In caso di perdita di password di amministrazione di un sito, può capitare, con i privilegi da amministratore o del sito, è posisbile sostituirla direttmente nel DB. La password normalmente è codificata in hash MD5 e non può essere recuperata in quando tale codifica MD5 non prevede il recupero all'indietro, ossia può solo codificare non decodificare. L'algoritmo associa infatti ad una strigna qualsiasi un'altra stringa codificata sempre uguale a parità di dati.

Se parlaimo di joomla, gli utenti sono imamgazzinati dentro la tabella xxx_user, nel campo password.Editiamo il campo con phpMyAdmin o Query Browser e modifichiamo dirattamente la password, salviamo e il gioco è fatto. E' necessari tuttavia creare una password codificata MD5. Si può direttamente da MySQL:

SELECT MD5 ("inserire qui la password");

oppure andate qui.

Per realizzare una connessione sicura del proprio sito web, è necessario disporre di un certificato. Si può acquistarlo da società come Verisign ma si può anche crearlo in autonomia per essere utilizzato con IIS 6-7. Un certificato provvede quindi alla crittografia della trasmissione e provvede così alla sicurezza. Tecnicamente un certificato autoprodotto o uno acquisato da un ente terzo sono uguali, ma nelle transazioni web l'ente terzo si fa carico e garantisce la sicurezza del messaggio crittografato.

Creazione

Con IIS 6 si può generare la richiesta di certificato e utilizzare un'authority per la sua gestione. Questo può essere realizzato con il servizio Autorità di certificazione. Con IIS 7, invece, non si può usare lo stesso servizio senza aver installato le Active Directory. Utilizzeremo SelfSSL e SSLDiag da linea di comando (è necessario disporre della compatibilità metabse su IIS7 perchè il tool funzioni).

SelfSSL è incluso in Internet Information Services (IIS) 6.0 Resource Kit Tools, scaricabile qui. Da linea di comando scrivere:

SelfSSL.exe /N:CN=www.onen.it /V:365 /S:2

Il comando crea un certificato per il dominio chiamato www.onen.it (/N - nome), per un periodo di validità di 365 giorni (/V - validità) e sarà inserito in IIS con id = 557425147 (/S switch). Assicurarsi che il nome scelto corrisponda esattamente al sito (FQDN) utilizato. Il parametro /V identifica la validità che di default è 7 giorni; il parametro /S identifica l'identificativo del sito utilizzato, rintracciabile in IIS Manager. C'è un limite documentato di SelfSSL, ossia che permette solo ad un sito di avere un certificato nello stesso tempo. L'alternativa è SSLDiag.

SSLDiag è incluso nel pacchetto di diagnostica di Microsoft scaricaile qui. SSLDiag non ha il baco sopra descritto. La sintassi è:

SSLDiag.exe /s:557425147 /selfssl /n:CN=www.onen.it /v:365

Simile a SelfSSL con l'eccezzione del parametro /selfssl che istruisce SSLDiag a firmare il certificato prodotto.

L'unico svantaggio di SSLDiag rispetto a SelfSSL è con IIS 7 non crea il binding https come SelfSSL.