estremamente stabile (praticamente mai un downtime)!

Poi, per necessità tecniche (poter usare cloudflare e quindi l’https, compatibilità con ipb ecc), migrai verso hosting a pagamento.

Cercando tra le varie soluzioni, trovai un hosting con 10.000MB di disco, 50.000 di banda, 5 domini ospitabili, diverse versioni di php, cron, illimitati database, illimitate email, dominio e backup r1 incluso a cca 50€ l’anno.

Prezzo rispettabile per il pacchetto offerto, e quindi lo comprai…

Purtroppo, però, tante volte quanto offerto sulla carta non è poi davvero offerto a livello tecnico, e quindi mi son ritrovato continuamente con vari fastidiosi problemi:

  • continui errori 500
  • impossibilitato ad usare piwik perché non ce la fa a girare
  • non posso usare né il cron di piwik, né quello di ipb (ma non erano illimitati?), altrimenti arriva la mail per “eccessivo consumo di risorse”
  • tempi di caricamento mostruosi e letteralmente insopportabili;
  • aggiornamenti degli script a dir poco lenti (solo di recente è stato aggiunto il php5.6, ma ancora il mysql è vecchio, la sicurezza sull’https lascia molto a desiderare considerando anche che i cipher non si possono modificare)

Semplicemente aprendo la homepage, giusto poco fa…
errore-500.JPG

Le loro segnalazioni:
alto-consumo-risorse.JPG

I miei consumi in questo istante:
i-miei-consumi.JPG

Leggi tutto