Nei diversi nodi web e' stata applicata un'impostazione di sicurezza dove nei file .htaccess viene negato l'utilizzo della direttiva FOLLOWSYMLINKS al posto della piu' sicura SYMLINKSIFOWNERMATCH.

Abbiamo riscontrato che questa nuova impostazione di sicurezza va in conflitto con la caratteristica "URL SEMPLIFICATI" di Drupal (o comunque dell'uso della direttiva FOLLOWSYMLINKS) causando alcuni malfunzionamenti o il blocco della visualizzazione del sito.

E' quindi necessario modificare il file ".htaccess", commentando l'istruzione FOLLOWSYMLINKS, anteponendo un cancelletto davanti ad essa, come segue:

...
...
# Options +FollowSymLinks
...
...

ed inserento la direttiva SYMLINKSIFOWNERMATCH:

...
...
Options +SymLinksIfOwnerMatch
# Options +FollowSymLinks
...
...

(i tre puntini sono esemplificativi di eventuali altre direttive presenti nel file .htaccess).

Abbiamo scritto alla Community di Drupal, segnalando il problema di sicurezza che comporta FOLLOWSYMLINKS negli hosting condivisi e proponendo il supporto a SYMLINKSIFOWNERMATCH.

Speriamo vivamente che questo problema venga risolto, visto che tutti i provider che offrono l'hosting condiviso e permettono il FOLLOWSYMLINKS hanno una falla di sicurezza enorme.


NOTA BENE

Abbiamo trovato una soluzione al problema e l'abbiamo anche postata alla community di Drupal dove è aperto il guasto. Vedi http://drupal.org/node/656022

Praticamente occorre aprire tutti i fle ".htaccess" di Drupal e sostituire "FollowSymLinks" con "SymLinksIfOwnerMatch".

Ad esempio il file "/sites/default/files/.htaccess" va modificato come segue:

PRIMA:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +FollowSymLinks

DOPO:
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
Options None
Options +SymLinksIfOwnerMatch
# Options +FollowSymLinks

ATTENZIONE: per quanto riguarda l'attivazione del mod_rewrite, è importante leggere anche la FAQ