Ragazzi, dovrei creare un login abbastanza sicuro, cosa mi consigliate? quali sono i requisiti di un login e gestione di profilo sicuro, non dico all 100% perchè non sarà possibile, ma altamente sicuro???
Ragazzi, dovrei creare un login abbastanza sicuro, cosa mi consigliate? quali sono i requisiti di un login e gestione di profilo sicuro, non dico all 100% perchè non sarà possibile, ma altamente sicuro???
è sufficiente un unico requisito... un mediocre web master
che bella risposta!!! ma perchè dovete fare cosi certe volte? ho chiesto a livello tecnico che requisiti servono, che ne so ad esempio ssl o le pass criptate con sha1.. vorrei questi consigli!!
1) REGISTRAZIONE:
- regex che validano i dati in ingresso;
- eventualmente con supporto jquery e controllli asincroni con ajax;
- eventualmente un captcha;
- evitare duplicati utenti con lo stesso username;
- evitare duplicati utenti con la stessa email;
- obbligare l'utente a scegliere una password non troppo semplice (numero minimo di caratteri, maiuscole/minuscole, alfanumerica/con simboli, etc etc);
- salvare assolutamente le password criptandole (sha1, ma ce ne sono anche altri) e con salt;
- validare le registrazione tramite conferma tramite mail (con tutte le problematiche relative alla modalità di conferma e alla cancellazione dei registrati non "confermati");
2) LOGIN:
- corretta gestione dei cokies che non dovranno assolutamete contenere dati sensibili;
- cokies con scedenza vincolata (non quella che si imposta con set cokies)
- corretta gestione delle sessioni (alcuni suggeriscono di salvare sul db... ma io nn lo preferisco);
- magari stabilire il path in cui saranno salvati i file di sessione (in caso frequente di server condiviso);
- rigenerare il SID (in modo da immunizzare furti di ID di sessione);
- prevedere il TOKEN per conferma di operazione via GET (ma anche via post...) per proteggersi da XSS;
- le generiche protezioni per evitare sql injection;
- salvare i "tentativi falliti" per evitare attacchi brute force oppure prevedere uno sleep() del login per cautelarsi da attacchi brute force;
Ti va bene questa risposta??
Fai domande più dettagliate altrimenti nn si sà da dove partire... come puoi notare...
a difesa di oly1982:
la richiesta "login abbastanza sicuro" vuol dire tutto e niente.
Abbastanza sicuro per una banca vuol dire una cosa
Abbastanza sicuro per un gioco online vuol dire un'altra cosa ancora
Abbastanza sicuro per un forum vuol dire un'altra cosa ancora
Abbastanza sicuro per un sito personale vuol dire un'altra cosa ancora.
In genere si valuta il rapporto costi/benefici per un grado di sicurezza.
ok magari sono stata un pò vaga
Allora se la tua paura è quella di furto di dati nel database, non è solo il login a dover essere sicuro ma tutto il tuo sistema (e il server che lo ospita).
Puoi anche fare un login con ssl o con metodi di crypt avanzati, ma se poi da qualche parte nel tuo sistema hai una riga del genere (estremizzo)
tutto il sistema è vulnerabile e, in alcuni casi, è anche possibile un controllo completo del server da parte di malintenzionati.Codice PHP:include($_GET['file']);
Per rendere "ragionevolmente sicura" l'autenticazione segui questo thread recentissimo:
http://forum.html.it/forum/showthrea...readid=1440493
Mentre in un altro thread recente hanno dato un link interessante per rendere sicura (meno vulnerabile) una qualsiasi applicazione.
http://forum.html.it/forum/showthrea...9#post13203779
Grazie per i link ho letto, ma quindi diciamo che per avere un buona (ottima sicurezza) bastano i seguenti elementi?
- SSL
- Criptare la password con MD5 o SHA1
- Su ogni input prevenire sql injection
leggi questo interessante articolo:Su ogni input prevenire sql injection
http://php.html.it/guide/lezione/299...i-e-soluzioni/
dai un occhiata alla libreria openSSL, cerca "https", crittografia asimmetricaSSL
cerca "algoritmo di hashing"Criptare la password con MD5 o SHA1
Permessi di invio
Rispondi quotando