[PHP] Autenticazione HTTP
Clicca QUI per vedere il messaggio nel forum |
| Napolux |
Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)
Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?
Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.
if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso. |
| unidavide |
Originally posted by Napolux
Ma e' sicura?
X il mio Bloggino ho pensato di usare questa, dato che quella precendente non mantiene i dati (bisogna inserire ogni volta user & pass)
basta che usi le sessioni
Sono abbastanza sicuro con questo metodo, relativamente alle finalità
del mio utilizzo (non è un'applicazione critica)?
e' sicura quanto un login normale, le password in rete passano cmq in chiaro, con http viene solo codificata in base 64, con http pero' rischi un po' di piu' perche' le password viaggiano ad ogni richiesta che viene fatta cioe' ogni pagina che viene richiesta quindi se uno sniffa ha piu momenti in cui poter vedere la password
Le password nei file non sono in chiaro, ma criptate con md5, il
confronto x l'accesso è quindi fatto cosi' ad esempio.
if (md5($_server['PHP_AUTH_USER']) == '85353fac343a34b4e4') allora dai
accesso.
non capisco a che scopo le metti cifrate, se uno ha accesso alle pagine ha anche accesso al db visto che quelle password saranno in chiaro oppure ai file se non usi il db |
| Napolux |
Originally posted by unidavide
e' sicura quanto un login normale, le password in rete passano cmq in chiaro, con http viene solo codificata in base 64, con http pero' rischi un po' di piu' perche' le password viaggiano ad ogni richiesta che viene fatta cioe' ogni pagina che viene richiesta quindi se uno sniffa ha piu momenti in cui poter vedere la password
Ok, fin qui ci sono.
Non mi interessa tanto il fatto che qualcuno rubi le password sniffando, uno sarebbe malato a voler rubare le password di un blog e comunque non tiro in mezzo di certo SSL o roba varia per un semplice blog.
Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.
HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?
Sicurezza non l'ho ancora passato :D |
| fabpicca |
Originally posted by Napolux
Ok, fin qui ci sono.
Non mi interessa tanto il fatto che qualcuno rubi le password sniffando, uno sarebbe malato a voler rubare le password di un blog e comunque non tiro in mezzo di certo SSL o roba varia per un semplice blog.
Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.
HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?
Sicurezza non l'ho ancora passato :D
dalle sql injection e inserzioni di tag ti proteggi solo filtrando i form (o ogni momento di input) lato server (strip_tags() et similia) o lato client (js) o entrambi. |
| Napolux |
Originally posted by fabpicca
dalle sql injection e inserzioni di tag ti proteggi solo filtrando i form (o ogni momento di input) lato server (strip_tags() et similia) o lato client (js) o entrambi.
Quello già fatto :) |
| unidavide |
Originally posted by Napolux
Mi interessa il fatto che i contenuti siano protetti da un "attaccante casuale" ovvero uno che passa per il sito, vede il blog e si mette un'oretta (o meno) a smanettare cercando di entrare.
HTTP Authentication mi garantisce contro scriptini vari, SQL Injection ecc...?
su questo aspetto le cose sono esattamente identiche sia che usi http che no, te ne devi preoccupare cmq tu |
| unidavide |
Originally posted by fabpicca
o lato client (js)
NON "o", lato client non e' sicuro niente, se fai un controllo lato client consideralo solo per non caricare troppo il server ma queste cose le DEVI controllare per forza lato server |
| yeah |
Per autenticarmi ad una pagina riservata nel mio sito (nel caso per visualizzare alcune statistiche) ho adottato due accorgimenti:
1) La pagina non è accessibile da link nel sito (la devo usare io quindi io conosco il nome, questo è possibile perchè il mio provider non permette l'esplorazione delle cartelle)
2) per l'autenticazione uso un semplice form con campo password in cui in caso di inserimento errato viene visualizzata una pagina bianca
La password (non uso database) l'ho messa in un file di testo del tipo
code:
<?php/*
passwordsupersegreta
*/?>
Non è un metodo sicuro 100%, ma quale lo è ;) Inoltre è più che adatto a quello che devo proteggere :) |
|
|
|
