Leggevo Essential PHP Security e il capitolo 8 parla dei problemi con l'hosting della tua app PHP in un hosting condiviso ambiente.
Alcuni dei problemi che cita sono:
: codice sorgente esposto e esplorazione del file system.
a web server must be able to read the source code in order to execute it. Since the web server is shared a PHP script written by another developer on the server can read arbitrary files. An attacker can also create a script that browses the file system.
: dati di sessione esposti e iniezione di sessione.
By default, PHP stores session data in /tmp which is writable by all users, so Apache has permission to write session data there. A simple script can allow other users to read, add, modify, or delete sessions.
È come se tutto fosse esposto e vulnerabile se usassi l'hosting condiviso in questo modo.
Le mie domande:
- Considerando che il libro è stato pubblicato 8 anni fa, ci sono ancora problemi o si sono attenuati in qualche modo negli ultimi anni?
- Perché scegliere l'hosting condiviso se causerà questi enormi problemi di sicurezza?
- Comprendo che l'hosting condiviso è economico, ma deve esserci un'alternativa più sicura e meno costosa rispetto all'hosting dedicato?
- Nel caso in cui un cliente mi chieda di sviluppare un'applicazione che sarà ospitata su un hosting condiviso, c'è un modo completo per sviluppare un'applicazione sicura o è solo una ricetta per il disastro?