HOME
 
 
home corporate info portfolio
Web production Software development Hosting Networking Training Multimedia & Graphic lab
 
 
DISPLAY ARTICLES SORTING BY
   
  Programming
  Networking
  Design Style
* you are here
  Introduzione
  Esempio
  Lato Client - Richiesta Login
La connessione
  Validazione del login - Lato Server
  Cifrature - Metodi ed Algoritmi
  Lo script in PHP
AUTHOR PROFILE
  Go to the author info GO TO GHE AUTHOR INFO
  Mail to the author MAIL TO GHE AUTHOR
BOOKMARKS THE AUTHOR
  SourceForge SourceForge
 
the largest repository of Open Source code and applications available on the Internet. SourceForge.net provides free services to Open Source developers.
 
  Freshmeat Freshmeat
 
freshmeat maintains the Web's largest index of Unix and cross-platform software, themes and related "eye-candy", and Palm OS software. Thousands of applications, which are preferably released under an open source license, are meticulously cataloged in the freshmeat database.
 
  CERT® CERT
 
The CERT® is a center of Internet security expertise, located at the Software Engineering Institute, a federally funded research and development center.
 
  OpenBSD OpenBSD
 
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system
 
 


FOCUS ON
PROGRAMMING
print document
download PDF
Flash & Php – Rendere sicure le autenticazioni.
Parte IV
La Connessione
Un particolare che non abbiamo ancora citato è la connessione. Come abbiamo visto il client in Flash invia le variabili user e password ‘in chiaro’ allo script in php sul server, che le analizzerà e invierà una risposta, il fatto che sia le variabili come la risposta vengano passate in chiaro, e cioè senza essere prima criptate, rende il processo vulnerabile allo ‘sniffing’ ovvero alla possibilità di essere intercettate nei loro percorsi di rete. Si prenda ad esempio una lan aziendale che utilizza degli hub, (anche gli switch sono a rischio, contrariamente a quanto si crede), tutti i pacchetti di rete arrivano a tutte le interfacce di rete in ascolto, basterebbe quindi un tool qualunque di audit per intercettare la connessione.
Altri esempi potrebbero essere i proxy o i firewall con attivo il logging, o uno sniffer sul gateway ad internet, insomma, intercettare una connessione forse non è semplice come ‘guardare dentro’ un swf, ma è una possibilità non certo remota.
Tutto ciò per dire che, fin quando si tratta di un esempio, possiamo utilizzare una normale connessione ad un normale server web, ma quando si tratta di sviluppare una procedura per l’autenticazione degli utenti di un sito di e-commerce, si dovrebbe sempre usare una connessione criptata con il server web, tramite SSL, in modo che i dati vengano criptati dal browser per poter essere letti soltanto dal destinatario dei pacchetti, il server e viceversa.
Devo precisare però, che nonostante una connessione SSL migliori il coefficiente di sicurezza, non avremo comunque una sicurezza al 100%, in quanto vi sono particolari tools (es. dsniff, ettercap) che in alcuni casi riescono a intercettare anche una connessione SSL, naturalmente questi tools devono avere un accesso privilegiato alle risorse di rete sulle quali transitano i pacchetti.
  previous
1 2 3 4 5 6 7
 next  
  Introduzione
  Esempio
  Lato Client - Richiesta Login
La connessione
  Validazione del login - Lato Server
  Cifrature - Metodi ed Algoritmi
  Lo script in PHP
   
   * you are here
print document
download PDF

Web production Software development Hosting Networking Training
Multimedia & Graphic lab
privacy policy corporate info portfolio