minetest_modding_book/_it/quality/security.md

94 lines
4.2 KiB
Markdown
Raw Normal View History

---
2020-07-13 16:10:32 +03:00
title: Sicurezza
layout: default
root: ../..
idx: 8.3
---
2020-07-13 16:10:32 +03:00
## Introduzione <!-- omit in toc -->
2020-07-13 16:10:32 +03:00
La sicurezza è molto importante per evitare che una mod permetta di far perdere il controllo del server al suo proprietario.
2020-07-13 16:10:32 +03:00
- [Concetti fondamentali](#concetti-fondamentali)
- [Formspec](#formspec)
2020-12-24 21:40:59 +03:00
- [Non fidarsi mai dei campi dei formspec](#non-fidarsi-mai-dei-campi-dei-formspec)
- [Il momento per controllare non è il momento dell'uso (Time of Check is not Time of Use)](#il-momento-per-controllare-non-è-il-momento-delluso-time-of-check-is-not-time-of-use)
2020-07-13 16:10:32 +03:00
- [Ambienti (non sicuri)](#ambienti-non-sicuri)
2020-07-13 16:10:32 +03:00
## Concetti fondamentali
2020-07-13 16:10:32 +03:00
Il concetto più importante quando si parla di sicurezza è **non fidarsi mai dell'utente**.
Ogni cosa che l'utente può inviare al server deve essere trattata come malevola.
Questo significa che dovresti sempre controllare che le informazioni da loro immesse siano valide, che abbiano i privilegi necessari e che siano autorizzati a fare determinate azioni.
2020-07-13 16:10:32 +03:00
Un'azione malevola non è necessariamente la modifica o la distruzione di dati, ma può essere anche l'accedere a dati sensibili, come gli hash delle password o i messaggi privati.
Questo è grave soprattutto se il server possiede informazioni sugli utenti come le loro e-mail o la loro età, che alcuni potrebbero richiedere per questioni di verifica.
2020-07-13 16:10:32 +03:00
## Formspec
2020-07-13 16:10:32 +03:00
### Non fidarsi mai dei campi dei formspec
2020-07-13 16:10:32 +03:00
Qualsiasi utente può inviare qualsiasi formspec con i valori che preferisce quando preferisce.
2020-07-13 16:10:32 +03:00
Segue del codice trovato realmente in una mod:
```lua
minetest.register_on_player_receive_fields(function(player,
formname, fields)
for key, field in pairs(fields) do
local x,y,z = string.match(key,
"goto_([%d-]+)_([%d-]+)_([%d-]+)")
if x and y and z then
player:set_pos({ x=tonumber(x), y=tonumber(y),
z=tonumber(z) })
return true
end
end
end
```
2020-07-13 16:10:32 +03:00
Riesci a vedere il problema? Un utente malintenzionato potrebbe inviare un formspec contenente la propria posizione, permettendogli di venire teletrasportato dovunque vuole.
Addirittura il tutto potrebbe essere automatizzato usando modifiche del client per replicare il comportamento di `/teleport` senza aver bisogno di alcun privilegio.
2020-07-13 16:10:32 +03:00
La soluzione per questo tipo di problematica è usare un [Contesto](../players/formspecs.html#contexts), come mostrato precedentemente nel capitolo dei Formspec.
2020-07-13 16:10:32 +03:00
### Il momento per controllare non è il momento dell'uso (Time of Check is not Time of Use)
2020-07-13 16:10:32 +03:00
Qualsiasi utente può inviare qualsiasi formspec con i valori che preferisce quando preferisce, sì: a meno che il motore di gioco non glielo impedisca:
2020-07-13 16:10:32 +03:00
* L'invio dei formspec di un nodo vengono bloccati se l'utente è troppo distante;
* Dalla 5.0 in poi, i formspec con un nome sono bloccati se non sono stati ancora mostrati.
2020-07-13 16:10:32 +03:00
Questo significa che dovresti controllare che l'utente soddisfi i requisiti per visualizzare il formspec in primis, esattamente come per ogni azione corrispondente.
2020-07-13 16:10:32 +03:00
La vulnerabilità causata dal controllare i privilegi nel `show_formspec` ma non nella gestione del formspec in primis è chiamata *Time Of Check is not Time Of Use* (Il momento per controllare non è il momento dell'uso), o più brevemente TOCTOU.
2020-07-13 16:10:32 +03:00
## Ambienti (non sicuri)
2020-07-13 16:10:32 +03:00
Minetest permette alle mod di richiedere ambienti senza limiti, dando loro accesso all'intera API Lua.
2020-07-13 16:10:32 +03:00
Riesci a individuare la vulnerabilità in questo pezzo di codice??
```lua
local ie = minetest.request_insecure_environment()
ie.os.execute(("path/to/prog %d"):format(3))
```
2020-07-13 16:10:32 +03:00
`string.format` è una funzione nella tabella globale condivisa `string`.
Una mod malevola potrebbe sovrascrivere questa funzione e passare "cose" a `os.execute`:
```lua
string.format = function()
2020-07-13 16:10:32 +03:00
return "xdg-open 'http://esempio.com'"
end
```
2020-07-13 16:10:32 +03:00
La mod potrebbe passare qualcosa di molto più malevolo dell'apertura di un sito, come dare il controllo remoto della macchina al malintenzionato in questione.
2020-07-13 16:10:32 +03:00
Alcune regole per usare un ambiente non sicuro:
2020-07-13 16:10:32 +03:00
* Tenerlo sempre in una variabile locale e non passarlo mai a una funzione;
* Assicurarsi di potersi fidare di qualsiasi input eseguita in una funzione insicura, per evitare il problema sopracitato.
Questo significa evitare funzioni globali ridefinibili.