[PHP] Sicurezza dei form

[marmz]

Allora... Vorrei essere sicuro che i form (POST), che inviano dati al mio "sistema", provengano SEMPRE dallo stesso HOST/DOMINIO, dove si trova appunto il sistema PHP.

Al momento ho visto che tutti fanno un "check" sulla variabile $_SERVER['HTTP_REFERER'].

Molti dicono di usare una specie di "token" salvato in sessione e "embeddato" come input-hidden, da controllare prima di ogni operazione..

Questo l'ho già fatto, ma l'unica cosa utile è che non permette di eseguire operazioni "continue" tipo "bot". MA.. non offre una reale protezione (secondo me) ...

Questo perchè l'utente "maligno" non deve far altro che copiarsi il campo Hidden contenente il "token" di controllo e incollarlo nel suo form modificato "ad hoc", e quindi spedirlo assegnando l'url del sistema online all'attributo "action" del form... ed è fatta! :P


Domande:

1. La variabile 'HTTP_REFERER' è inviata da tutti i browser?? Ed è considerata abbastanza affidabile/sicura??
2. Esiste un metodo alternativo??

Thanks!

[codencode]

Il token lo devi generare tu, lo inserisci nel form e lo memorizzi in sessione, quando leggi i dati dal post, verifichi se il token inviato mediante il post è uguale a quello presente in sessione.
In questo modo l'utente "maligno" inserirà un token che non è presente in sessione quindi il sistema non utilizzerà i dati.

[marmz]

Esempio:
- genero un token e lo copio in sessione
- metto il token nel form

Utente maligno:
- mantenendo aperto il browser (sessione aperta), copio il form (compreso il token) in una pagina fittizia
- invio i dati

Cosa succcede?
- il sistema riceve il form con il token VALIDO
- confronta con quello nella sessione (che è ancora aperta, quindi valido)
- l' operazione è considerata VALIDA!

Mi sbaglio?!?!

[Alhazred]

Sì, funziona così, ma infatti i malintenzionati si fermano con la validazione degli input che arrivano allo script che riceve i dati dal form, non con un token.
Il token ti serve per non avere richieste multiple o bloccare i bot, ogni volta che ricevi i dati dal form distruggi il token che c'è in sessione, così la richiesta successiva con lo stesso token non funziona più.
Se uno vuole ricompilare lo stesso form deve ricaricare la pagina in modo che venga generato un nuovo token.

[marmz]

Essì.. è quello che pensavo (e che ho detto) ..
con il token posso solo evitare dei post "ripetuti".

Ma, che voi sappiate, la variabile $_SERVER['HTTP_REFERER'] viene spedita da tutti i browser? O ne esiste un' altra simile?

[Alhazred]

I maggiori browser inviano tutti il riferimento http_referer.
Non puoi essere però certo che arrivi, perché ci sono casi particolari in cui l'invio viene inibito.
Ciò accade per esempio se sul PC dell'utente c'è un qualche software per la sicurezza che blocca l'invio di tale informazione, se si arriva sulla pagina da un link presente in un elemento Flash (ma non credo sia il tuo caso), se si arriva sulla pagina partendo da una che si trova su protocollo https, se la pagina di destinazione viene aperta in una finestra di popup e qualche altro caso.