Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 17-03-2009, 19:48 #1
    tonicucoz
    tonicucoz non è in linea
    Utente di HTML.it L'avatar di tonicucoz
    Registrato dal
    Jun 2008
    Messaggi
    7

    autenticazione sessioni o cookies+database

    Ciao a tutti faccio una domanda.

    Un metodo di autenticazione è tramite sessioni. Il rischio è quello che qualcuno legga il file di sessione sul server, visto che a quanto ho capito php salva tutti i file di sessione nella stessa cartella. Sbaglio?

    Un secondo metodo è quello di usare un cookie per passare un codice (uid) che serve per richiamare username e password, le quali vengono salvate su database (l'ho letto in html.it, ecco l'articolo: http://php.html.it/articoli/leggi/87...tive-in-php/1/).

    La domanda è questa: perché il secondo metodo dovrebbe essere più sicuro visto che se qualcuno intercetta il codice (uid) che si scambiano il client e il server può tranquillamente entrare nella mia pagina privata? Basta che si salvi un cookie nel proprio computer con quel uid.

    Lo chiedo perché ho sempre usato il primo metodo (sessioni) e vorrei passare al secondo, ma vorrei convincermi che è più sicuro.

    Antonio
    Rispondi quotando Rispondi quotando
  2. 17-03-2009, 19:54 #2
    filippo.toso
    filippo.toso non è in linea
    Utente di HTML.it L'avatar di filippo.toso
    Registrato dal
    Jan 2008
    Messaggi
    10,380

    Re: autenticazione sessioni o cookies+database

    Originariamente inviato da tonicucoz
    Un metodo di autenticazione è tramite sessioni. Il rischio è quello che qualcuno legga il file di sessione sul server, visto che a quanto ho capito php salva tutti i file di sessione nella stessa cartella. Sbaglio?
    Se il server è configurato secondo un minimo di logica, questo non dovrebbe capitare mai.
    In ogni caso, se pensi possa sussistere il rischio, implementa il tuo gestore di sessioni, oppure configura il PHP in modo da salvare i file di sessioni in una tua cartella protetta.
    Sviluppatore Laravel - Backend Developer Automazione Aziendale
    Rispondi quotando Rispondi quotando
  3. 17-03-2009, 20:30 #3
    tonicucoz
    tonicucoz non è in linea
    Utente di HTML.it L'avatar di tonicucoz
    Registrato dal
    Jun 2008
    Messaggi
    7
    Fammi capire bene

    Significa che se anche io uso un server condiviso il file di sessione, se il server viene configurato bene, non può essere letto dagli altri che utilizzano lo stesso server? Neppure tramite script creati allo scopo?

    Per salvare i file di sessione in una cartella protetta non so come si fa. Provo a fare una ricerca. Immagino che poi per proteggere tale cartella posso usare il file .htacces.

    Per quanto riguarda la sicurezza del secondo metodo esiste un rischio reale sul fatto che qualcuno possa intercettare l'uid passato tramite cookie ed entrare?
    Rispondi quotando Rispondi quotando
  4. 18-03-2009, 11:31 #4
    tonicucoz
    tonicucoz non è in linea
    Utente di HTML.it L'avatar di tonicucoz
    Registrato dal
    Jun 2008
    Messaggi
    7
    Ok cercando ho capito come cambiare la cartella dove salvare i file di gestione. Posso usare il file .haccess e scrivere

    php_value session.save_path /percorso_cartella
    dando a quella cartella permessi, se non sbaglio, almeno 775


    Ora la domanda: come faccio poi a rendere protetta quella cartella in modo che il file di sessione non possa essere letto da altri?

    Ho cercato ma ho molta confusione, puoi spiegarmi?

    Grazie!
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.