Stiamo facendo un’indagine sulla sicurezza delle riviste OJS relativamente alla funzionalità di auto-registrazione.
Volevamo sapere se a qualcuno dei partecipanti al Forum la modalità di registrazione “libera” permessa dalla piattaforma OJS abbia mai creato problemi tecnici di sicurezza: se, cioè, è capitato (ed eventualmente con quale frequenza) che un utente si sia registrato con lo scopo di apportare danni al codice sorgente, modificare testi ecc.
Noi abbiamo naturalmente parecchie registrazioni di falsi utenti (non abbiamo ancora le captcha) e - mi dicono i tecnici - due anni fa abbiamo subìto un accesso “malevolo” quando ancora usavamo una versione ormai superata di OJS; dopo l’upgrade non sembra si sia più verificato nulla.
Grazie molte per i suggerimenti o le esperienze che vorrete riportarmi.
Il problema delle registrazioni malevoli su OJS è un probelma vecchio e molto diffuso.
Nella maggior parte dei casi si tratta di iscrizioni fasulle fatte da SpyWare o Malware, che sono sistemi automatici che scandagliano le pagine dei siti per diffondere spam o accedere a contenuti privati o hakerare i siti.
A volte sono anche interventi manuali fatti da Hacker.
In genere gli scopi di questi attacchi sono 2:
SPAM: provare a inserire nel sito materiale pubblicitario o link ad altri siti sempre per scopi pubblicitari
HACKING : lo scopo è quello di crearsi un utente da usare per inserire sul sito (attraverso la submission di un articolo) dei file maligni che poi si prova ad usare per violare il sito.
In entrami i casi i modi per proteggersi da questi attacchi sono principalmente 2:
Attivare il Captcha nelle configurazioni di OJS in config.inc.php (protegge principalmente dagli SpyWare e Malware impedendo la proliferazione di utenti fasulli)
Attivare il meccanismo di verifica delle email (Double-Opt-In) sulla registrazione degli utenti nella configurazione di OJS in config.inc.php (questa peraltro utile anche ai fini della GDPR)
grazie per questi suggerimenti, che saranno molto utili anche per me.
Fra l’altro, il problema della registrazione di una marea di utenti falsi, spesso a fini malevoli, si verifica puntualmente anche su tutti gli altri siti (Wordpress, etc…).
Un caro saluto
Leonardo