HOME
 
 
home corporate info portfolio
Web production Software development Hosting Networking Training Multimedia & Graphic lab
 
 
DISPLAY ARTICLES SORTING BY
   
  Programming
  Networking
  Design Style
* you are here
  Introduzione
  Esempio
  Lato Client - Richiesta Login
  La connessione
Validazione del login - Lato Server
  Cifrature - Metodi ed Algoritmi
  Lo script in PHP
AUTHOR PROFILE
  Go to the author info GO TO GHE AUTHOR INFO
  Mail to the author MAIL TO GHE AUTHOR
BOOKMARKS THE AUTHOR
  SourceForge SourceForge
 
the largest repository of Open Source code and applications available on the Internet. SourceForge.net provides free services to Open Source developers.
 
  Freshmeat Freshmeat
 
freshmeat maintains the Web's largest index of Unix and cross-platform software, themes and related "eye-candy", and Palm OS software. Thousands of applications, which are preferably released under an open source license, are meticulously cataloged in the freshmeat database.
 
  CERT® CERT
 
The CERT® is a center of Internet security expertise, located at the Software Engineering Institute, a federally funded research and development center.
 
  OpenBSD OpenBSD
 
The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system
 
 


FOCUS ON
PROGRAMMING
print document
download PDF
Flash & Php – Rendere sicure le autenticazioni.
Parte V
Validazione del login - Lato Server
Siamo arrivati alla parte che ritengo più interessante. Una volta ricevute le variabili user e password lo script php sul server le deve analizzare e deve rispondere in base all’esito del confronto.
Se non avessimo particolari esigenze di sicurezza, potremmo risolvere in modo molto semplice e immediato, confronteremmo il valore ricevuto con il valore archiviato e ottenuta la corrispondenza esatta avremmo riconosciuto l’utente. In realtà lo scopo di questo documento è proprio rendere il più sicura possibile la nostra transazione e quindi adotteremo un sistema leggermente diverso, altrettanto immediato, ma meno semplice.
Nel campo informatico la sicurezza assoluta è un’utopia, ma questo non vuol dire che non si possano usare misure preventive ed avvicinarci passo dopo passo all’irraggiungibile 100%.
Un sistema che adotto ogni qualvolta devo sviluppare una procedura di login con password da archiviare sul server è quello della preventiva codifica di tali valori. Qualsiasi metodo si adotti per archiviare le password, database, semplice file di testo o addirittura un array (come nel nostro esempio) le parole chiavi risiederanno su un file sul server, e questo vuol dire che un attacker che riesce ad ottenere il file in questione, avrebbe libero accesso alle informazioni degli altri utenti. Per quanto possa sembrarci lontana l’ipotesi che il nostro file venga carpito al server, dobbiamo comunque premunirci, spesso basta davvero poco per consentire l’accesso ad un sistema, si pensi ad esempio, a quante volte vi sarà capitato di rinominare un file per tenerne una copia temporanea, un file.php diventerebbe un file.bak o .php~ e questo eviterebbe la sua interpretazione da parte del web server che lo consegnerebbe al richiedente cosi com’è, ed ecco che un malizioso visitatore in seguito ad una maliziosa richiesta, si ritroverebbe in possesso del file contenente la password d’accesso al database o altre informazioni riservate, o ancora basterebbe una cattiva configurazione del nuovo webserver fresco di aggiornamento, o il cambio temporaneo dei permessi su una directory o un file e poi mai rimessi a posto.. e potrei andare avanti con gli esempi ancora per molto, e questo per far capire quanto è importante non dare mai nulla per scontato anche in un sistema apparentemente sicuro.
Se utilizzerete il metodo che leggerete proseguendo, l’hacker o il visitatore malizioso, si ritroverebbero tra le mani delle password inutili.. poiché criptate e quindi illeggibili.
Prima di proseguire credo sia necessario spendere poche parole per meglio comprendere i meccanismi di cifratura con l’analisi superficiale di alcuni dei più diffusi algoritmi, qualora non reputaste l’argomento interessante potete passare direttamente al prossimo capitolo.
  previous
1 2 3 4 5 6 7
 next  
  Introduzione
  Esempio
  Lato Client - Richiesta Login
  La connessione
Validazione del login - Lato Server
  Cifrature - Metodi ed Algoritmi
  Lo script in PHP
   
   * you are here
print document
download PDF

Web production Software development Hosting Networking Training
Multimedia & Graphic lab
privacy policy corporate info portfolio