nascondere le pagine

[gasparirob]

domanda per lo più didattica...

è possibile nascondere le pagine in modo tale che non possa essere raggiunta una certa pagina se non passando prima per la home?
nel senso:
ho il sito www.pincopalla.it
con, ad esempio, le seguenti 3 pagine:
- index.php
- 1.php
- 2.php

se nell'index sono presenti dei link alla pagina 1 e/o 2, io utente potrei a quel punto accedere alla pagina 1 o 2 semplicemente scrivendo www.pincopalla.it/1.php (o 2.php)

e se invece volessi far visualizzare SEMPRE E COMUNQUE www.pincopalla.it nella barra degli indirizzi (tutt'al piu www.pincopalla.it/index.php) anche se mi trovo su un'altra pagina?
Ovviamente la prima idea è quella di usare i frame...
ma in questo modo basta vedere il codice html per venire a conoscenza dei link in questione.

Stessa cosa per quanto riguarda javascript.

Allora ho pensato di usare variabili di sessione o di post... ma mi hanno detto che è possibile accedere anche a questi dati.
E' vera questa storia?

in che modo potrei essere sicuro che le pagine 1.php e 2.php non siano IN NESSUN MODO raggiungibili? (se non passando per la home...)

[bDaniele]

lascia perdere giochi strani di magia... mi riferisco a nascondere il link.

con le variabili di sessione risolvi!

nella home setti un valore, nelle pagine secondarie controlli se è settato e in caso negativo, rimandi sulla home o su una pagina con un messaggio.

spiega meglio cosa significa
"ma mi hanno detto che è possibile accedere anche a questi dati."

[gasparirob]

Originariamente inviato da bDaniele
lascia perdere giochi strani di magia... mi riferisco a nascondere il link.

con le variabili di sessione risolvi!

nella home setti un valore, nelle pagine secondarie controlli se è settato e in caso negativo, rimandi sulla home o su una pagina con un messaggio.

spiega meglio cosa significa
"ma mi hanno detto che è possibile accedere anche a questi dati."

Si, ma infatti era proprio quella la mia intenzione... per lo meno fino a quando mi hanno detto che anche con le session non si puo stare sicuri...
di certo è una cosa complessa, ma è possibile recuperare i dati passati attraverso le session... ovviamente non ho idea di come questo sia possibile!

[bDaniele]

dai una lettura a questi link

http://blog.html.it/archivi/2007/06/...ni-per-php.php

e

http://php.html.it/guide/leggi/121/g...urezza-di-php/

la cosa è possibile, ma con i dovuti accorgimenti non è alla portata di tutti, poi dipende da cosa nascondi nelle pagine seguenti...

[gasparirob]

ecco appunto...

le voci di corridorio, allora, erano sensate...

[coteaz]

nella home imposti una sessione; e in ogni pagina metti un controllo ... se la sessione è settata mostra la pagina

if(isset($_SESSION['var'])){


tua pagina

}

[gasparirob]

Originariamente inviato da coteaz
nella home imposti una sessione; e in ogni pagina metti un controllo ... se la sessione è settata mostra la pagina

if(isset($_SESSION['var'])){


tua pagina

}

si certo... il problema è che è possibile "recuperare" la sessione di un altro utente, e utilizzare i suoi privilegi...

[TrueLies]

Originariamente inviato da gasparirob
si certo... il problema è che è possibile "recuperare" la sessione di un altro utente, e utilizzare i suoi privilegi...

Bhe sì, anche i quattrini in banca non sono mai veramente sicuri. C'è anche gente che è evasa da Alcatraz :-)

Il fatto è che per ritrovarti con un hijacking della sessione bisogna che gli dai un motivo a un hacker: un sito molto grande tipo myspace che qualche adolescente trova utile per farsi notare dalle coetanee coronato di futile gloria... o una transazione finanziaria appetitosa... allora magari qualcuno ci si mette a provare a rubarti la sessione.
Ma poi, si presume tu sappia difenderti da attacchi XSS o di fissaggio della sessione. E comunque anche allora possono farcela lo stesso, o incidere sul server, infilare le mani sotto la gonna, entrati nel database, comprometterti tutto...
E allora non ti rimane che la glock di back up LOL.

Diversamente dal che affidare alla sessione una chiave e leggerla alla pagina seguente per verificare il percorso con una specie di breadcrumbs lato server, è non solo un metodo sensato, ma anche l'unico.

In altre parole il fatto che anche le sessioni presentino dei rischi, non ti deve scoraggiare dall' usarle: sono come tutto il resto nella vita; tu attraversi la strada e adotti qualche cautela, ma ciò non toglie che ogni volta che la attraversi sei una potenziale preda per arricchire le statistiche... :-)
La sicurezza assoluta non esiste, nemmeno in programmazione.