problemi di sicurezza del dopo login

[vejita866]

stanotte, invece di dormire, mi sono messo a pensare a come fare lo script per renderlo il più sicuro possibile, per nn fare prendere dati ad cracker o gentaccia cosi
ma mi è venuto un dubbio.... una volta che io ho fatto il login, io registro su un cookie una chiave univoca, che mi serverà a sua volta per tirar fuori dal db i dati che mi servono per fare il controllo ogni volta nelle pagine......

ora il problema si pone quando l'utente esce dalla parte protetta e, senza fare alcun logout, va in un'altra pagina sul web, e poi si allontana dal piccì

se un qualche cattivo bambino mi entra nella pagina protetta, io nn so come fare per far sì che questo qui debba fare nuovamente il login, perchè lui ha il cookie nel computer che ha i dati che mi riprendono i dati, quindi anche senza login può accedere direttamente alle pagine che non voglio far visualizzare....

avete una qualche soluzione che mi possa risolvere questa brutta situazione?

[Sora88]

Non ho capito bene il tuo problema...
Potresti usare le sessioni che durano solo durante la sessione del browser poi scadono

[vejita866]

ma se uso le sessioni può accadere questo:

l'utente fa il login
gli si apre una sessione
girovaga per l'area protetta
esce dal sito senza chiudere il browser e senza fare alcun logout
va in un altro sito
esce dalla stanza

entra un *********** che vuole entrare nel'area a rompere i ********
dato che non ha chiuso il browser e non ha fatto il logout
questo qui può entrare nell'area protetta senza fare alcun login
e rompere le balle mettendo le sue manacce dappertutto

[Sora88]

Ma scusa come la la persona ********* ad entrare se non possiede i dati di accesso.. puo entrare solo con il pc della persona appena uscita...

[mircov]

Ragazzi ma vi rendete conto di cosa state parlando?
Quando fanno le pistole mica si preoccupano di come verranno utilizzate? Le fanno punto e basta. Che poi vengano utilizzate per una rapina o per arrestare un ladro a chi le fabbrica non interessa!!! E' compito di chi ha la l'accesso fare in modo che l'accesso rimanga solo suo. Quindi non deve dare la password, non deve inserirla in altri computer, non deve farsi vedere le mani quando la scrive e cose del genere.

E poi l'utente che entra nel sito non avrà la possibilità di vedere tutti i dati di tutti gli utenti ma solo i suoi!

Se invece è un admin sarà compito suo stare attento ai dati ed alla sicurezza. Una volta che tu hai reso l'applicazione sicura riguardo gli attacchi da internet hai fatto la tua parte.

[Sora88]

Io stavo cercando di capire qual'era il suo problema... a quanto pare adesso l'ho capito.. hai ragione mircov

[vejita866]

si ho capito quello che dici microv
io cercavo solamente un modo per eliminare i cookie una volta usciti da un certo dominio, basta niente di plus

visto che di cojoni il mondo ne è pieno ( e io ne sono il massimo esponente) cercavo solo un modo di proteggere i dati anche dagli errori umani

ovviamente se sto qui è talmente fesso da dare la pass a tutti, o farsi vedere mentre scrive allora vuol dire che sto qui lo hanno lobotomizzato da piccolo ....

[mircov]

Basta semplicemente dare una scadenza al cookie.

Ad ogni pagina che vede azzeri il timer del cookie ed il gioco è fatto.